AlexandrY 3 23 мая, 2018 Опубликовано 23 мая, 2018 · Жалоба Интернет-коллеги, обратите внимание, что в одном ГОСТе находятся вместе с Безопасностью и Надёжностью ещё Контролепригодность и Технологичность. - Если изделие не контролепригодно - качество его не возможно проконтролировать, то верить в безопасность и надёжность такого изделия могут только очень наивные. - Если технология изготовления изделия требует золотые руки дяди Васи, то безопасность и надёжность изделия будут зависеть от того, как похмелился дядя Вася. Например, выписка из реальных требований из реального Тех.задания на ЭДСУ для реального самолёта: Вероятность пассивного отказа аппаратной части, при котором рулевые поверхности и механизация останавливаются или отрабатывают в нейтральное (исходное) положение, должна быть: - не более 1*10 минус 9 на один час полета для управления РВ; - не более 1*10 минус 9 на один час полета для управления РН; - не более 1*10 минус 9 на один час полета для управления элеронами; Вы неправильно интерпретируете стандарт. Контролепригодность - это возможность контроля заданными средствами. И там не про технологичность, а про ремонтную технологичность А цифры 10-9 как-то выглядят нереально. Т.е. их нельзя перепроверить на промежутке менее 100 лет. А именно такой горизонт принято считать предельным в промышленности. У самого высокого уровня эффективности защиты в промышленности стоит цифра 10-7 И эта цифра применяется к рискам с катастрофическими последствиями. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
haker_fox 60 23 мая, 2018 Опубликовано 23 мая, 2018 · Жалоба У самого высокого уровня эффективности защиты в промышленности стоит цифра 10-7 Вы не занимаетесь такими изделиями? Если да, то могли бы привести ссылки. Ну пусть даже, если это не ваши изделия. Вы их где-то приводили, но я найти не могу((( Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
AlexandrY 3 23 мая, 2018 Опубликовано 23 мая, 2018 · Жалоба Вы не занимаетесь такими изделиями? Если да, то могли бы привести ссылки. Ну пусть даже, если это не ваши изделия. Вы их где-то приводили, но я найти не могу((( Вот: EN ISO13849-1 (PLe/Safety Category4), IEC 61508 (SIL3) certified Или вот две стороны другого контроллера Если заглянуть в EN ISO13849-1 то там PL (Performance Level) уровня "e" - самый высокий уровень безопасности в промышленности. И ему соответствует уровень надежности функций безопасности в 10-7 Надежность других функций (не функций безопасности) конечно можно поднимать и выше, только кому это надо? Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
Ильдус 2 23 мая, 2018 Опубликовано 23 мая, 2018 (изменено) · Жалоба . . . . . А цифры 10-9 как-то выглядят нереально. Т.е. их нельзя перепроверить на промежутке менее 100 лет. А именно такой горизонт принято считать предельным в промышленности. У самого высокого уровня эффективности защиты в промышленности стоит цифра 10-7 И эта цифра применяется к рискам с катастрофическими последствиями. Вы о "промышленности", а я об авиации. Для примера выписка из "Библии" разработчиков авиационной техники: 4.7. Отказное состояние (функциональный отказ, вид отказа системы) может быть отнесе- но к событиям практически невероятным, если выполняется одно из следующих условий: (а) Указанное состояние возникает в резуль- тате двух и более независимых последователь- ных отказов различных элементов рассматри- ваемой системы или взаимодействующих с ней систем с вероятностью менее 10 в минус 9 на час полета по типовому профилю; "Авиационные правила. Часть 25. Нормы лётной годности самолётов транспортной категории" (См. файл) * * * * * Кстати, это согласуется с "Вашими промышленными" 10 в минус 7. Если мне не изменяет склероз, то в НЛГС (Нормы лётной годности гражданских самолётов СССР) было приведено обоснование этих требований: – по экономическим соображением и экспертным оценкам для общества приемлема авиакатастрофа (гибель людей) не чаще, грубо говоря, чем один случай на 10 млн. часов полёта (вспоминаем исландский вулкан Э́йяфьядлайё̀кюдль, из-за которого авиационные власти Европы отменили авиарейсы 16—20 апреля 2010 года в его районе – сколько было недовольных пассажиров, а авиакомпании даже проводили опытные полёты без пассажиров для доказательства безопасности). Далее, по экспертным оценкам на абстрактном самолёте 100 критических систем (которые могут угробить пассажиров и экипаж) – отсюда требование 10 в минус 9 степени. * * * * * Поскольку эти цифры действительно нельзя проверить опытным путём, то эксперты по авиационной безопасности расчёты надёжности с результатом хуже 10 в минус 12 даже смотреть не будут. * * * * * В АП-25 на стр. 236 (электронной) приведены определения разных ситуаций на самолёте с соответствием показателей надёжности. Странно. В одном из постов вы сказали, что ничего не знали о микроконтроллерах, а о процессорах - только слышали. Вот я и сделал вывод, что сделали на том, что знали. Это не хорошо и не плохо. Если прибор выполняет то, что он него требуют. . . . . . Ничего странного! Я же сказал о себе, а не за всю авиацию. В соседнем отделе разрабатывали (и разработали) систему автоматического управления (САУ-10) на процессоре на тот же Су-27. Но !!! САУ можно отключить. Из той же "Библии" АП-25: 8.2.7.12. При автоматическом управлении полетом самолета с исправной САУ пилотам должна быть обеспечена возможность взятия управления на себя (вмешательства в управле- ние самолетом) путем воздействия на основные рычаги управления без каких-либо дополни- тельных действий по отключению САУ. На ручке управления самолётом даже есть (была) кнопка КБО - кнопка быстрого отключения САУ. Причём КБО располагалась так, что бы можно было быстро на неё нажать большим пальцем держащей ручку руки. Т.е. в критических системах к вычислительной технике относились в то время с большой опаской. К тому же на истребителе военному лётчику платят (или думают, что платят) за то, что он рискует жизнью. В гражданской авиации пассажир платит, что бы его доставили из тчк. А в тчк. Б без повреждений. AP_25.pdf Изменено 23 мая, 2018 пользователем Ильдус Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
Ильдус 2 23 мая, 2018 Опубликовано 23 мая, 2018 · Жалоба . . . . . 1983 год закончился 35 лет назад))) Сейчас 2018. На микропроцессорах и микроконтроллерах летают "эйрбасы", "боинги". Вы же это не хуже меня знаете. . . . Сегодня летают на процессорах не только "их" эрбасы и боинги, но, и наши самолёты. Просто речь шла, что девять девяток после запятой не такое уж и страшное требование даже для "антиквариата" электроники. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
haker_fox 60 23 мая, 2018 Опубликовано 23 мая, 2018 · Жалоба путем воздействия на основные рычаги управления без каких-либо дополни- тельных действий по отключению САУ. С этим я абсолютно согласен. Я бы и сам поопасался лететь на самолёте без механического резервирования. В airbus он точно есть, называется "mechanical backup". Я прекрасно понимаю, что электроника может дать сбой, может элементарно лишиться своего питания и т.д. и т.п. В тоже время, как механика и гидравлика (спорно) более надёжна в плане отказа, хотя бы из-за огромной проверки временем. Но вот незадача. Airbus A380. Огромнейшая машина. Такой чисто механически трудно управлять. Всё равно нужны какие-то бустеры, гидравлика, например. Сегодня летают на процессорах не только "их" эрбасы и боинги, но, и наши самолёты. Просто речь шла, что девять девяток после запятой не такое уж и страшное требование даже для "антиквариата" электроники. Да, конечно. Сухой Суперджет хороший тому пример. Я подразумевал, что "они" пришли к этому раньше в гражданской авиации. P.S. Спасибо за документ! Очень интересный! Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
AlexandrY 3 24 мая, 2018 Опубликовано 24 мая, 2018 · Жалоба Кстати, это согласуется с "Вашими промышленными" 10 в минус 7. Далее, по экспертным оценкам на абстрактном самолёте 100 критических систем (которые могут угробить пассажиров и экипаж) – отсюда требование 10 в минус 9 степени. Да нее... Я думаю считается так - Т.е. берем самую обычную ненадежную электронику, хуже чем те же Safety контроллеры с фоток выше и резервируем каждую, т.е. далаем так чтобы поломка была только когда сбойнут обе вместе. И тогда мы для 100 независимых таких систем и получим ту заветную десятку с 9-ю нулями после запятой. Очевидный трюк. В промышленности делается точно также - оговаривается обязательность дублирования функций безопасности. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
x736C 0 24 мая, 2018 Опубликовано 24 мая, 2018 · Жалоба Очевидный трюк. Почему трюк-то? Это базовые теоремы теории вероятностей:) Абсолютно научный подход. Тут можно еще сказать, что ваши 10^-7 на блок получаются из 10^-12..10^-9 на отдельные компоненты, которые тоже получают используя «трюки» и небесспорные методики. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
novikovfb 17 24 мая, 2018 Опубликовано 24 мая, 2018 · Жалоба Почему трюк-то? Это базовые теоремы теории вероятностей:) Абсолютно научный подход. Тут можно еще сказать, что ваши 10^-7 на блок получаются из 10^-12..10^-9 на отдельные компоненты, которые тоже получают используя «трюки» и небесспорные методики. Потому что теория вероятности распространяется только на случайные события. На столь малых вероятностях у меня нет уверенности, что они будут реально случайными, а не связанными и закономерными (маловероятные внешние воздействия, человеческий фактор и т.п.). Использование разнородных компонентов в резервированных системах, конечно, сглаживает связь между возможностями отказов, но всё-же, людям свойственно ошибаться. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
x736C 0 24 мая, 2018 Опубликовано 24 мая, 2018 · Жалоба Если у вас уже есть значение апостериорной вероятности отказа (10^-7, например), то и оперировать такими значениями вы можете, опираясь на теоремы, производя перемножение, сложение и т.п. «реально случайными, а не связанными и закономерными». Эта фраза не понятна, если честно. Что значит, реально случайными:) Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
novikovfb 17 24 мая, 2018 Опубликовано 24 мая, 2018 · Жалоба Если у вас уже есть значение апостериорной вероятности отказа (10^-7, например), то и оперировать такими значениями вы можете, опираясь на теоремы, производя перемножение, сложение и т.п. «реально случайными, а не связанными и закономерными». Эта фраза не понятна, если честно. Что значит, реально случайными:) Насчет теорем, сложения, перемножения и т.п. - понятно. Но они работают для не связанных между собой событий. "У каждой аварии есть конкретные имя, фамилия и должность" (Лазарь Каганович) Например, отказ одного канала в резервированной системе вызван отказом резистора (треснула керамика в результате нарушения технологии производства). Какова вероятность, что при нарушении технологии треснет только один резистор в резервированной системе, где во всех каналах использованы резисторы того же типа? При этом отказ конкретного резистора имеет вероятность, не противоречащую ТУ на него. И имея вполне определенную вероятность отказа для одного канала резервирования, посчитанную по нормативной документации и проверенную на опытной партии приборов, распространять полученные данные на все приборы - разрешенное трюкачество. Потому что мы не можем знать конкретное будущее конкретной детали в конкретном приборе и полагаемся на вероятности. И для большого количества случаев эти вероятности будут работать. Вероятность отказа 10^-7 будет подтверждаться при 10^7 опытах, даже при 10^6 опытах. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
a123-flex 0 24 мая, 2018 Опубликовано 24 мая, 2018 · Жалоба Вот: EN ISO13849-1 (PLe/Safety Category4), IEC 61508 (SIL3) certified Или вот две стороны другого контроллера Если заглянуть в EN ISO13849-1 то там PL (Performance Level) уровня "e" - самый высокий уровень безопасности в промышленности. И ему соответствует уровень надежности функций безопасности в 10-7 Надежность других функций (не функций безопасности) конечно можно поднимать и выше, только кому это надо? вы же вроде фанат philips ? а тут стм ? любопытно это ваши лифты ? или это не ваш продукт ? 1983 год закончился 35 лет назад))) Сейчас 2018. На микропроцессорах и микроконтроллерах летают "эйрбасы", "боинги". Вы же это не хуже меня знаете. И, я полагаю, современные системы более экономичны в планет энергопотребления, проще в диагностике, отладке, калибровке и настройке. Надёжность их выше, хотя бы по причине высокой интеграции схемы на куске кремения. Они открывают широкие возможнсти: ну хотя бы банальное логгирование. Ведь в воздухе разно может быть. Прилетел на землю, посмотрел лог, сделал выводы. Система сама может сообщать о том, что в ней что-то пора заменить, или обслужить, или выбросить. Конечно, с одной стороны есть мудрость: работает - не трогай. Но так можно было бы до сих пор на паровозах ездить, а то и на тележке с лошадью))) что за хрень. мне кажется в этих раскладках от уважаемого Ильдуса есть и большой смысл и большой интерес. Многократное резервирование процессорных систем мне кажется весьма мутной затеей. вопрос имхо классический: а судьи кто ? Ильдус :a14: и спасибо что делитесь опытом. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
Ильдус 2 25 мая, 2018 Опубликовано 25 мая, 2018 (изменено) · Жалоба . . . Это базовые теоремы теории вероятностей:) Абсолютно научный подход. . . . . . Ну, это Вы так думаете. Я знаю людей (зам. главного конструктора и выше), которые считают теорию надёжности лженаукой, хорошо, что не "продажной девкой империализма" (с) :rolleyes: . . . . . Использование разнородных компонентов в резервированных системах, конечно, сглаживает связь между возможностями отказов, но всё-же, людям свойственно ошибаться. Ошибка может быть (и точка!), и никак не обсчитывается. В авиации принято: "один делает, другой проверяет" – сейчас, к сожалению, это часто нарушается. Помимо этого в гражданской авиации вводится требование на разнородных (не зависимых) производителей и разработчиков. – Минимизируется вероятность негативного влияния ошибок (хотя ошибки и не обсчитываются). . . . . . "У каждой аварии есть конкретные имя, фамилия и должность" (Лазарь Каганович) Например, отказ одного канала в резервированной системе вызван отказом резистора (треснула керамика в результате нарушения технологии производства). Какова вероятность, что при нарушении технологии треснет только один резистор в резервированной системе, где во всех каналах использованы резисторы того же типа? При этом отказ конкретного резистора имеет вероятность, не противоречащую ТУ на него. . . . . По поводу разнородности компонентов здесь уже писалось. Уже давно ни одна авиакатастрофа не является следствием какого-то одного события – всегда комплекс разных факторов. Посмотрите в файле рис. 2-11А и 2-11В на стр. 35, 36 (электронных). Что касается нарушения технологии производства, то на серьёзных предприятиях раз в год или один раз на партию проводят квалификационные испытания – испытания, подтверждающие, что предприятие способно производить продукцию заданного качества. Хотя, знаю случаи, когда на участке изготовления оставались три пенсионерки и качество – никакое. Посмотрите в файле рис. 2-2 на стр. 21 (электронная). Заодно рис. 2-3 В авиации отказы техники при катастрофах давно не на первом месте. На рис.2-2 "Человеческие факторы" (так переведено) – это ошибки лётчиков. "Организационные факторы" (так переведено). . . то, что менеджеров не посчитали за человеков, я согласен :rolleyes: subp_2009.pdf Изменено 25 мая, 2018 пользователем Ильдус Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
haker_fox 60 25 мая, 2018 Опубликовано 25 мая, 2018 · Жалоба что за хрень. Во-первых, следите за словами. мне кажется в этих раскладках от уважаемого Ильдуса есть и большой смысл и большой интерес. Во-вторых,мы с уважаемым Ильдусом уже давно дискутируем (именно потому, что у него огромный практический опыт и мне это как раз интересно), потрудитесь почитать сначала. Многократное резервирование процессорных систем мне кажется весьма мутной затеей. Посмотрите на структурные схемы систем управления полётом Airbus & Boeing. Здесь они выкладывались. А казаться может многое... вопрос имхо классический: а судьи кто ? Этот вопрос я уже задавал. Правда в другой ветке. Вот тут И ответ на этот вопрос находится как раз в этой ветке, только чуть по-ближе к началу. А вообще, вы, собственно говоря, что сказать-то хотели? Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
a123-flex 0 25 мая, 2018 Опубликовано 25 мая, 2018 · Жалоба Во-первых, следите за словами. Я извиняюсь, был неправ :( Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться