[тау 23]

Учите матчасть на предмет того, от чего защищают троированные системы.

А троированные системы гарантированно защищают от отказа ОДНОГО канала резервирования.

ОДНОГО, Карл

 

возможно ли гарантированно защитить от единичного необратимого отказа (компонента/канала) систему , в которой 90% ( весу/количеству элементов) только дублированные подсистемы а остальные как придется - троированные и т.д ?

[Ильдус 2]

. . . . . Расскажите, пожалуйста, как делается "судья"? Ведь от него зависит будет ли отключен неисправный элемент. А если даст сбой сам судья? В чём его соль и надёжность? прост как тапок? Или просто считаем, что он не может дать сбой?

. . . . .

Я сторонник: "Действительно, прост, как тапок!"

Я сторонник кворум-элементов (КЭ) на пассивных деталях. Ссылку http://stu.scask.ru/book_ar2.php?id=94 я уже приводил. Там на рис. XI.60 схема, в которой вместо источника питания (Iо) диодных мостов ошибочно указан полярный конденсатор.

Более подробно можно глянуть здесь: https://cloud.mail.ru/public/LC9H/bRUtHEPgr

 

Безотказного ничего не бывает, поэтому на регламентных работах (раз в пару лет) проводится "контроль средств контроля" – поочерёдно в каждый подканал вводится рассогласование, по которому "блок контроля" этого подканала должен отключить питание диодных мостов (в данном случае они сыграют роль ключей) и выдать сигнализацию.

 

Это в вычислительной части, где сигналы в пределах рабочего диапазона не предсказуемы. Сигнал вычислителя затем поступает на исполнительный механизм (привод). Привод описывается несложной (для средств контроля) математической моделью. Не убиваемый КЭ тоже может ломаться, поэтому у нас кворумированные сигналы вычислителя (одинаковые по амплитуде и фазе, но, физически раздельные) раздельно поступают на привод и электронную модель привода, и там свой контроль.

 

Т.е. если КЭ в случае своей поломки пропустит неправильный сигнал, то это ловится на следующем участке тракта. И это "контроль" тоже контролируется на регламентных работах.

* * * * *

КЭ на диодных мостах в работе, например, с четырьмя подканалами вычислителя отбрасывает крайние по уровню сигналы, а из оставшихся двух в середине (на числовой оси) выбирает меньший по уровню. Если один подканал вычислителя скачком выдаёт большой ложный сигнал, то КЭ на диодных мостах на выходе выдаст скачок не превышающий рабочей погрешности вычислителей.

 

Есть, так называемый (у нас) американский кворум на операционных усилителях, который вычисляет среднее арифметическое из нескольких входных. Здесь при скачке сигнала одного из входных сигналов на выходе будет скачок меньший в число подканалов вычислителей, но, гораздо больший, чем в диодном КЭ. Есть ещё отрицательные нюансы, которые надо учитывать.

. . . . .

Были случаи в гражданской авиации, когда из трёх приёмников воздушного давления два выходили из строя (или обмерзали) и каким-то образом выдавали "левые", но одинаковые значения. Судья отключал третьего, который выдавал значения не совпадающие ни с кем, но зато правильные! Вот и нюанс)))

. . . . .

Вы имеете в виду https://mak-iac.org/rassledovaniya/an-148-1...704-11-02-2018/

По этому поводу я высказал своё скромное мнение здесь

https://www.aviaport.ru/conferences/45245/#p511249

Подчеркну из сказанного в ссылке:

" Сигнализация о не включении обогрева, и сигнализация о необходимости сравнить приборные скорости разных источников НЕ красная, а ЖЁЛТАЯ, т.е. не требует немедленных действий.

Я не лётчик, но, уверен, что взлёт и набор высоты НЕ относится к "незагруженном этапе полета".

 

Сигнализацию лётчики видели, но, действовали по инструкции – отложили на потом."

* * * * *

Задолго до этого Ан-148 на туполевской машине система воздушных сигналов (СВС или что-то аналогичное) ложно выдало угол атаки градусов 80, ограничитель предельных режимов переложил рули на полный ход на пикирование. Хорошо, что высоты хватило и лётчики отключили автоматику.

 

На сегодняшний день правила проектирования гражданской авиатехники требуют:

– разнородное программное обеспечение, написанное независимыми программистами;

– разнородное железо, разработанное независимыми схемотехниками на разнородной элементной базе.

 

Но (!), то что было на туполевской машине – это алгоритмическая ошибка. На сегодняшний день лично я не знаю, как этого избежать. Знаю только, что планирование "пятилетку за год" способствует появлению таких ошибок.

 

 

[haker_fox 60]

Но (!), то что было на туполевской машине – это алгоритмическая ошибка. На сегодняшний день лично я не знаю, как этого избежать. Знаю только, что планирование "пятилетку за год" способствует появлению таких ошибок.

Спасибо огромное! Вы очень интересно рассказываете! Пойду читать ваш пост на aviaport.ru.

[Ильдус 2]

возможно ли гарантированно защитить от единичного необратимого отказа (компонента/канала) систему , в которой 90% ( весу/количеству элементов) только дублированные подсистемы а остальные как придется - троированные и т.д ?

Напридумывать можно без проблем, например, на реальном самолёте тормозные щитки (ТЩ) дублируётся методом секционирования.

Каждая секция выпускается / убирается подачей питания на электрогидроклапан по двух-проводной схеме.

- Если любой транзистор станет "гвоздиком", то ложного перемещения не будет.

- Если любой транзистор станет изолятором, то сработает одна из секций ТЩ (с пониженной эффективностью).

 

При проектировании надёжных систем всегда приходится выбирать между "плохо" и "очень плохо"

_________.doc

[haker_fox 60]

При проектировании надёжных систем всегда приходится выбирать между "плохо" и "очень плохо"

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

 

[Ильдус 2]

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

Есть КТ-254 http://kaf401.rloc.ru/ASORLD/KT-254.pdf - такая же "библия", как Моральный кодекс строителя коммунизма", только листов много больше.

 

Описание ЭДСУ или СДУ (система дистанционного управления) видел только в Руководствах по эксплуатации этих систем, и то, только в объёме, необходимом для обслуживания. Собственно и для Airbus то же самое.

 

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

Есть КТ-254 http://kaf401.rloc.ru/ASORLD/KT-254.pdf - такая же "библия", как Моральный кодекс строителя коммунизма", только листов много больше.

 

Описание ЭДСУ или СДУ (система дистанционного управления) видел только в Руководствах по эксплуатации этих систем, и то, только в объёме, необходимом для обслуживания. Собственно и для Airbus то же самое.

 

В интернете можно найти на Боинг (см. файл), но, я английским не владею, тем не менее у меня сложилось мнение, что у них где-то "за кадром" описания есть супер-пупер компьютер, которому они верят, как Богу.

Кстати, у них три тройки с использованием процессоров разных фирм.

__777_PFC.pdf

Изменено 17 мая, 2018 пользователем Ильдус

[Моисей Самуилович 0]

Ну это для любого образованного человека ясно. И никогда теория не претендует на карт-бланш.

Прошу пардона за излишне резкие выражения.

Просто меня возмутило это:

http://stu.scask.ru/book_info.php?id=33

 

Господа, прекращаем нести отсебятину и пороть чушь. Обращаем свои взоры к основоположнику. DIXI.

 

Типа "Вы всё тут дураки! Читайте Шеннона как я".

В то время как именно Шеннона НИКТО и не читает. Среди разработчиков резервированных систем. Есть более прикладная литература.Хотя её крайне мало.

 

А использование книги Шеннона при разработке троированных систем управления - это все равно что использовать только законы Максвелла для расчета схем.

 

Да законы Максвелла выполняются в электрических схемах.

Но на практике мы пользуемся другими методами расчета.

 

Так и с Шенноном. Вещь красивая, абстрактная. Но на практике практически не применимая

[Ильдус 2]

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

ссылку на одну из "книжек" я дал, ещё есть см. файл "Руководство по методам оценки безопасности..." - основной смысл : думать, думать, думать и не забывать про здравый смысл.

 

Собственно описание одного из вариантов ЭДСУ см. файл ЭДСУ-200RE_описание. - если что, то писал как бы для себя и публикую из шкурнических интересов - может быть придётся писать подобное на модификацию, поэтому моя благодарность за замечания не будет знать границ в пределах разумного.

 

Кстати, это тоже книжки - не верующие в книги могут не читать.

P4761.doc

_____200RE_________.pdf

Изменено 17 мая, 2018 пользователем Ильдус

[Моисей Самуилович 0]

Не подскажете, есть ли какие-либо книги, по проектированию (ну или хотя бы подробно описывающие) ЭДСУ, её особенности? Есть, конечно, в сети отрывочные документы для Airbus, но на книги не похоже.

Книг очень мало.

И причем у разных авторов зачастую прямо противоположный взгляд на методы резервирования и по разному идут расчеты надёжности.

Так что всё равно самому придётся головой думать

 

Кроме того, хочу заметить, что в ответственных системах кроме обеспечения низкой "вероятности отказа" не менее важно обеспечивать БЕЗОПАСНОСТЬ. А "надёжность" и "безопасность" - не тождественные понятия

 

Поэтому даже идут на уменьшение надежности если это приведет к большей безопасности.

 

Т.е. отказы бывают более критичные и менее критичные.

 

И зачастую чтобы снизить вероятность "опасного" отказа приходится увеличивать вероятность безопасных отказов

 

А что касается книг. То даташиты читайте на троированные системы.

Хороших книг по троированным системам управления практически нет.

Изменено 17 мая, 2018 пользователем Моисей Самуилович

[haker_fox 60]

Господа, спасибо за информацию. Ильдус, вам отдельное спасибо за книги! Буду неспешно изучать)

[Егоров 0]

Поэтому даже идут на уменьшение надежности если это приведет к большей безопасности.

Интересный подход.

Вообще-то , если система надежной не получается, то, конечно, ее лучше выбросить. Но заодно и не играться с опасными вещами.

Но чтобы продолжать работать с опасными вещами совсем без систем безопасности - что-то новенькое.

Если мы делаем систему разделения ступеней и она никак не получается требуемой надежности, то что делать? Не будем вообще ступени разделять, повременим с полетами поскольку еще не доросли, или полетим с системой уровня "как бог даст"?

[novikovfb 17]

Интересный подход.

Вообще-то , если система надежной не получается, то, конечно, ее лучше выбросить. Но заодно и не играться с опасными вещами.

Но чтобы продолжать работать с опасными вещами совсем без систем безопасности - что-то новенькое.

Если мы делаем систему разделения ступеней и она никак не получается требуемой надежности, то что делать? Не будем вообще ступени разделять, повременим с полетами поскольку еще не доросли, или полетим с системой уровня "как бог даст"?

Система аварийного спасения космонавтов или кресло с катапультой для летчиков - из этой серии. Сделать абсолютно надежным аппарат не получилось, пусть будет хотя бы безопасным.

[one_eight_seven 3]

То есть, сначала разработали троированное кресло, но когда оно абсолютно надежно катапультировало летчика, но кусками, то выяснилось, что это небезопасно, и пошли на снижение надёжности?

[Моисей Самуилович 0]

Интересный подход.

Вообще-то , если система надежной не получается, то, конечно, ее лучше выбросить.

Интересный подход: "Если задача не имеет нравящегося мне решения, значит её вообще решать не надо" :lol:

 

Но чтобы продолжать работать с опасными вещами совсем без систем безопасности - что-то новенькое.

Расскажите нам об этом. Как вы к этому пришли :beer:

 

Если мы делаем систему разделения ступеней и она никак не получается требуемой надежности, то что делать? Не будем вообще ступени разделять, повременим с полетами поскольку еще не доросли, или полетим с системой уровня "как бог даст"?

Вы хотите, чтобы я занялся решением ВАШЕЙ конкретной проблемы, с которой Вы не можете справиться?

Давайте тогда обсудим сумму моего гонорара

 

То есть, сначала разработали троированное кресло, но когда оно абсолютно надежно катапультировало летчика, но кусками, то выяснилось, что это небезопасно, и пошли на снижение надёжности?

 

Если это троллинг - то ну очень толстый ;)

 

А если кто-то не понял мои слова "даже идут на уменьшение надежности если это приведет к большей безопасности" приведу пример.

 

Система диагностики может не дать запустить двигатель на ракете на старте ошибочно решив, что в системе есть неисправность, хотя её на самом деле нет.

Но это лучше чем совсем убрать систему диагностики (руководствуясь придуманным идиотами правилом "чем меньше элементов в системе - тем она надёжней", правилом, которое без оговорок работает только для "систем" из двух резисторов) и пуститься с отказом, который приведёт к тому, что люди погибнут.

 

 

Таким образом мы УХУДШИЛИ надёжность. Потому что увеличили вероятность отказа.

НО.

За счёт увеличения вероятности безопасных отказов мы снизили вероятность опасных отказов в заданном интервале времени

Изменено 18 мая, 2018 пользователем Моисей Самуилович

[one_eight_seven 3]

Ах вон вы про что. Это называется "подмена понятий" вообще-то. И к надёжности отношения не имеет.