Тройное дублирование Способы повышения надёжности
В связи с упавшим Прогресс М-12М хочется обсудить проблему повышения надёжности. Приложить так сказать к ней свою лапу. Помочь космонавтике.
Вообще тема давно назрела. Не помню так сразу все случаи, но например на Космос-1669 не сработал датчик открытия антенны, хотя она открылась ( ссылка (http://www.novosti-kosmonavtiki.ru/content/numbers/171/63.shtml) ). Всё конечно обошлось, но осадок остался.
На Салюте-7 сломался датчик заряд химических батарей, и показывал, что они заряжены, из-за этого их автоматика не подключала к зарядке от солнечных батарей, в результате станция обесточилась и отключилась. Пришлось посылать Союз, а потом два Прогресса чтобы вернуть станцию к жизни ( ссылка (http://epizodsspace.airbase.ru/bibl/nauka-v-ussr/1986/remont.html) ). Тратить массу труда, денег, времени, нервов. Не слишком ли высокая цена за один не продублированный датчик?
В общем пораскинув тем, что былом, продублировать датчик можно так как на картинке ( http://xmages.net/storage/10/1/0/a/5/upload/d69b1bed.gif ):
(http://xmages.net/storage/10/1/0/a/5/upload/d69b1bed.gif)
В пункте "2" есть три датчика измеряющих одно и тоже. Например, тот же заряд химических батарей на Салюте-7. Датчики подключены не напрямую к лампочке ( или некой системе выполняющий определённые действия ), а подключены к реле, причём таким образом, что лампочка загорается по большинству голосов от датчиков. Если двое из трёх или более датчиков включены - лампочка загорается, если двое из трёх или более датчиков выключены - лампочка гаснет. Демократия. Любой из датчиков может сломаться и это никак не повлияет на работоспособность системы.
Второй вопрос - это как узнать произошла ли поломка датчика? Для этого нужна схема "3". По этой схеме подключения лампочка загорается если датчики не пришли к консенсусу. Консенсус - это общее согласие ( так обычно голосуют на межгосударственном уровне ). Если один из датчиков не согласен с двумя другими, то лампочка загорится и будет сигнализировать, что датчик сломался, надо идти и ремонтировать. При переключении датчиков из положения в положение лампочка будет помигивать, так как абсолютно синхронно переключиться невозможно. Это помигивание будет свидетельствовать, о том, что система работает.
Может показаться, что 12 реле - это слишком. Но это дешевле чем посылка 3 кораблей к умершему Салюту-7.
Может быть есть лучшие способы повышения надёжности?
Есть. И давно.
Не усложнять без надобности.
ЦитироватьЕсть. И давно.
А как устроено? И как давно? Ведь на Салют-7 значит не было?
Тройное дублирование (оно же двойное троирование) называется "мажоритирование".
Тут существуют свои особенности... Если обработка совместная трех датчиков, то возникают сложности если выходит один из них из строя - непонятно какой из оставшихся двух врет, а какой нет.
Основной, как мне кажется, схемой повышения надежности (плюс к той что уже разработана и используется) является анализ косвенных параметров, которых всегда навалом... Тот же заряд батареи можно глядеть не только по датчикам, но регистрировать по уйме косвенных параметров СЭС и очень точно диагностировать когда аппарату плохо.
Другое дело, если речь идет о динамичных системах, где реакция на отказ должна быть как можно более быстрой и нет возможности анализировать... Но это как правило в ракетной технике, а не в КА (на пассивных участках полета). На пассивных участках диагностика по косвенным признакам (в случае отказа основных измерительных средств) возможна почти у всего.
ЦитироватьТут существуют свои особенности... Если обработка совместная трех датчиков, то возникают сложности если выходит один из них из строя - непонятно какой из оставшихся двух врет, а какой нет.
Тогда требуется срабатывание обоих оставшихся. Отказ двух из трёх это уже перебор.
ЦитироватьЦитироватьТут существуют свои особенности... Если обработка совместная трех датчиков, то возникают сложности если выходит один из них из строя - непонятно какой из оставшихся двух врет, а какой нет.
Тогда требуется срабатывание обоих оставшихся. Отказ двух из трёх это уже перебор.
троирование с горячим резервированием при наличии блока распознавания неисправности позволяет работать и при двух отказавших из трёх. Но добавляется вероятность отказа этого модуля, а он может признать все комплекты неисправными при их полной исправности. Если три горячих соединяем мажоритарно, то сразу схема становится не троированной, а дублированной. Вроде комплекта три, а толку с них как с двух. :D
К резервированию вообще в принципе не так надо подходить. Надо резервировать не датчики (хотя их тоже), а функциональные устройства. То есть ставить ен одну АКБ, а 5 штук, в разных частях станции, и с автономной электроникой на каждой. А отказ ловить не по сообщению датчика, а по обмену с самой батареей (либо отсутствию такого обмена). Это, блин, в сотовых телефонах делают, где бюджет на батарею с контроллером - 10 баксов. Думаю, станция за 10 ГИГАбаксов заслуживает как минимум такого же подхода :-P
ЦитироватьК резервированию вообще в принципе не так надо подходить. Надо резервировать не датчики (хотя их тоже), а функциональные устройства. То есть ставить ен одну АКБ, а 5 штук, в разных частях станции, и с автономной электроникой на каждой. А отказ ловить не по сообщению датчика, а по обмену с самой батареей (либо отсутствию такого обмена). Это, блин, в сотовых телефонах делают, где бюджет на батарею с контроллером - 10 баксов. Думаю, станция за 10 ГИГАбаксов заслуживает как минимум такого же подхода :-P
И как 5 штук АБ соединять? паралельно? :D :D Тогда уж и 5 комплектов ПН бы надо.
По уму так надо каждый элемент АБ контролировать отдельно и иметь возможность отключать неисправную "банку". Правда "отключатель" тоже может отказать или датчик.
ЦитироватьЦитироватьЕсть. И давно.
А как устроено? И как давно? Ведь на Салют-7 значит не было?
Давным давно существует. На Салют-7, ЕМНИП, "дело было не в бобине, рас3,34здяй сидел в кабине". Мажоритарные схемы тут бессильны.
В ДУ ТКС, к примеру, асе сигнализаторы имели по 2 контактные группы, и устанавливались по 3 штуки. В том числе сигнализаторы двигателя. Наличие 6 пар контактов в 3 независимых сигнализаторах позволяло набрать мажоритарную схему простой коммутацией кабелей, соответсвенно блок из 3 сигнализаторов автоматически выдавал мажоритарное решение.
Наверняка и на Салюте важнейшие чувствительные элементы троировались.
ЗЫ А термин "Тройное дублирование" - это все равно, что "альтернатива из трех" :D
К сожалению, часто цепи дублирования и троирования прокладываются в одном кабеле, через весь борт. Его повреждение ведёт к отказу и обесцениванию самой идеи подобной защиты.
Цитировать"альтернатива из трех" :D
А мне и "альтернатива из двух" режет слух также как "две большие разницы" :cry:
Ещё неплохо, на один измеряемый параметр, установить датчики работающие на совершенно различных физических принципах.
ЦитироватьК сожалению, часто цепи дублирования и троирования прокладываются в одном кабеле, через весь борт. Его повреждение ведёт к отказу и обесцениванию самой идеи подобной защиты.
Вот чтобы такого не было и делается деление систем по бортам.
ЦитироватьЕщё неплохо, на один измеряемый параметр, установить датчики работающие на совершенно различных физических принципах.
Цитироватьсхемой повышения надежности (плюс к той что уже разработана и используется) является анализ косвенных параметров, которых всегда навалом... Тот же заряд батареи можно глядеть не только по датчикам, но регистрировать по уйме косвенных параметров СЭС и очень точно диагностировать когда аппарату плохо
Увы, у нас практически не делается - лишняя масса.
ЦитироватьЧорд. Кенгуру нарыл статью про резервирование.
Ни одной никогда не читал. Если есть какая-то интересная статья - дайте мне ссылки пожалуйста.
ЦитироватьЕстественно в космической технике применяется резервирование. Причем гораздо более сложные и надежные схемы.
А можно посмотреть?
ЦитироватьК примеру все ваши вот эти рисульки для 5 класса не выдержат единичный отказ лампочки. Или линии к лампочке, или линии от батарейки.
Добавьте в линию с датчиками переключатели которые заменяли бы собой датчики и попереключайте их туда-сюда. Сразу увидите работает или нет.
ЦитироватьТо что вы вычитали что в Салюте отказал датчик заряда АКБ совсем не значит что он там один одинешинек, и без схемы защиты от сбоев.
В статье написано "датчик", а не "датчики".
ЦитироватьПросто на любую систему найдется непредусмотренный сбой(или банальный брак), который выведет её из строя.
Против брака существуют проверки.
А непредсказуемых сбоев думаю, что не бывает. Бывает, когда лень было подумать заранее.
ЦитироватьЦитироватьЦитироватьЕсть. И давно.
А как устроено? И как давно? Ведь на Салют-7 значит не было?
Давным давно существует. На Салют-7, ЕМНИП, "дело было не в бобине, рас3,34здяй сидел в кабине". Мажоритарные схемы тут бессильны.
В ДУ ТКС, к примеру, асе сигнализаторы имели по 2 контактные группы, и устанавливались по 3 штуки. В том числе сигнализаторы двигателя. Наличие 6 пар контактов в 3 независимых сигнализаторах позволяло набрать мажоритарную схему простой коммутацией кабелей, соответсвенно блок из 3 сигнализаторов автоматически выдавал мажоритарное решение.
А проверка того одинаковые решения принимаются всеми элементами или нет там предусмотрена? Если нет, то выхода из строя одного из элементов можно не заметить, а значит со временем может выйти из строя и второй и тогда кранты.
резервирование связи по каналам:
- витая пара САN, прерывания на критические вещи...
- радиоканал WIFI, ...
- оптика Ethernet, ...
резервирование управления:
- механическим способом: тумблер, ....
- электронным способом: реле, ...
резервирование за счет физической разнесённости в пространстве
ЦитироватьА проверка того одинаковые решения принимаются всеми элементами или нет там предусмотрена? Если нет, то выхода из строя одного из элементов можно не заметить, а значит со временем может выйти из строя и второй и тогда кранты.
Проверка предусмотрена. Кроме троированных сигнализаторов имеются и датчики давления. Есть и другие способы проверки.
ЦитироватьЦитироватьА проверка того одинаковые решения принимаются всеми элементами или нет там предусмотрена? Если нет, то выхода из строя одного из элементов можно не заметить, а значит со временем может выйти из строя и второй и тогда кранты.
Проверка предусмотрена. Кроме троированных сигнализаторов имеются и датчики давления. Есть и другие способы проверки.
Нет, не датчики давления, а именно проверка того, что сигнализаторы одинаково срабатывают или нет. Делается ли такая проверка? Если да, то можно схемку посмотреть как это всё организовано?
А что значит одинаково срабатывают? Даже сигнализаторы с одинаковой настройкой срабатывают неодновременно, но в допуске.
ЦитироватьА что значит одинаково срабатывают?
Значит два переключились, а третий - нет. В пределах определённого времени конечно, за которое переключение гарантировано должно состояться.