реклама на сайте
подробности

 
 
7 страниц V  « < 5 6 7  
Reply to this topicStart new topic
> Аппаратное дублирование, избыточность, отказоустойчивые системы, горячая замена, Где почитать?
AlexandrY
сообщение May 23 2018, 08:52
Сообщение #91


Ally
******

Группа: Модераторы
Сообщений: 5 859
Регистрация: 19-01-05
Пользователь №: 2 050



Цитата(Ильдус @ May 20 2018, 11:34) *
Интернет-коллеги, обратите внимание, что в одном ГОСТе находятся вместе с Безопасностью и Надёжностью ещё Контролепригодность и Технологичность.
- Если изделие не контролепригодно - качество его не возможно проконтролировать, то верить в безопасность и надёжность такого изделия могут только очень наивные.
- Если технология изготовления изделия требует золотые руки дяди Васи, то безопасность и надёжность изделия будут зависеть от того, как похмелился дядя Вася.

Например, выписка из реальных требований из реального Тех.задания на ЭДСУ для реального самолёта:

Вероятность пассивного отказа аппаратной части, при котором рулевые поверхности и механизация останавливаются или отрабатывают в нейтральное (исходное) положение, должна быть:
- не более 1*10 минус 9 на один час полета для управления РВ;
- не более 1*10 минус 9 на один час полета для управления РН;
- не более 1*10 минус 9 на один час полета для управления элеронами;

Вы неправильно интерпретируете стандарт.

Контролепригодность - это возможность контроля заданными средствами.
И там не про технологичность, а про ремонтную технологичность

А цифры 10-9 как-то выглядят нереально.
Т.е. их нельзя перепроверить на промежутке менее 100 лет. А именно такой горизонт принято считать предельным в промышленности.
У самого высокого уровня эффективности защиты в промышленности стоит цифра 10-7
И эта цифра применяется к рискам с катастрофическими последствиями.

Go to the top of the page
 
+Quote Post
haker_fox
сообщение May 23 2018, 11:10
Сообщение #92


Познающий...
******

Группа: Свой
Сообщений: 2 828
Регистрация: 1-09-05
Из: г. Иркутск
Пользователь №: 8 125



QUOTE (AlexandrY @ May 23 2018, 16:52) *
У самого высокого уровня эффективности защиты в промышленности стоит цифра 10-7

Вы не занимаетесь такими изделиями? Если да, то могли бы привести ссылки. Ну пусть даже, если это не ваши изделия. Вы их где-то приводили, но я найти не могу(((


--------------------
Желаю всем гармонии с самими собой!
Go to the top of the page
 
+Quote Post
AlexandrY
сообщение May 23 2018, 12:39
Сообщение #93


Ally
******

Группа: Модераторы
Сообщений: 5 859
Регистрация: 19-01-05
Пользователь №: 2 050



Цитата(haker_fox @ May 23 2018, 14:10) *
Вы не занимаетесь такими изделиями? Если да, то могли бы привести ссылки. Ну пусть даже, если это не ваши изделия. Вы их где-то приводили, но я найти не могу(((

Вот: EN ISO13849-1 (PLe/Safety Category4), IEC 61508 (SIL3) certified
Прикрепленное изображение


Или вот две стороны другого контроллера
Прикрепленное изображение

Прикрепленное изображение


Если заглянуть в EN ISO13849-1 то там PL (Performance Level) уровня "e" - самый высокий уровень безопасности в промышленности.
И ему соответствует уровень надежности функций безопасности в 10-7
Надежность других функций (не функций безопасности) конечно можно поднимать и выше, только кому это надо?
Go to the top of the page
 
+Quote Post
Ильдус
сообщение May 23 2018, 17:21
Сообщение #94


Местный
***

Группа: Участник
Сообщений: 206
Регистрация: 5-07-05
Пользователь №: 6 552



Цитата(AlexandrY @ May 23 2018, 11:52) *
. . . . .
А цифры 10-9 как-то выглядят нереально.
Т.е. их нельзя перепроверить на промежутке менее 100 лет. А именно такой горизонт принято считать предельным в промышленности.
У самого высокого уровня эффективности защиты в промышленности стоит цифра 10-7
И эта цифра применяется к рискам с катастрофическими последствиями.

Вы о "промышленности", а я об авиации. Для примера выписка из "Библии" разработчиков авиационной техники:
4.7. Отказное состояние (функциональный
отказ, вид отказа системы) может быть отнесе-
но к событиям практически невероятным, если
выполняется одно из следующих условий:
(а) Указанное состояние возникает в резуль-
тате двух и более независимых последователь-
ных отказов различных элементов рассматри-
ваемой системы или взаимодействующих с ней
систем с вероятностью менее 10 в минус 9 на час полета
по типовому профилю;
"Авиационные правила. Часть 25. Нормы лётной годности самолётов транспортной категории"
(См. файл)
* * * * *
Кстати, это согласуется с "Вашими промышленными" 10 в минус 7.
Если мне не изменяет склероз, то в НЛГС (Нормы лётной годности гражданских самолётов СССР) было приведено обоснование этих требований:
– по экономическим соображением и экспертным оценкам для общества приемлема авиакатастрофа (гибель людей) не чаще, грубо говоря, чем один случай на 10 млн. часов полёта (вспоминаем исландский вулкан Э́йяфьядлайё̀кюдль, из-за которого авиационные власти Европы отменили авиарейсы 16—20 апреля 2010 года в его районе – сколько было недовольных пассажиров, а авиакомпании даже проводили опытные полёты без пассажиров для доказательства безопасности). Далее, по экспертным оценкам на абстрактном самолёте 100 критических систем (которые могут угробить пассажиров и экипаж) – отсюда требование 10 в минус 9 степени.
* * * * *
Поскольку эти цифры действительно нельзя проверить опытным путём, то эксперты по авиационной безопасности расчёты надёжности с результатом хуже 10 в минус 12 даже смотреть не будут.
* * * * *
В АП-25 на стр. 236 (электронной) приведены определения разных ситуаций на самолёте с соответствием показателей надёжности.

Цитата(haker_fox @ May 23 2018, 10:48) *
Странно. В одном из постов вы сказали, что ничего не знали о микроконтроллерах, а о процессорах - только слышали. Вот я и сделал вывод, что сделали на том, что знали. Это не хорошо и не плохо. Если прибор выполняет то, что он него требуют.
. . . . .

Ничего странного! Я же сказал о себе, а не за всю авиацию.
В соседнем отделе разрабатывали (и разработали) систему автоматического управления (САУ-10) на процессоре на тот же Су-27. Но !!! САУ можно отключить. Из той же "Библии" АП-25:
8.2.7.12. При автоматическом управлении
полетом самолета с исправной САУ пилотам
должна быть обеспечена возможность взятия
управления на себя (вмешательства в управле-
ние самолетом) путем воздействия на основные
рычаги управления без каких-либо дополни-
тельных действий по отключению САУ.

На ручке управления самолётом даже есть (была) кнопка КБО - кнопка быстрого отключения САУ. Причём КБО располагалась так, что бы можно было быстро на неё нажать большим пальцем держащей ручку руки.

Т.е. в критических системах к вычислительной технике относились в то время с большой опаской.
К тому же на истребителе военному лётчику платят (или думают, что платят) за то, что он рискует жизнью.
В гражданской авиации пассажир платит, что бы его доставили из тчк. А в тчк. Б без повреждений.

Сообщение отредактировал Ильдус - May 23 2018, 19:59
Прикрепленные файлы
Прикрепленный файл  AP_25.pdf ( 2.75 мегабайт ) Кол-во скачиваний: 7
 
Go to the top of the page
 
+Quote Post
Ильдус
сообщение May 23 2018, 20:04
Сообщение #95


Местный
***

Группа: Участник
Сообщений: 206
Регистрация: 5-07-05
Пользователь №: 6 552



Цитата(haker_fox @ May 23 2018, 10:48) *
. . . . .
1983 год закончился 35 лет назад))) Сейчас 2018. На микропроцессорах и микроконтроллерах летают "эйрбасы", "боинги". Вы же это не хуже меня знаете. . . .

Сегодня летают на процессорах не только "их" эрбасы и боинги, но, и наши самолёты. Просто речь шла, что девять девяток после запятой не такое уж и страшное требование даже для "антиквариата" электроники.
Go to the top of the page
 
+Quote Post
haker_fox
сообщение May 23 2018, 23:58
Сообщение #96


Познающий...
******

Группа: Свой
Сообщений: 2 828
Регистрация: 1-09-05
Из: г. Иркутск
Пользователь №: 8 125



QUOTE (Ильдус @ May 24 2018, 01:21) *
путем воздействия на основные
рычаги управления без каких-либо дополни-
тельных действий по отключению САУ.

С этим я абсолютно согласен. Я бы и сам поопасался лететь на самолёте без механического резервирования. В airbus он точно есть, называется "mechanical backup". Я прекрасно понимаю, что электроника может дать сбой, может элементарно лишиться своего питания и т.д. и т.п. В тоже время, как механика и гидравлика (спорно) более надёжна в плане отказа, хотя бы из-за огромной проверки временем. Но вот незадача. Airbus A380. Огромнейшая машина. Такой чисто механически трудно управлять. Всё равно нужны какие-то бустеры, гидравлика, например.

QUOTE (Ильдус @ May 24 2018, 04:04) *
Сегодня летают на процессорах не только "их" эрбасы и боинги, но, и наши самолёты. Просто речь шла, что девять девяток после запятой не такое уж и страшное требование даже для "антиквариата" электроники.

Да, конечно. Сухой Суперджет хороший тому пример. Я подразумевал, что "они" пришли к этому раньше в гражданской авиации.

P.S. Спасибо за документ! Очень интересный!


--------------------
Желаю всем гармонии с самими собой!
Go to the top of the page
 
+Quote Post
AlexandrY
сообщение Вчера, 04:53
Сообщение #97


Ally
******

Группа: Модераторы
Сообщений: 5 859
Регистрация: 19-01-05
Пользователь №: 2 050



Цитата(Ильдус @ May 23 2018, 20:21) *
Кстати, это согласуется с "Вашими промышленными" 10 в минус 7.

Далее, по экспертным оценкам на абстрактном самолёте 100 критических систем (которые могут угробить пассажиров и экипаж) – отсюда требование 10 в минус 9 степени.

Да нее...
Я думаю считается так -
Прикрепленное изображение


Т.е. берем самую обычную ненадежную электронику, хуже чем те же Safety контроллеры с фоток выше и резервируем каждую, т.е. далаем так чтобы поломка была только когда сбойнут обе вместе.
И тогда мы для 100 независимых таких систем и получим ту заветную десятку с 9-ю нулями после запятой.

Очевидный трюк.
В промышленности делается точно также - оговаривается обязательность дублирования функций безопасности.
Go to the top of the page
 
+Quote Post
x736C
сообщение Вчера, 13:21
Сообщение #98


Профессионал
*****

Группа: Участник
Сообщений: 1 239
Регистрация: 3-03-06
Пользователь №: 14 942



Цитата(AlexandrY @ May 24 2018, 07:53) *
Очевидный трюк.

Почему трюк-то? Это базовые теоремы теории вероятностейsm.gif Абсолютно научный подход.

Тут можно еще сказать, что ваши 10^-7 на блок получаются из 10^-12..10^-9 на отдельные компоненты, которые тоже получают используя «трюки» и небесспорные методики.
Go to the top of the page
 
+Quote Post
novikovfb
сообщение Вчера, 13:33
Сообщение #99


Местный
***

Группа: Участник
Сообщений: 483
Регистрация: 29-09-11
Пользователь №: 67 450



Цитата(x736C @ May 24 2018, 17:21) *
Почему трюк-то? Это базовые теоремы теории вероятностейsm.gif Абсолютно научный подход.

Тут можно еще сказать, что ваши 10^-7 на блок получаются из 10^-12..10^-9 на отдельные компоненты, которые тоже получают используя «трюки» и небесспорные методики.

Потому что теория вероятности распространяется только на случайные события. На столь малых вероятностях у меня нет уверенности, что они будут реально случайными, а не связанными и закономерными (маловероятные внешние воздействия, человеческий фактор и т.п.). Использование разнородных компонентов в резервированных системах, конечно, сглаживает связь между возможностями отказов, но всё-же, людям свойственно ошибаться.
Go to the top of the page
 
+Quote Post
x736C
сообщение Вчера, 13:41
Сообщение #100


Профессионал
*****

Группа: Участник
Сообщений: 1 239
Регистрация: 3-03-06
Пользователь №: 14 942



Если у вас уже есть значение апостериорной вероятности отказа (10^-7, например), то и оперировать такими значениями вы можете, опираясь на теоремы, производя перемножение, сложение и т.п.
«реально случайными, а не связанными и закономерными». Эта фраза не понятна, если честно. Что значит, реально случайнымиsm.gif
Go to the top of the page
 
+Quote Post
novikovfb
сообщение Вчера, 14:27
Сообщение #101


Местный
***

Группа: Участник
Сообщений: 483
Регистрация: 29-09-11
Пользователь №: 67 450



Цитата(x736C @ May 24 2018, 17:41) *
Если у вас уже есть значение апостериорной вероятности отказа (10^-7, например), то и оперировать такими значениями вы можете, опираясь на теоремы, производя перемножение, сложение и т.п.
«реально случайными, а не связанными и закономерными». Эта фраза не понятна, если честно. Что значит, реально случайнымиsm.gif

Насчет теорем, сложения, перемножения и т.п. - понятно. Но они работают для не связанных между собой событий.
"У каждой аварии есть конкретные имя, фамилия и должность" (Лазарь Каганович)
Например, отказ одного канала в резервированной системе вызван отказом резистора (треснула керамика в результате нарушения технологии производства). Какова вероятность, что при нарушении технологии треснет только один резистор в резервированной системе, где во всех каналах использованы резисторы того же типа?
При этом отказ конкретного резистора имеет вероятность, не противоречащую ТУ на него. И имея вполне определенную вероятность отказа для одного канала резервирования, посчитанную по нормативной документации и проверенную на опытной партии приборов, распространять полученные данные на все приборы - разрешенное трюкачество. Потому что мы не можем знать конкретное будущее конкретной детали в конкретном приборе и полагаемся на вероятности. И для большого количества случаев эти вероятности будут работать. Вероятность отказа 10^-7 будет подтверждаться при 10^7 опытах, даже при 10^6 опытах.
Go to the top of the page
 
+Quote Post
a123-flex
сообщение Вчера, 21:42
Сообщение #102


Профессионал
*****

Группа: Свой
Сообщений: 1 420
Регистрация: 11-01-05
Из: Москва
Пользователь №: 1 884



Цитата(AlexandrY @ May 23 2018, 16:39) *
Вот: EN ISO13849-1 (PLe/Safety Category4), IEC 61508 (SIL3) certified
Или вот две стороны другого контроллера

Если заглянуть в EN ISO13849-1 то там PL (Performance Level) уровня "e" - самый высокий уровень безопасности в промышленности.
И ему соответствует уровень надежности функций безопасности в 10-7
Надежность других функций (не функций безопасности) конечно можно поднимать и выше, только кому это надо?

вы же вроде фанат philips ? а тут стм ?
любопытно это ваши лифты ? или это не ваш продукт ?

Цитата(haker_fox @ May 23 2018, 11:48) *
1983 год закончился 35 лет назад))) Сейчас 2018. На микропроцессорах и микроконтроллерах летают "эйрбасы", "боинги". Вы же это не хуже меня знаете. И, я полагаю, современные системы более экономичны в планет энергопотребления, проще в диагностике, отладке, калибровке и настройке. Надёжность их выше, хотя бы по причине высокой интеграции схемы на куске кремения. Они открывают широкие возможнсти: ну хотя бы банальное логгирование. Ведь в воздухе разно может быть. Прилетел на землю, посмотрел лог, сделал выводы. Система сама может сообщать о том, что в ней что-то пора заменить, или обслужить, или выбросить. Конечно, с одной стороны есть мудрость: работает - не трогай. Но так можно было бы до сих пор на паровозах ездить, а то и на тележке с лошадью)))

что за хрень. мне кажется в этих раскладках от уважаемого Ильдуса есть и большой смысл и большой интерес. Многократное резервирование процессорных систем мне кажется весьма мутной затеей.

вопрос имхо классический: а судьи кто ?

Ильдус a14.gif и спасибо что делитесь опытом.


--------------------
Если хочешь узнать, что ждет тебя на дороге впереди, спроси у тех, кто возвращается по ней.
Go to the top of the page
 
+Quote Post
Ильдус
сообщение Сегодня, 09:07
Сообщение #103


Местный
***

Группа: Участник
Сообщений: 206
Регистрация: 5-07-05
Пользователь №: 6 552



Цитата(x736C @ May 24 2018, 16:21) *
. . . Это базовые теоремы теории вероятностейsm.gif Абсолютно научный подход.
. . . . .

Ну, это Вы так думаете. Я знаю людей (зам. главного конструктора и выше), которые считают теорию надёжности лженаукой, хорошо, что не "продажной девкой империализма" (с) rolleyes.gif

Цитата(novikovfb @ May 24 2018, 16:33) *
. . . . . Использование разнородных компонентов в резервированных системах, конечно, сглаживает связь между возможностями отказов, но всё-же, людям свойственно ошибаться.

Ошибка может быть (и точка!), и никак не обсчитывается.
В авиации принято: "один делает, другой проверяет" – сейчас, к сожалению, это часто нарушается.
Помимо этого в гражданской авиации вводится требование на разнородных (не зависимых) производителей и разработчиков. – Минимизируется вероятность негативного влияния ошибок (хотя ошибки и не обсчитываются).


Цитата(novikovfb @ May 24 2018, 17:27) *
. . . . .
"У каждой аварии есть конкретные имя, фамилия и должность" (Лазарь Каганович)
Например, отказ одного канала в резервированной системе вызван отказом резистора (треснула керамика в результате нарушения технологии производства). Какова вероятность, что при нарушении технологии треснет только один резистор в резервированной системе, где во всех каналах использованы резисторы того же типа?
При этом отказ конкретного резистора имеет вероятность, не противоречащую ТУ на него. . . . .

По поводу разнородности компонентов здесь уже писалось.

Уже давно ни одна авиакатастрофа не является следствием какого-то одного события – всегда комплекс разных факторов. Посмотрите в файле рис. 2-11А и 2-11В на стр. 35, 36 (электронных).

Что касается нарушения технологии производства, то на серьёзных предприятиях раз в год или один раз на партию проводят квалификационные испытания – испытания, подтверждающие, что предприятие способно производить продукцию заданного качества. Хотя, знаю случаи, когда на участке изготовления оставались три пенсионерки и качество – никакое.

Посмотрите в файле рис. 2-2 на стр. 21 (электронная). Заодно рис. 2-3
В авиации отказы техники при катастрофах давно не на первом месте. На рис.2-2 "Человеческие факторы" (так переведено) – это ошибки лётчиков.
"Организационные факторы" (так переведено). . . то, что менеджеров не посчитали за человеков, я согласен rolleyes.gif

Сообщение отредактировал Ильдус - Сегодня, 09:10
Прикрепленные файлы
Прикрепленный файл  subp_2009.pdf ( 4.77 мегабайт ) Кол-во скачиваний: 4
 
Go to the top of the page
 
+Quote Post
haker_fox
сообщение Сегодня, 10:22
Сообщение #104


Познающий...
******

Группа: Свой
Сообщений: 2 828
Регистрация: 1-09-05
Из: г. Иркутск
Пользователь №: 8 125



QUOTE (a123-flex @ May 25 2018, 05:42) *
что за хрень.

Во-первых, следите за словами.
QUOTE (a123-flex @ May 25 2018, 05:42) *
мне кажется в этих раскладках от уважаемого Ильдуса есть и большой смысл и большой интерес.

Во-вторых,мы с уважаемым Ильдусом уже давно дискутируем (именно потому, что у него огромный практический опыт и мне это как раз интересно), потрудитесь почитать сначала.
QUOTE (a123-flex @ May 25 2018, 05:42) *
Многократное резервирование процессорных систем мне кажется весьма мутной затеей.

Посмотрите на структурные схемы систем управления полётом Airbus & Boeing. Здесь они выкладывались. А казаться может многое...

QUOTE (a123-flex @ May 25 2018, 05:42) *
вопрос имхо классический: а судьи кто ?

Этот вопрос я уже задавал. Правда в другой ветке. Вот тут
И ответ на этот вопрос находится как раз в этой ветке, только чуть по-ближе к началу.

А вообще, вы, собственно говоря, что сказать-то хотели?


--------------------
Желаю всем гармонии с самими собой!
Go to the top of the page
 
+Quote Post

7 страниц V  « < 5 6 7
Reply to this topicStart new topic
4 чел. читают эту тему (гостей: 3, скрытых пользователей: 0)
Пользователей: 1 Ильдус

 


RSS Текстовая версия Сейчас: 25th May 2018 - 12:22
Рейтинг@Mail.ru


Страница сгенерированна за 0.01139 секунд с 7
ELECTRONIX ©2004-2016