ВЭБ ПОДДЕРЖИТ БЕ-200
Тема: ВЭБ ПОДДЕРЖИТ БЕ-200
00:09 TG пишет:
А любопытно то, что аналоговый контур уже сам по себе являлся дополнением к цифровому, устойчивому к двум отказам.
**************************
Устойчивость цифрового контура к двум отказам - только в части "железа". Приложите сюда софт, который един во всех каналах, - и до свидания. Мы же уже изгрызли эту тему до дыр. Опять хотите поупражняться? :)
В итоге за устойчивость к четвёрому отказу пришлось заплатить усложнением аналоговой логики отбраковки, то есть вместо одного простого сравнения (с отбраковкой обоих при отказе) три попарных (а иначе как отбраковать один из трёх, оставив два продолжать работать?), да ещё по хорошему сделать это три раза, чтобы быть устойчивым к отказу логики мажорирования.
**************************
О какой сложности речь? Обыкновенные аналоговые кворум-элементы на аналоговых компараторах - на выходе каждого канала. На вход кворум-элемента подается сигнал своего и двух соседних сигналов. На выходе - отмажоритированный аналоговых сигнал плюс нормально замкнутый дискретный сигнал исправности. Один кворум-элемент - заказная аналоговая микросхема.
> Если я правильно понял: одна тройка цифры на одном железе с одной версией ПО, другая тройка цифры на другом железе с другой версией ПО
Я понял не совсем так: всё железо однородно, и ПО одно и то же. То бишь допускался один очевидный (fail-stop) программный отказ и по два аппаратных отказа на аналоговый и цифровой контуры. Для выявления неочевидных (византийских) отказов в ПО требовалось бы три разнородных канала и мажорирование. Насколько я понял ЮА, так сделали в Б-777
> Устойчивость цифрового контура к двум отказам - только в части "железа". Приложите сюда софт, который един во всех каналах, - и до свидания. Мы же уже изгрызли эту тему до дыр. Опять хотите поупражняться? :)
Разумеется, я имел в виду только аппаратные отказы. Программные отказы в такой архитектуре в общем случае всё равно не "ловятся".
> Один кворум-элемент - заказная аналоговая микросхема.
Понял. Просто по мне "сигнал исправности", сгенерированный микросхемой, исправность которой требуется установить, вещь сомнительная :)
2Ильдус:
При наличии полноценного аналогового контура две разные цифровые тройки не нужны. В аналоге нет софта, поэтому и тут разнородность не нужна. Итого - два типа "железа". Разнородность тут на уровне "цифра против аналога". Плюс интенсивная верификация и валидация как "цифры", так и "аналога". Без этого - никак. А две тройки - это для живучести. Разнос по разным бортам, питание от разных источников. Ну и в качестве бонуса - возможность безопасно летать с множеством непересекающихся отказов в цифровой тройке (упомянутая выше "многоярусность" троирования с мажоритированием).
Кстати у Боинга 777 три разнородные тройки без аналога. И тоже вроде как можно летать с несколькими непересекающимися отказами. Т.к. там тоже некая многоярусность есть. По крайней мере между процессорами и УВВ перекрестное мажоритирование имеет место быть. Если мне не изменяет склероз... У Эрбаса - дважды сдвоенная схема резервирования. Аналога тоже нет, но два типа цифрового железа и два разных софта. Причем в основном режиме работает один софт, в случае его гибели - начинает работать второй. Опять же, если мне не изменяет склероз...
01:10 TG пишет:
Просто по мне "сигнал исправности", сгенерированный микросхемой, исправность которой требуется установить, вещь сомнительная :)
**************************************************************
А работа компараторов, порождающих дискретный сигнал "Ок", когда на входе разница аналоговых сигналов не превышает порога у Вас не вызывает сомнения? :)
Нет, не вызывает, ибо я выразился метафорически. Вопрос был в защите от некорректной работы кворум-элемента. Сам я аналоговых отказоустойчивых систем не разрабатывал, и ответ мне неочевиден. Навскидку там, видимо, логика сводится к элементу, отказ которого считается маловероятным.
01:57 TG пишет:
Вопрос был в защите от некорректной работы кворум-элемента. Сам я аналоговых отказоустойчивых систем не разрабатывал, и ответ мне неочевиден. Навскидку там, видимо, логика сводится к элементу, отказ которого считается маловероятным.
*****************************************************
На выходе каждого канала - кворум элемент, который кворумирует сигнал своего канала и трех соседних. Компараторы, входящие в состав сего элемента, выдают наружу три дискретных сигнала об исправности своего и двух соседних каналов. На исполнительном устройстве, куда приходит управляющий сигнал данного канала, собираются три дискретных сигнала об исправности этого канала - от своего аналогового вычислителя и от трех соседних. Дальше - обычная релейная логик 2 из 3-х. Если на 2-х из 3-х нет исправности - муфточка, соединяющая привод с выходным штоком рассоединяется. Тут могут быть многа разных вариантов. Иногда ничего такого не городят, а отдают все на откуп мускулам приводов, совершающих полезную работу. По принципу - два правильно работающих всегда пересилят неправильно работающего. А на неправильно работающем муфта сцеплания сама рассоединяется из-за чрезмерного сопротивления. Чисто механическое кворумирование на самом выходе... :)
Вдогонку: "...кворумирует сигнал своего канала и трех соседних" читать как "кворумирует сигнал своего канала с двумя соседними" :)
А, спасибо, действительно ничего сложного. В конечном счёте всё упирается в "механику", которая всё равно нужна даже для "цифры". Это и будет "надёжный" элемент.
Да, аналог в коннце концов упирается в механику. Но и цифра тоже не прямо выходит на механику, а опять же - через аналог. В ракетной технике правда цифровые приводы уже давно опробованы. Но там очень сложно-профилированная под цифру на входе гидромеханика. Зато - никаких цифро-аналоговых преобразователей... :)
Хороший пример того, как в самое неожиданное время и в самом неожиданном месте может сформироваться крайне интересная и информативная беседа :-)
Главное, чтоб участвующтм было что сказать, чтобы они хотели сказать, а главное — чтобы хотели слушать и слышать :-))))
> Зато - никаких цифро-аналоговых преобразователей... :)
Возражаю, Ваша Честь! Они просто упрятаны внутри привода ! ;)
> . А две тройки - это для живучести.
Если уж совсем честно сказать, то для компенсации очень низкого качества отечественной электроники.
03:53 musha пишет:
Если уж совсем честно сказать, то для компенсации очень низкого качества отечественной электроники.
*********************************************************************
Нет, Муша, честно сказать у Вас даже при очень искреннем желании не получается... :) Низкое качество отечественной электроники к локальным пожарам на борту и механические повреждения проводки из-за отрыва лопатки турбины, например, никакого отношения не имеют....
Юрий Анатольевич. так какой КА до сих пор летает на орбите и с какого года? и какие там пожары случились на борту?
я скажу честно не пытаюсь вас троллить и почему вы тройное резервирование делали прекрасно знаю.
![[image]](https://pics.aviaport.ru/cache/news/170x/537171.jpeg)