Перейти к содержанию
    

Аппаратное дублирование, избыточность, отказоустойчивые системы, горячая замена

Если два оставшихся будут иметь разную полярность, то на выходе КЭ будет ноль (иногда надо учитывать).

 

Приведите пример такого случая. Ваша схема не предусматривает обратную полярность источников E1-Е3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Приведите пример такого случая. Ваша схема не предусматривает обратную полярность источников E1-Е3.

Я не понял, в каком месте она (схема) не предусматривает. Например, Е1 может быть и +1 В, и -1 В. Если останется только, например, Е1= (+1) В и Е2= (-5) В, то на выходе будет ноль.

 

У нас четыре подканала работают через такие кворум-элементы. Если вследствие разброса параметров два подканала будут чуть-чуть в плюсе, а два других - чуть-чуть в минусе, то в районе нуля образуется зона нечувствительности.

 

Есть места, очень критичные к зоне нечувствительности, поэтому сигнал искусственно перед КЭ смещается, а после КЭ обратным смещением возвращается на место.

 

См. приложенный файл.

На первой странице набрана в microCAP схема из трёх подканалов, работающих через КЭ на общую нагрузку.

На второй странице (амплитуда и частота) трёх источников:

v(1) = 10 В, 1 Гц;

v(2) = 9 В, 0,9 Гц;

v(3) = 11 В, 1,1 Гц

и v(6) = напряжение на R1

 

Это просто пример для понимания, как меняется выходной сигнал КЭ от разброса входных. Нет проблем это смоделировать для двух подканалов (но не дома).

 

На третьей странице соединение ОТ в кворум-элементы (именно во множественном числе) для частичного резервирования при четырёх подканалах. Например, закорачивание R1 не влияет на сигналы на остальных трёх резисторах. Естественно, питание источников сигнала и сборок ОТ у каждого подканала своё.

 

Есть случаи, когда надо с трёх подканалов перейти на четыре подканала, при этом, как просили в здесь, без общей точки - для этого надо выкинуть четвёртый источник сигнала и самую нижнюю сборку ОТ.

___3.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет проблем это смоделировать для двух подканалов (но не дома).

Я вроде как обещал смоделировать работу двух подканалов с кворум-элементом.

 

См. прилагаемый файл.

Схему оставил ту же, что и в предыдущем сообщении. Надеюсь, Вы помните сказанное в сообщении №15

ОТ - обычный диодный мост, вертикальная диагональ которого питается источником тока I1 - I3. Если ток сигнала Iс через горизонтальную диагональ меньше тока ограничения Io (вертикальной диагонали), то точки А и Б эквипотенциальны (равны).

Т.е. если Ic > Io, то на выход сигнал не проходит.

Поэтому я просто приравнял амплитуду источников тока первого (верхнего) ОТ (диодного моста) к нулю и, соответственно, ток сигнала первого источника не стал проходить на выход КЭ.

___3_2_.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Простите, что подымаю тему. Но вот не нахожу я похожего чего-то по книжкам или стандартам. У меня вроде как и не космос, и не защита для атомных станций. Просто требуется обеспечить отказоустойчивость на высоком уровне, с возможностью полного восстановления системы без остановки.

Пока все решается двумя полностью идентичными системами управления, из которых одна активна, а другая в ждущем режиме. Если активная диагностирует неисправность - переключаемся на ждущую. Неисправную тогда можно ремонтировать вплоть до полного отключения.

Пока проблема в том, что в конце концов сигнал от активной системы подается на управляющие элементы. И это делает недублированный блок, который является единой точкой отказа (SPOF)

Не хочется делать отсебятину - может есть еще какие европейские стандарты по этому поводу? IEC 61508 уже читал. Ближе всего по ихней классификации мне подходит 1oo2D, но только по структуре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Посоветуйте хорошую книжку (желательно американскую) по резервированным системам управлению и их математическому расчету

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На родном языке:

Коваленко А.Е., Гула В.В. - Отказоустойчивые микропроцессорные системы. 1986

Пашковский Г.С. - Задачи оптимального обнаружения и поиска отказов в РЭА (Радио и связь, Надёжность и качество). 1981

Синтез сложных многофункциональных отказоустойчивых систем электроники. А. А. Авакян, В. В. Клюев (Спектр). 2014

Согомонян Е.С., Слабаков Е. В. - Самопроверяемые устройства и отказоустойчивые системы (Радио и связь). 1989

Бортовые системы управления космическими аппаратами: Учебное пособие. Под ред. А.С. Сырова (МАИ-ПРИНТ). 2010

Проектирование и испытание бортовых систем управления. Учебное пособие. Под ред. А.С. Сырова (МАИ-ПРИНТ). 2011

 

На английском:

http://libgen.io/search.php?req=fault+tole...&column=def

Изменено пользователем hitch

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А есть какие то известные цифры, о связи между резервированием и увеличением надежности в аппаратуре, которые опубликованы, и на которые можно просто ссылаться, без собственного расчета?

 

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Но сам никогда не считал, не умею. Поэтому хотелось бы увидеть это в виде таблицы, включая четверное резервирование, восьмерное и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7.

 

Не совсем уверен в цифрах, но кажется вы правы. Была где-то логарифмическая характеристика надёжности от количества каналов. При количестве каналов больше 3-4 существенного прироста уже не происходит из-за пропорционального увеличения количества элементов, которое в свою очередь, уменьшает надёжность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7.

Обычно считают так: при дублировании для работы устройства достаточно работы одного канала, поэтому вероятность отказа всего устройства (т.е. обоих каналов одновременно) равна вероятности отказа одного канала, возведенной во вторую степень. При таком расчете не учитывается возможность выдачи каналом недостоверной информации, т.е. для цепей питания пойдет, для информационных - нет. Чтобы обезопаситься от выдачи недостоверной информации используют троирование и мажоритарный элемент для определения наиболее правдоподобного результата.

Стоит почитать ГОСТ Р 51891-2008, ISO 1161_1984 Менеджмент риска. Структурная схема надежности и булевы методы, там хорошо и понятно (что удивительно для стандарта) написано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

... вероятность отказа всего устройства (т.е. обоих каналов одновременно) равна вероятности отказа одного канала, возведенной во вторую степень. ...

 

По идее, если дублирование дает увеличение надежности в 1.4, а троирование в 1.7, то ближайшая формула - квадратный корень из числа каналов.

Но почему и спрашиваю - хотелось бы взглянуть на готовую таблицу или формулу расчета, а не гадать, или разбираться с методикой.

 

За ссылку на ГОСТ спасибо, но я пока не готов с ним разбираться. У меня просто казуальный интерес, касающийся проектирования интегральных микросхем для космоса. С одной стороны я в курсе, что почти каждый рад. стойкий чип делается с обязательным аппаратным резервированием (обычно троирование) и мажорированием. Один такой процессор стоит как новые жигули. С другой стороны, ходит слух что тот же Илон Маск положил болт на резервирование на уровне интегральной схемы, и в свои аппараты ставит обычную коммерческую ЭКБ, но с каким то чудовищным (10х, 40х ?)резервированием на уровне аппаратных блоков и узлов. В результате он здорово экономит деньги, а получает результат как минимум не хуже. Поэтому было бы просто интересно узнать (но не считать самому) - как увеличивается надежность при резервировании, скажем, 40х. Если извлечь квадратный корень из 40, получится 6 -что навряд ли (оборудования то стало больше в 40 раз!).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Посмотрите у Тексаса, как они делают резервирование в контроллерах повышенной безотказности, серия "Геркулес" помнится, или еще как то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А есть какие то известные цифры, о связи между резервированием и увеличением надежности в аппаратуре, которые опубликованы, и на которые можно просто ссылаться, без собственного расчета?

 

Я где то слышал, что дублирование повышает надежность в 1.4 раза, а троирование в 1.7. Но сам никогда не считал, не умею. Поэтому хотелось бы увидеть это в виде таблицы, включая четверное резервирование, восьмерное и т.д.

Ответ зависит от вида резервирования, показателя надежности, момента времени, закона распределения и др.

Для резервирования с постоянно включенным резервом можете посмотреть книгу В.А. Острейковского "Теория надежности"

В книге редакции 2003 года смотрите раздел 5.2 страница 131, формула 5.9.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ещё 2 источника полностью отвечающие на вопрос о связи между резервированием и увеличением надёжности в аппаратуре:

Dubrova E. - Fault-Tolerant Design (Springer-Verlag New York). 2013 - раздел 4.2.2 N-Modular Redundancy и диаграмма 4.10.

Фёдоров Ю.Н. - Основы построения АСУТП взрывоопасных производств. Том 1. Методология (Синтег). 2006 - раздел 4.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо большое!

График интересен, но не понятен. К примеру - что такое лямда-Т. Понял только, что это какое то время, но осталось загадкой, что за точка 0.69 лямда-Т, где все кривые сходятся.

Еще непонятно, что такое R. Это вероятность работы без сбоев - чем дальше, тем ниже? В таком случае смущает, что после времени 0.69 лямда-Т любой (2 и более) резерв даст меньшую надежность, чем у одного канала. Это по теории так - резервирование дает бенефит только ограниченное время, а потом только вредит?

 

Спасибо, разобрался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Простите, что подымаю тему. Но вот не нахожу я похожего чего-то по книжкам или стандартам. У меня вроде как и не космос, и не защита для атомных станций. Просто требуется обеспечить отказоустойчивость на высоком уровне, с возможностью полного восстановления системы без остановки.

Пока все решается двумя полностью идентичными системами управления, из которых одна активна, а другая в ждущем режиме. Если активная диагностирует неисправность - переключаемся на ждущую. Неисправную тогда можно ремонтировать вплоть до полного отключения.

Пока проблема в том, что в конце концов сигнал от активной системы подается на управляющие элементы. И это делает недублированный блок, который является единой точкой отказа (SPOF)

Не хочется делать отсебятину - может есть еще какие европейские стандарты по этому поводу? IEC 61508 уже читал. Ближе всего по ихней классификации мне подходит 1oo2D, но только по структуре.

 

Что вам мешает выходы обеих управляющих половинок дублировать, ставить 2 свича и дублировать входы управления исполнительных устройств/исполнительные устройства ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...