Форум Новости Космонавтики

Актуальная тема после потери Фобос-Грунта и в свете грядущих миссий Роскосмоса на Луну и Марс. Рассматриваются такие вопросы:
1. Программно-аппаратная реализация защищённых от сбоев и ошибок бортовых вычислительно-управляющих комплексов (ВУК).
2. Реализация аварийного режима (safe mode: http://en.wikipedia.org/wiki/Safe_mode_(spacecraft)  (http://en.wikipedia.org/wiki/Safe_mode_(spacecraft)) )
3. Процедуры аварийного восстановления после сбоев.

Техника во многом одинаковая для трёх видов применений:
1. Пилотируемые КА: на борту есть человек, который что-то может починить, но его безопасность выше сохранности корабля;
2. Околоземные и окололунные беспилотные КА: расстояние до земли — ~0.1 св. с, поэтому реагировать на большую часть аварий Земля может быстро;
3. Далёкие орбитальные или пролётные аппараты (АМС): расстояние до земли — световые минуты и часы, поэтому немедленно реагировать на большую часть аварий приходится борту;

Отдельным подклассом выступают близкие (лунные) и далёкие (планетарные и пр.) поверхностные аппараты: потеря ориентации в невесомости им не грозит, зато мобильные могут перевернуться.

Вначале составим список опасностей для космических (не поверхностных) аппаратов. Замечания и дополнения приветствуются:
А. Аппаратные поломки и сбои КА:
А1. Поломка управляющего блока (ВУК);
А2. Поломка управляемого блока;
А3. Поломка датчика (в т.ч. по причине неверного подключения или нетрадиционной ориентации);
А4. Короткое замыкание с полным обесточиванием блока (в т.ч. вследствие тиристорного эффекта);
А5. Потеря части заряда, проседание напряжения;
А6. Потеря подпитки из-за неориентации на Солнце (с сохранением остаточного заряда);
А7. Потеря заряда и Солнца (полное обесточивание борта);
А8. Потеря связи из-за неориентации на Землю;
А9. Потеря газа или жидкости из-за утечки;
Б. Программные поломки и сбои КА:
Б1. Зависание;
Б2. Одиночная перезагрузка;
Б3. Циклическая перезагрузка;
Б4. Ошибка алгоритма (деление на 0, запись в запрещённую память...);
Б5. Потеря памяти данных;
Б6. Потеря памяти прикладных программ;
Б7. Потеря памяти системных программ;
Б8. Потеря времени (сбой бортовых часов);
В. Ошибки и поломки на Земле:
В1. Ошибки операторов (неверные команды или данные);
В2. Сбой аппаратуры связи;
Г. Опасности окр. среды:
Г1. Перегрев;
Г2. Переохлаждение;
Г3. Радиация — накопление дозы;
Г4. Радиация — попадания ЗЧ, одиночные сбои;
Г5. Попадание космической пыли или мусора;
Г6. Нападение пришельцев, изменение орбиты Земли, сбой физических законов (на случай, если, не смотря на все вышеозначенные старания, аппарат всё ещё работает  :)  

Теперь можно разобрать защиту от вышеозначенных проблем и реакцию на случай их происшествия. Также можно рассмотреть отдельные случаи (наши и по ссылке из Вики выше) на предмет того, что было и как оно должно было быть — исходя из принципа надёжной системы: она не должна выйти из строя целиком при выходе из строя любой её части.

Отдельный вопрос — бункер. Точно не знаю, как это называется, но идея такая: в КА нужно иметь некую особо защищённую (от всего) область с долговременным автономным питанием, ресурсы которой сохраняются, даже если засбоит, сломается или выключится всё остальное. Внутри находятся:

1. Часы с корректором и регистром сдвига хронологии миссии;
2. Таймеры с возможностью выдачи прерываний;
3. Журнал событий с указанием приоритета и времени для записей;
4. Память для особо важных данных и кода аварийного восстановления;
5. Возможно, простой компьютер для аварийных действий по защите целостности.
6. Возможно, некоторые датчики: температура, радиация, напряжение...

Вопрос про бункер — где такое есть, как зовётся и как устроено?

Другой вопрос — уровень самостоятельности борта при принятии решений: как определяется, что надо делать немедленно, а на что ждать команды с Земли (если есть связь...).

Слово предоставляется товарищам причастным!  8)

ЦитироватьРысьь пишет:
Отдельный вопрос — бункер. Точно не знаю, как это называется, но идея такая: в
КА нужно иметь некую особо защищённую (от всего) область с долговременным
автономным питанием, ресурсы которой сохраняются, даже если засбоит, сломается
или выключится всё остальное.

Не буду облобщать, но в знакомых мне реализациях БЦВК:
- часы (счетчик) есть в каждом полукомплекте либо только в модуле реконфигурации, либо в нем + процессорном. И там и там с аппаратной защитой от "переворачивания" одного бита, и там и там - сбрасываемые в ноль при обесточивании. Обесточенному аппарату часы не нужны :)
- предсмертные журналы ПО БЦВК на некоторых аппаратах - в RAM, на некоторых часть копируется 9когда на это остается время...) в EEPROM.
- "простой компьютер" - это техническое решение, использованное на некотрых платформах 80х годов. При критических сбоях (неоднократных) или полном отказе основных процессоров и используемых ими аппаратных ресурсов происходит переход в защитный режим на отдельный огда резервируемой, иногда нет) процессор с минимумом интерфейсов. в основном  на отдельные датчики и устройства управления ориентацией. Все, что его ПО может делать - крутить аппарат панелями к солнцу, давать земле минимально необходимую информацию для диагностики аппарата и доступ к ресурсам БЦВК для диагностики и конфигурации

ЦитироватьРысьь пишет:
Другой вопрос — уровень самостоятельности борта при принятии решений: как
определяется, что надо делать немедленно, а на что ждать команды с Земли (если
есть связь...).

Определяется требованиями, они очень могут быть разными даже у, казалось бы, похожих апапратов...
Требования к автономности растут в том числе и для снижения расходов при эксплуатации. Чтобы, например, работали только в рабочее время и в рабочие дни, а время использования наземных станций было минимальным.

ЦитироватьРысьь пишет:
2. Околоземные и окололунные беспилотные КА: расстояние до земли — ~0.1 св. с,
поэтому реагировать на большую часть аварий Земля может быстро;

Это если контак с аппаратом частый. Сейчас немало летает аппаратов на низкой орбите, сеансы (минут по 10 ) с которыми - раз в сутки или даже двое. И чем дальше, тем таких будет больше и связь будет еще менее редкой. Дорого оно...

Можно начать с книги - Handbook of Space Technology и этих двух глав:

4  Subsystems of Spacecraft
9  Management of Space Projects


Ссылка на книгу присутствует на форуме в разделе "Книги...". Считаю очень толково и грамотно расписано о надежности и качестве, о путях их достижения на разных этапах создания КА.

ЦитироватьAleks1961 пишет:
книги - Handbook of Space Technology

Спасибо, почитаем.

ЦитироватьSOE пишет:
а время использования наземных станций было минимальным.

Странно, сегодня же есть спутники-ретрансляторы, а с земли можно связяться с низкой орбитой за копейки — телефон Иридиум на 1000 км вверх слышно.

ЦитироватьSOE пишет:
"простой компьютер" - это техническое решение, использованное на некотрых
платформах 80х годов

А почему это решение перестали применять с тех пор?

ЦитироватьSOE пишет:
сбрасываемые в ноль при обесточивании. Обесточенному аппарату часы не нужны

Странно. Думаю, что нужны, когда речь идёт о АМС и проишествиях типа случившегося с SOHO. Вообще, история его реанимации достойна всяческих анналов  :)  Суть сохранения времени и журнала на период провала питания в том, что аппарат может беспорядочно крутиться или внезапно войти в тень, а потом выйти из неё и через некоторое время получить достаточное количество энергии, чтобы что-то зарядить и включить. Тут аварийной логике надо ответить на вопросы: кто я, где я, что последнее я помню, что у меня в баках и батареях, не сломан ли какой-то блок, и в какую сторону Земля? И тогда часы, память полётного задания с временными метками, знание положения планет и прочих тел и бортовой журнал очень помогут в борьбе с амнезией.

ЦитироватьSOE пишет:
только в модуле реконфигурации

А этот модуль сам защищён лучше того, что он конфигурирует? Ведь сбой может быть и в нём.

ЦитироватьРысьь пишет:
Странно, сегодня же есть спутники-ретрансляторы, а с земли можно связяться с
низкой орбитой за копейки — телефон Иридиум на 1000 км вверх слышно.

Это еще дороже. Сейчас, по крайней мере.

ЦитироватьРысьь пишет:
А почему это решение перестали применять с тех пор?

По мере роста доверия (статистики по эксплуатации) пришли все или почти все к более простому решению. При этом, на части аппаратов (не на всех) при переходе в защитный режим загружается ПО, специфичное для него. Куда более простое, чем основное номинальное. При таком решении типично и использование отдельных (для защитного режима) датчиков системы ориентации.

ЦитироватьРысьь пишет:
И тогда часы, память полётного задания с временными метками, знание положения
планет и прочих тел и бортовой журнал очень помогут в борьбе с амнезией.

Так тоже бывает. Есть вариант реализации (на одном недавно запущенном аппарате) когда информация о бортовом времени (счетчик + сдвиг его) периодически переписываются в EEPROM.

ЦитироватьРысьь пишет:
А этот модуль сам защищён лучше того, что он конфигурирует? Ведь сбой может быть
и в нём.

Он надежнее, так как:
- модулей реконфигурации 2 и один из них находится (с оговорками) в горячем резерве
- нет ПО, все "прошито" в FPGA и PROM
- они просты, настолько, насколько можно упростить
- они типовые, то есть, кочуют годами с аппарата на аппарат (и даже с платформы на платформу) с минимальными модификациями. Например, где-то нужно мониторить продолжительность открытия клапанов двигателей ДУ, а где-то нет, где-то то нужно отслеживать наличие сигнала "вижу Солнце", а где-то его и быть не может все время.

В случае SOHO, кстати, время вообще ни при чем - в защитном режиме он на отдельном "железном" управлении ориентацией, тени быть не может, ориентация предельно простая - лицом к Солцу, Земля автоматически "в попе". А выживать после стольких эпических ошибок управления не один аппарат не рассчитан...

ЦитироватьSOE пишет:
типично и использование отдельных (для защитного режима) датчиков системы ориентации.

А зачем отдельных? Они более простые и потому надёжней?

ЦитироватьSOE пишет:
где-то нужно мониторить продолжительность открытия клапанов двигателей ДУ, а где-то нет

О, кстати про это! Это как раз реализация пунктов Б1 и Б4. Интересно, как устроена защита от зависаний и перезагрузок при исполнении неразрывных последовательностей операций? Например, изменение орбиты:
1. Включить двигатели ориентации.
2. Подождать N.
3. Выключить двигатели ориентации.
4. Подождать M (идёт поворот).
5. Включить противоположные двигатели ориентации.
6. Подождать N.
7. Выключить противоположные двигатели ориентации.
8. Проверить стабилизацию, вякнуть Земле ТМИ всенаправленной антенной.
9. Включить маршевый двигатель.
10. Подождать X.
11. Выключить маршевый двигатель.
12-19. Повторить пункты 1-8, чтобы вернуться в исходное или в новое положение.

И что будет если в любой момент в ходе таких ответственных операций случится встреча с коварной ТЗЧ? (Особенно, если как раз в этот момент работает двигатль ориентации, либо аппарат вращается по инерции.) Как не стать вторым Фобос-Грунтом?

ЦитироватьРысьь пишет:
А зачем отдельных? Они более простые и потому надёжней?

Как правило, они проще и грубее. Много от них не тербуется в смысле точности. Также, это автоматом позволяет исключить из контура управления то. что, возможно, и явилось первопричиной перехода в ЗР.

ЦитироватьРысьь пишет:
Интересно, как устроена защита от зависаний и перезагрузок при исполнении
неразрывных последовательностей операций?

Не знаю, не сталкивался с таким лично. Чтобы уменьшить вероятность стать "вторым Фобос-Грунтом" надо стараться планировать миссию и операции по ней так, чтобы операций с единственным шансом не было вообще или они были исключены там, где это хоть как-либо возможно. И создавать адекватный рискам наземный сегмент.
То есть, по моему частному мнению, это история вообще не о БЦВК, его железе и ПО, а об инженерных и организационных решениях системного уровня.

ЦитироватьРысьь пишет:
Актуальная тема после потери Фобос-Грунта и в свете грядущих миссий Роскосмоса на Луну и Марс. Рассматриваются такие вопросы:
1. Программно-аппаратная реализация защищённых от сбоев и ошибок бортовых вычислительно-управляющих комплексов (ВУК).
2. Реализация аварийного режима (safe mode:  http://en.wikipedia.org/wiki/Safe_mode_(spacecraft ) )
3. Процедуры аварийного восстановления после сбоев.

Техника во многом одинаковая для трёх видов применений:
1. Пилотируемые КА: на борту есть человек, который что-то может починить, но его безопасность выше сохранности корабля;
2. Околоземные и окололунные беспилотные КА: расстояние до земли — ~0.1 св. с, поэтому реагировать на большую часть аварий Земля может быстро;
3. Далёкие орбитальные или пролётные аппараты (АМС): расстояние до земли — световые минуты и часы, поэтому немедленно реагировать на большую часть аварий приходится борту;

Отдельным подклассом выступают близкие (лунные) и далёкие (планетарные и пр.) поверхностные аппараты: потеря ориентации в невесомости им не грозит, зато мобильные могут перевернуться.

Вначале составим список опасностей для космических (не поверхностных) аппаратов. Замечания и дополнения приветствуются:
А. Аппаратные поломки и сбои КА:
А1. Поломка управляющего блока (ВУК);
А2. Поломка управляемого блока;
А3. Поломка датчика (в т.ч. по причине неверного подключения или нетрадиционной ориентации);
А4. Короткое замыкание с полным обесточиванием блока (в т.ч. вследствие тиристорного эффекта);
А5. Потеря части заряда, проседание напряжения;
А6. Потеря подпитки из-за неориентации на Солнце (с сохранением остаточного заряда);
А7. Потеря заряда и Солнца (полное обесточивание борта);
А8. Потеря связи из-за неориентации на Землю;
А9. Потеря газа или жидкости из-за утечки;
Б. Программные поломки и сбои КА:
Б1. Зависание;
Б2. Одиночная перезагрузка;
Б3. Циклическая перезагрузка;
Б4. Ошибка алгоритма (деление на 0, запись в запрещённую память...);
Б5. Потеря памяти данных;
Б6. Потеря памяти прикладных программ;
Б7. Потеря памяти системных программ;
Б8. Потеря времени (сбой бортовых часов);
В. Ошибки и поломки на Земле:
В1. Ошибки операторов (неверные команды или данные);
В2. Сбой аппаратуры связи;
Г. Опасности окр. среды:
Г1. Перегрев;
Г2. Переохлаждение;
Г3. Радиация — накопление дозы;
Г4. Радиация — попадания ЗЧ, одиночные сбои;
Г5. Попадание космической пыли или мусора;
Г6. Нападение пришельцев, изменение орбиты Земли, сбой физических законов (на случай, если, не смотря на все вышеозначенные старания, аппарат всё ещё работает    

Теперь можно разобрать защиту от вышеозначенных проблем и реакцию на случай их происшествия. Также можно рассмотреть отдельные случаи (наши и по ссылке из Вики выше) на предмет того, что было и как оно должно было быть — исходя из принципа надёжной системы: она не должна выйти из строя целиком при выходе из строя любой её части.

Отдельный вопрос — бункер. Точно не знаю, как это называется, но идея такая: в КА нужно иметь некую особо защищённую (от всего) область с долговременным автономным питанием, ресурсы которой сохраняются, даже если засбоит, сломается или выключится всё остальное. Внутри находятся:

1. Часы с корректором и регистром сдвига хронологии миссии;
2. Таймеры с возможностью выдачи прерываний;
3. Журнал событий с указанием приоритета и времени для записей;
4. Память для особо важных данных и кода аварийного восстановления;
5. Возможно, простой компьютер для аварийных действий по защите целостности.
6. Возможно, некоторые датчики: температура, радиация, напряжение...

Вопрос про бункер — где такое есть, как зовётся и как устроено?

Другой вопрос — уровень самостоятельности борта при принятии решений: как определяется, что надо делать немедленно, а на что ждать команды с Земли (если есть связь...).

Слово предоставляется товарищам причастным!

Это Вы "мощно задвинули".
Что конкретно хотите узнать или обсудить? А то все в кучу.

ЦитироватьРысьь пишет:
Странно, сегодня же есть спутники-ретрансляторы, а с земли можно связяться с низкой орбитой за копейки — телефон Иридиум на 1000 км вверх слышно

Подумайте еще раз...

ОК, тогда давайте по конкретным случаям. Вот в прошлом году Протон навернулся из-за неверно установленных ДУСов. Могла ли БЦВМ как-то парировать эту ошибку? (Это пункт Б3.) Помнится, однажды посла запуска какого-то из Глонассов обнаружился переворот одного из тамошних датчиков ориентации. Однако аппарат не потерялся и как-то смог связаться с Землёй; проблему починили перепрошивкой.

А как насчёт защиты от тиристора передёргиванием питания с потерей памяти? Отменить это нелья, т.к. иначе защищаемый блок сгорит. Но что, если тиристор случился в БЦВМ при исполнении важных расчётов или при активных манёврах на орбите?

А если речь не о тиристоре, а о невосстановимой ошибке в памяти, которую Хэмминг не исправил? Такая ошибка произошла на зонде New Horizons, летящем к Плутону: http://www.plutotoday.com/news/viewpr.html?pid=22225 .

ЦитироватьDed пишет:
Подумайте еще раз

Подумал. Не помогло. Что не так с Иридиумом и ретрансляторами?

ЦитироватьРысьь пишет:
А если речь не о тиристоре, а о невосстановимой ошибке в памяти, которую Хэмминг не исправил? Такая ошибка произошла на зонде New Horizons, летящем к Плутону:

...то происходит всего лишь перезагрузка БЦВМ. Переключения состояния в других местах, как-то: блоке выдачи разовых команд (с выдачей разовой команды без всяких на то видимых причин), неожиданные включения/выключения потребителей в блоке электро-распределения) приводят иногда к куда более интересным последствиям. Но тоже никак не катастрофическим если аппарат грамотно спроектирован.

Далеко не каждый аппарат после перезагрузки такой (как new Horisons) переходит в защитный режим.

ЦитироватьРысьь пишет:
Протон навернулся из-за неверно установленных ДУСов. Могла ли БЦВМ как-то парировать эту ошибку? (Это пункт Б3.)

Я полагал, тема о КА...

ЦитироватьSOE (//http:///forum/user/16370/) написал:
Я полагал, тема о КА

Не только, алгоритмы же похожие. В космосе тоже может навернуться датчик ориантации — и что тогда?

ЦитироватьДалеко не каждый аппарат после перезагрузки такой (как new Horisons) переходит в защитный режим

Там дело хитрее; у них 2 компа (как я понял, одинаковых): 1-й управляет и обсчитывает ПН (т.е. научные приборы), а 2-й — обслуживающие системы. Работать они могут одновременно и независимо перегружаться. Причина решения ясна, но настолько такой подход распространён?

Цитироватьпроисходит всего лишь перезагрузка БЦВМ

Да, но что будет, если в этот момент идут активные манёвры или (хуже того) влёт в атмосферу? Там лишня секунда без правильной реакции может стоить жизни аппарату. Кроме того, сама по себе перезагрузка это половина дела — надо ещё как-то исправить ошибку. Если это код, то переписать его из архива (если он есть) или запросить с Земли (но надо иметь связь и ждать). Если данные, то надо смотреть — какие; можно ли просто удалить, можно ли пересчитать или надо грузить с Земли. Как эти алгоритмы устроены? И что будет, если ошибка обнаружится в самом этом алгоритме (коде или данных)?

Цитироватьв блоке выдачи разовых команд (с выдачей разовой команды без всяких на то видимых причин), неожиданные включения/выключения потребителей в блоке электро-распределения) приводят иногда к куда более интересным последствиям

Первое чинится временнЫм дублиированием или подтверждением выданных команд. Или после выдачи команды надо вставить некий проверочный хэш. Или добавить «соль» (salt, это понятие из криптографии: удлинняющая добавка к паролю или шифруемому тексту).

Второе (помимо вышесказанного) определяется датчиками тока и проверкой активности потребителей. Точнее, это всё намётки в режиме «если б главным конструктором был я»  ;)

На критических по быстродействию участках полета - аппаратно мажоритированные БЦВМ. Вот и все. Горячее резервирование по схеме голосования 2 из 3.
Все остальное - переход в защищенный режим с поддержаниме ориентации КА на Солнце через блок дежурного режима (можно хоть аналоговым его сделать, что бы ни одна ТЗЧ не пробила) с параллельным рестартом БЦВМ и планомерным восстановлением работы систем по командам с Земли.

ЦитироватьРысьь пишет:

Странно, сегодня же есть спутники-ретрансляторы, а с земли можно связяться с низкой орбитой за копейки — телефон Иридиум на 1000 км вверх слышно

Так тож с Земли (про Иридиумы)...
Что касается спутников-ретрансляторов (например, "Луч"), то связаться - это не панацея. Да и связаться не так просто. Просто не знаю на что рассчитана радиолиния.

ЦитироватьРысьь пишет:

ОК, тогда давайте по конкретным случаям. Вот в прошлом году Протон навернулся из-за неверно установленных ДУСов. Могла ли БЦВМ как-то парировать эту ошибку? (Это пункт Б3.) Помнится, однажды посла запуска какого-то из Глонассов обнаружился переворот одного из тамошних датчиков ориентации. Однако аппарат не потерялся и как-то смог связаться с Землёй; проблему починили перепрошивкой.

А как насчёт защиты от тиристора передёргиванием питания с потерей памяти? Отменить это нелья, т.к. иначе защищаемый блок сгорит. Но что, если тиристор случился в БЦВМ при исполнении важных расчётов или при активных манёврах на орбите?

А если речь не о тиристоре, а о невосстановимой ошибке в памяти, которую Хэмминг не исправил? Такая ошибка произошла на зонде New Horizons, летящем к Плутону:  http://www.plutotoday.com/news/viewpr.html?pid=22225  .

ЦитироватьDed пишет:
Подумайте еще раз

Подумал. Не помогло. Что не так с Иридиумом и ретрансляторами?

В случае с "Протоном" - нет...
В случае с "Глонассом" - да (кстати напомните об этом случае, забыл). У "Глонассов" всенаправленные антенны КИС и много времени после выведения.


"Тиристор" - это полупроводниковый прибор...
Вы о "тиристорном эффекте"? От него защищаются иначе.
А что такое "потеря памяти"?

ЦитироватьDed пишет:
Что касается спутников-ретрансляторов (например, "Луч" ;) , то связаться - это не панацея.

...а проблема - абонентской аппаратуры для КА нет (пока). Да и энергетику надо смотреть - м.б. с земли будет проще, несмотря на малое время видимости.

ЦитироватьПрол пишет:

ЦитироватьDed   пишет:
Что касается спутников-ретрансляторов (например, "Луч"   , то связаться - это не панацея.

...а проблема - абонентской аппаратуры для КА нет (пока). Да и энергетику надо смотреть - м.б. с земли будет проще, несмотря на малое время видимости.

Про энергетику я подправил на секунды до Вашего сообщения.
Абонентская аппаратура - это вопрос мне мало знакомый.

На определенных участках полета "Луч", конечно, помощник, но далеко не главный.

ЦитироватьDed пишет:

ЦитироватьПрол пишет:

ЦитироватьDed пишет:
Что касается спутников-ретрансляторов (например, "Луч" , то связаться - это не панацея.

...а проблема - абонентской аппаратуры для КА нет (пока). Да и энергетику надо смотреть - м.б. с земли будет проще, несмотря на малое время видимости.

Про энергетику я подправил на секунды до Вашего сообщения.
Абонентская аппаратура - это вопрос мне мало знакомый.

На определенных участках полета "Луч", конечно, помощник, но далеко не главный.

Увидел.

ЦитироватьВ случае с "Протоном" - нет...

А в принципе? Должна же быть процедура аттестации данных и отсева подозрительных на неверные. Оно и в авиации так.

Цитироватьс "Глонассом" - да (кстати напомните об этом случае, забыл)

Я сам о нём читал как раз в той ветке, где упавшему Протону косточки перемывали.

ЦитироватьВы о "тиристорном эффекте"? От него защищаются иначе.

Именно о нём. НЯЗ, если он уже произошёл (не смотря на микроэлектронные преграды), то реакция только одна — как можно быстрее передёрнуть питание.

Цитироватьчто такое "потеря памяти"?

Это когда из-за неисправимой ошибки ЦП не может прочесть слово из памяти.

ЦитироватьРысьь пишет:

ЦитироватьВ случае с "Протоном" - нет...

А в принципе? Должна же быть процедура аттестации данных и отсева подозрительных на неверные. 

 Должна быть процедура аттестации кадров, в том числе и высших управленцев.
А не создаваться коллективы блатных и голодных.
Когда любой голодный специалист не хочет думать за такие деньги.
И в любой момент уходит туда где на 1000р больше платят.

ЦитироватьРысьь пишет:

ЦитироватьВ случае с "Протоном" - нет...

А в принципе? Должна же быть процедура аттестации данных и отсева подозрительных на неверные. Оно и в авиации так.

Цитироватьс "Глонассом" - да (кстати напомните об этом случае, забыл)

Я сам о нём читал как раз в той ветке, где упавшему Протону косточки перемывали.

ЦитироватьВы о "тиристорном эффекте"? От него защищаются иначе.

Именно о нём. НЯЗ, если он уже произошёл (не смотря на микроэлектронные преграды), то реакция только одна — как можно быстрее передёрнуть питание.

Цитироватьчто такое "потеря памяти"?

Это когда из-за неисправимой ошибки ЦП не может прочесть слово из памяти.

Хочется задать хамский  вопрос, но промолчу, пока... Далее по порядку.

Нет.

Сразу не нашел: Что такое НЯЗ. А от ТЗЧ "передергиванием питания" (по команде с Земли)  не спасетесь. Увы. Я писал о других способах защиты.

Так о ГЛОНАССАХ или о ракете?

Вопрос интересен. Что Вы имеете в виду?

ЦитироватьРысьь пишет:
Актуальная тема после потери Фобос-Грунта и в свете грядущих миссий Роскосмоса на Луну и Марс. Рассматриваются такие вопросы:

Технологии живучести КА, Защита от сбоев, защищённый/безопасный режим, аварийная реанимация...

А зачем такая тема, пишите диплом, книгу, хотите создать банк доступной информации на форуме, или просто, для разминки мозга?

Кстати, Вам правильно посоветовали для начала ознакомится с литературой и терминами.


P.S. "вычислительно-управляющих комплексов (ВУК). " - специфическая нераспространённая аббревиатура.
        если будете использовать дайте подробное описание функций и состава комплекса, не путайте с БРЭО и БВК.

ЦитироватьDed пишет:

ЦитироватьРысьь пишет:

Цитироватьчто такое "потеря памяти"?

Это когда из-за неисправимой ошибки ЦП не может прочесть слово из памяти.

Вопрос интересен. Что Вы имеете в виду?

Никакая не "потеря памяти", и не "отшиблость памяти", и не " неисправимая ошибка ЦП", просто "ошибка чтения данных из ячеек памяти" (не важно какой носитель и не важно сколько бит, "слов" (каких СЛОВ?) или там аналоговых сигналов) Рысьь, с терминами определитесь, используйте по возможности стандартные или хотя бы общепринятые.

ЦитироватьРысьь пишет:
В космосе тоже может навернуться датчик ориантации — и что тогда?

На грамотно спроектированном КА и профессионально организованных операциях - как правило, ничего

ЦитироватьРысьь пишет:
Первое чинится временнЫм дублиированием или подтверждением выданных команд. Или после выдачи команды надо вставить некий проверочный хэш.

О чем вы? Эти команды - прямые. Представляют из себя не более чем однократные скачки напряжения. И, да, я помню минимум один подтвержденный случай, когда на аппарата CPDU выдал такую команду сам.

ЦитироватьDed (//http:///forum/user/17012/):
Что такое НЯЗ

«Насколько я знаю»  :)  

Цитироватьот ТЗЧ "передергиванием питания" (по команде с Земли) не спасетесь

Во-первых, не от ТЗЧ, а от тиристорного эффекта. Во-вторых, не по команде, а по срабатыванию датчика КЗ — за миллисекунды (иначе всё сгорит).

ЦитироватьВопрос интересен. Что Вы имеете в виду?

Какой именно вопрос? Я спрашивал и о ГЛОНАССАХ, и о ракете, потому что, как мне кажется, тут общие алогоритмы обнаружения и отсева недостоверных данных от датичиков.

ЦитироватьSOE (//http:///forum/user/16370/):
На грамотно спроектированном КА и профессионально организованных операциях - как правило, ничего.

Вот поэтому я и спрашиваю: как надо грамотно спроектировать, чтобы обнаружить перенвёрнутый ДУС или что-то подобное.

Цитироватьминимум один подтвержденный случай, когда на аппарата CPDU выдал такую команду сам.

Любопытно, и что же в таком случае надо делать, чтобы исправить сие безобразие?

ЦитироватьРысьь пишет:
как надо грамотно спроектировать, чтобы обнаружить перенвёрнутый ДУС или что-то подобное.

Для этого используется резервирование и первичная обработка  данных датчиков для исключения ложных. 
Аппараты с перевернутыми датчиками и исполнительными органами летали, причем, успешно.

ЦитироватьРысьь пишет:
Любопытно, и что же в таком случае надо делать, чтобы исправить сие безобразие?

Отключать то, что включено или включать, то что было выключено. Если аппарат сам этого не сделал. А какие еще варианты?

ЦитироватьSOE (//http:///forum/user/16370/):
Отключать то, что включено или включать, то что было выключено. Если аппарат сам этого не сделал

Это уже следствие. Вначале ситуацию надо обнаружить. Как я понимаю, в энергосистеме есть датчики тока, которые (помимо контроля КЗ) обнаружат неожиданное повышение потребления, на что система должна как-то отреагировать. Например, опросом статусов всех нагрузок. А вдруг это сам токовый датчик барахлит? Но и статуся могут не показать верно, если читается одно, а состояние другое. Тогда надо каждый формально выключенный прибор повторно явно выключить. Если не поможет — вырубать всё и смотреть, как падает ток, но это уже свыше сил встроенного ИИ, поэтому — только в аварийных режим.

Похожая ситуация — КЗ. После его обнаружения и отключения нагрузки её надо как-то проверить. По идее, у местного блока питания помимо коммутаторов питания и датчиков тока должен быть и омметр, проверяющий КЗ без подачи питания. Есть такое?

Помимо неожиданного повышения потребления может быть и неожиданно быстрая потеря заряда в аккумуляторе, а также потеря подпитки от Солнца. Для быстрого реагирования надо как минимум знать полный энергобаланс (что сколько даёт, хранит и потребляет в разных режимах — в ваттах и джоулях), а во-вторых — энергоёмкость основных операций (например, поиск потерянного Солнца или сеанс связи с Землёй). Далее надо принимать решения с учётом этих энергетических ограничений. Есть такие формулы и алгоритмы?

ЦитироватьРысьь пишет:

Цитировать   Ded   :
Что такое НЯЗ

«Насколько я знаю»    

Цитироватьот ТЗЧ "передергиванием питания" (по команде с Земли) не спасетесь

Во-первых, не от ТЗЧ, а от тиристорного эффекта. Во-вторых, не по команде, а по срабатыванию датчика КЗ — за миллисекунды (иначе всё сгорит).

ЦитироватьВопрос интересен. Что Вы имеете в виду?

Какой именно вопрос? Я спрашивал и о ГЛОНАССАХ, и о ракете, потому что, как мне кажется, тут общие алогоритмы обнаружения и отсева недостоверных данных от датичиков.

Цитировать   SOE   :
На грамотно спроектированном КА и профессионально организованных операциях - как правило, ничего.

Вот поэтому я и спрашиваю: как надо грамотно спроектировать, чтобы обнаружить перенвёрнутый ДУС или что-то подобное.

Цитироватьминимум один подтвержденный случай, когда на аппарата CPDU выдал такую команду сам.

Любопытно, и что же в таком случае надо делать, чтобы исправить сие безобразие?

Спасибо

Прочли чего-то. А защите не "передергивание питания"...

Вам кажется, а у ракеты и КА алгоритмы разные. Вы можете внятно объяснить выделнное?

ЦитироватьРысьь пишет:
омметр, проверяющий КЗ без подачи питания. Есть такое?

Нет.

ЦитироватьРысьь пишет:
Для быстрого реагирования надо как минимум знать полный энергобаланс (что сколько даёт, хранит и потребляет в разных режимах — в ваттах и джоулях), а во-вторых — энергоёмкость основных операций (например, поиск потерянного Солнца или сеанс связи с Землёй). Далее надо принимать решения с учётом этих энергетических ограничений. Есть такие формулы и алгоритмы?

На борту? Зачем? Все это закладывается еще при проектировании.

ЦитироватьDed (//http:///forum/user/17012/):
не от ТЗЧ, а от тиристорного эффекта. Во-вторых, не по команде, а по срабатыванию датчика КЗ — за миллисекунды (иначе всё сгорит).

Вам надо читать подробности о рад.стойкой микроэлектронике и тиристорном эффекте. Несколько месяцев назад BarsMonster написал на Хабре популярное объяснение все этих вещей. Недавно также были его статьи о том, где и что в РФ выпускается из космической электроники.

Цитироватьалогоритмы обнаружения и отсева недостоверных данных от датичиков

А это я бы сам хотел узнать. По известным мне данным из авиации такие алгоритмы основаны на сравнении показаний датчиков с результатами мат. моделирования управляемого объекта. Но датчики не сразу отключаются или игнорируются, а переводятся в категорию подозрительных, откуда их можно вернуть после дополнительной проверки. Например, если 2 одинаковых датчика показывают одинаково странные данные, то куда более вероятно, что оба исправны (и причина не в них), чем что оба одинаково врут.

Цитировать«омметр, проверяющий КЗ без подачи питания. Есть такое?»
SOE (//http:///forum/user/16370/):
Нет.

ОК, тогда давайте вспомним ситуацию аварийной заморозки Салюта-7: из-за КЗ вышел из строя старый модуль радиосвязи; автомат перевёл на новый, но на Земле оператор решил ещё раз включить старый, из-за чего произошло второе КЗ, которое почему-то не было сразу отсечено, а привело к выходу из строя кучи оборудования и полному обесточиванию борта. Вопрос: если бы можно было с Земли и/или с помощью бортовой автоматики проверить включаемый блок на КЗ (т.е. на ~0 Ом между землёй и питанием) без подачи всего питания, то произошла ли авария? Скорее всего нет. Тогда почему же по-вашему не делают такую проверку?

ЦитироватьНа борту? Зачем? Все это закладывается еще при проектировании.

Что именно закладывается? Аппаратная схема фиксирована, но схему подключния нагрузки можно менять. Более того, известно что у всех блоков (в т.ч. аккумуляторов и СБ) есть дрейф энергопараметров из-за выработки ресурса, накопленной дозы и температуры. Следовательно, нельзя фиксировать константами, что такой-то блок потребляет или выдаёт ровно Х Вт. А значит должны быть гибкие формулы расчёта энергобаланса, которые должны подсчитывать джоули и ватты, и сигналить, если чего-то не хватает. В частности, даже на том же Салюте-7 после разряда батарей до критического уровня сработала защита, которая стала отключать потребителей (правда, ситуацию это не спасло). Такая же защита есть и в современных КА, но на более продвинутом уровне — причём прежде всего програмном. А я понял ваши слова, что это всё только аппаратное. Разве?...

Кстати, вот ещё что: КМОП-электроника имеет окололинейную зависимость потребления от частоты и околоквадратичную от напряжения питания, которое само по себе окололинейно зависит от частоты. Поэтому в современных ЦП есть несколько энергосостояний (P-state), отличающихся частотой и напряжением, используемых для избежания перегрева и экономии энергии; например, ноутбук не станет разгоняться до полной частоты при работе от батарей, а только от сети. Полагаю, подобное должнно быть и в БЦВМ, но с добавкой космической специфики: быстрый, экономный и особонадёжный режимы (возможно, ещё и некий средний-универсальный). Сколько таких режимов есть у известных вам БЦВМ, и насколько сильно они отличаются по параметрам? Есть ли алгоритм или железо для перевода БЦВМ в экономный режим при разряде батерей, потере Солнца или прочих опасностях?

ЦитироватьРысьь пишет:
но на Земле оператор решил ещё раз включить старый, из-за чего произошло второе
КЗ, которое почему-то не было сразу отсечено, а привело к выходу из строя кучи
оборудования и полному обесточиванию борта.

Чтобы "почему-то" не происходило, электросистемы надо грамотно проектировать. На современных КА все потребители защищаются ограничителями тока с просто отключением или с самостоятельным включением по истечении определенного интервала времени. Состояние и токи ограничителей есть в телеметрии, часть потребителей - за двумя уровнями ограничителей.

Цитировать

Цитировать[USER=27603]Рысьь пишет:
А значит должны быть гибкие формулы расчёта энергобаланса, которые должны
подсчитывать джоули и ватты, и сигналить, если чего-то не хватает.

[/USER] пишет:
А значит должны быть гибкие формулы расчёта энергобаланса, которые должны
подсчитывать джоули и ватты, и сигналить, если чего-то не хватает.
[/USER]

Не должны - достаточно мониторить Солнце на СБ тогда, когда оно там должно быть. И устанавливать пороги для различных автономных действий борта для нескольких уровнях напряжения шины. Обычно используется 2 или 3 уровня. Те, которые самые низкие (или один самый низкий) обнаруживаются аппаратно, для них ПО БЦВК вообще не требуется, так как к этому моменту он все равно уже должен быть выключен бортом.

ЦитироватьРысьь пишет:
Полагаю, подобное должнно быть и в БЦВМ, но с добавкой космической специфики:
быстрый, экономный и особонадёжный режимы (возможно, ещё и некий
средний-универсальный). Сколько таких режимов есть у известных вам БЦВМ, и
насколько сильно они отличаются по параметрам? Есть ли алгоритм или железо для
перевода БЦВМ в экономный режим при разряде батерей, потере Солнца или прочих
опасностях?

1. Никогда не видел таких "режимов" и вообще непонятно, зачем они - БЦВК потребляет 10-20% энергии потребляемой платформой. А, если учесть ПН, то бывает и 3-5%.
2. Для снижения энергопотребления потребители последовательно выключаются. Начиная с ПН (обычно, но не всегда) и заканчивая частью БЦВК

ЦитироватьSOE пишет:

Вам надо читать подробности о рад.стойкой микроэлектронике и тиристорном эффекте. Несколько месяцев назад BarsMonster написал на Хабре популярное объяснение все этих вещей

ЦитироватьРысьь пишет:

Вам надо читать подробности о рад.стойкой микроэлектронике и тиристорном эффекте. Несколько месяцев назад BarsMonster написал на Хабре популярное объяснение все этих вещей

А Вы не пробовали разобраться в вопросе?
И не только с тиристорным эффектом, а в целом.

ЦитироватьSOE:
потребители защищаются ограничителями тока с просто отключением или с самостоятельным включением по истечении определенного интервала времени.

Т.е. через некоторое время коммутатор сам включит ранее закоротившую нагрузку? А если при этом снова будет КЗ, он так и будет её дёргать? КЗ это же ещё и проседание напряжения и помехи для всех потребителей.

ЦитироватьОбычно используется 2 или 3 уровня. Те, которые самые низкие (или один самый низкий) обнаруживаются аппаратно

Интересно, и что аппаратно происходит при этих уровнях? Можно ли ими выжить при полной потере питания от СБ и АБ, после которой СБ начинают освещаться? (Предполагая, что борт ещё не заморожен.)

ЦитироватьНикогда не видел таких "режимов" и вообще непонятно, зачем они - БЦВК потребляет 10-20% энергии потребляемой платформой. А, если учесть ПН, то бывает и 3-5%.

Видимо, сказывается ваш опыт с околоземной ПН  ;)  Представьте, каков энергобаланс у марсохода: ваттов с гулькин нос, но они требуются мощному ЦП для обработки программы распознавания объектов и автопилотирования по поверхности.

Зачем режимы? Быстрый это когда надо срочно вычислять в реальном времени, не ожидая Землю; экономный — когда не хватает питания (в т.ч. из-за какой-то НШС), но считать надо; защищённый — когда Солнце шалит (или накопленная доза даёт о себе знать), но всё равно считать надо.

ЦитироватьДля снижения энергопотребления потребители последовательно выключаются

А схема выключения фиксирована для данного КА? Учитываются ли для конкретной ситуации фактические потребления приборов и степень их «важности»?

ЦитироватьРысьь пишет:
Т.е. через некоторое время коммутатор сам включит ранее закоротившую нагрузку? А
если при этом снова будет КЗ, он так и будет её дёргать? КЗ это же ещё и
проседание напряжения и помехи для всех потребителей.

Включаются повторно R-LCL только конкретные критические для безопасности КА нагрузки, вроде приемников транспондеров, таковых (нагрузок) очень мало, 2-6 на борту. Функциональность эта всегда имеет возможность быть отключенной с земли. И это не "коммутатор" а ограничитель тока, читайте внимательно. Именно поэтому "проседание напряжения" ни при чем.

ЦитироватьРысьь пишет:
А схема выключения фиксирована для данного КА? Учитываются ли для конкретной
ситуации фактические потребления приборов и степень их «важности»?

1. Программная реализация может быть, само собой, изменена. А аппаратная (срабатывающая на самом низком из имеющихся порогов) - нет.
2. Естественно, учитываются. А какие еще варианты?

ЦитироватьРысьь пишет:
Интересно, и что аппаратно происходит при этих уровнях? Можно ли ими выжить при
полной потере питания от СБ и АБ, после которой СБ начинают освещаться?
(Предполагая, что борт ещё не заморожен.)

А. Происходит обесточивание потребителей, последовательно или всех вместе, это зависит от специфики аппарата.
Б. Не только можно, но и нужно - точно так же при повышении напряжения потребители начинают включаться.

По поводу операций почти без АБ, регулярного ухода в даун и просыпания после выхода из тени читайте здесь http://www.spaceops2012.org/proceedings/documents/id1262380-paper-004.pdf

ЦитироватьSOE пишет:

ЦитироватьРысьь   пишет:
Интересно, и что аппаратно происходит при этих уровнях? Можно ли ими выжить при
полной потере питания от СБ и АБ, после которой СБ начинают освещаться?
(Предполагая, что борт ещё не заморожен.)

А. Происходит обесточивание потребителей, последовательно или всех вместе, это зависит от специфики аппарата.
Б. Не только можно, но и нужно - точно так же при повышении напряжения потребители начинают включаться.

По поводу операций почти без АБ, регулярного ухода в даун и просыпания после выхода из тени читайте здесь  http://www.spaceops2012.org/proceedings/documents/id1262380-paper-004.pdf

Интересно, спасибо за ссылку.

Рысьь (http://novosti-kosmonavtiki.ru/forum/user/27603/)

Вы можете внятно спросить???

Понимаю, что-то требуется, ну и спросите прямо.

ЦитироватьDed:
Понимаю, что-то требуется, ну и спросите прямо

Так я и спрашиваю прямо. Вот всё в списке из первого поста и требуется  :)  

ЦитироватьSOE:
Включаются повторно R-LCL только конкретные критические для безопасности КА нагрузки, вроде приемников транспондеров

Да, но если КЗ в них, то повторное включение приведёт к новому КЗ. Странная логика. На Салюте-7 повторное (ручное) включение привело в сгоранию нескольких блоков.

Цитироватьчитайте здесь http://www.spaceops2012.org/proceedings/documents/id1262380-paper-004.pdf

Интересно, спасибо.

А как восстановить направление на Землю после его потери (вне орбиты и особых точек типа Лагранжа)? Предполагается, что никаких поломок на борту нет. Ясно, что если мощности ненаправленной антенны хватает, чтобы достучаться до Земли, то можно пропинговать борт, чтобы определить расстояние, а точной наводкой и триангуляцией определить и вектор с Земли, передав на борт полученные координаты. Но что, если сигнал всенаправленной антенны слишком слаб? Как борт сам определит направление на Землю?

Есть ли у борта какая-либо защита от дурака, посылающего команды с Земли? Например, нужно ли слать подтверждение критическим командам, и может ли КА отменить исполнение принятой команды, определив высокую опасность при текущих ограничениях? (Например, у марсоходов есть датчики гравитации, препятсвующие перевёртыванию, даже если Земля очень просит.) В результате такой операторской ошибки пропал советский Фобос-1.

ЦитироватьРысьь пишет:
Да, но если КЗ в них, то повторное включение приведёт к новому КЗ.

А если КЗ на шине батареи то вообще капут аппарату быстрый, как уже однажды было. Меры по защите предпринимаются там, где они требуются и оправданы.

ЦитироватьКЗ

Релейное ограничение тока.
При превышении уставки цепь размыкается, ток не может исчезнуть мгновенно (измениться скачком"), при понижении тока цепь замыкается, ток не может достичь КЗ мгновенно....
и т.д. до бесконечности)), если не отключат шину, на которой висит прибор.
Принцип ходильника, только быстро-быстро.  :)

ЦитироватьРысьь пишет:
А как восстановить направление на Землю после его потери (вне орбиты и особых
точек типа Лагранжа)?

Общего ответа на этот вопрос нет. Но если аппарат уцелом работоспособен, то найти углы на Землю не является проблемой - на борту обычно есть текущие параметры траектории, ориентацию с требуемой точностью дают ЗД. В случае невозможности использования последних, Розетта, например, начинает сканирование вокруг оси на Солнце под углом, требуемым для попадание Земли в ДН MGA раз за оборот. А Бюджет на прием обычно строится так, что он возможен на антенну с широкой ДН.

ЦитироватьРысьь пишет:
Есть ли у борта какая-либо защита от дурака, посылающего команды с Земли?
Например, нужно ли слать подтверждение критическим командам, и может ли КА
отменить исполнение принятой команды, определив высокую опасность при текущих
ограничениях?

И в наземном комплексе управления и/или на борту все критическое обычно требует подтверждения или предварительного выбора. Иногда даже в 3-4 стадии, такое применяется, например, для всего пиротехнического или открытия/закрытия клапанов магистралей ДУ.
В зависимости от требований к миссии/аппарату, команды могут не приниматься бортом к исполнению по разным причинам.

См ESR у Розетты http://issfd.org/ISSFD_2007/9-3.pdf
И обзор Safe Mode у Vex/Mex/Rosetta
http://arc.aiaa.org/doi/pdf/10.2514/6.2008-3257

ЦитироватьРысьь пишет:

Так я и спрашиваю прямо. Вот всё в списке из первого поста и требуется

Так я про него и спрашивал!
Вы можете сформулировать вопрос? По пункту Г6 -особо детально...

ЦитироватьSOE:
если КЗ на шине батареи то вообще капут аппарату быстрый

Это ясно, но я имел ввиду КЗ у нагрузки. Её отключают, потом включают, а КЗ никуда не делся... Тут ничего не сделаешь, но хотя бы лишние дёрганья и траты питания можно прекратить.

ЦитироватьSOE:
ориентацию с требуемой точностью дают ЗД

А ЗД может найти свою звезду без грубой начальной ориентации? Т.е. аппарат повёрнут чёрт знает как, солнечный датчик сработал, но вокруг оси на Солнце крутим на 360°. Поймаем? А если мы вне плоскости эклиптики (и удаление точно неизвестно)?

Ставят ли ЗД на две и более звёзды, смотрящие в разные направления (в т.ч. для одновременной ориентации или на случай замтения планетой)? Или вместо этого ЗД помимо направления на звезду определяет и угол по её соседям? Может ли СД определить грубое расстояние до Солнца по световому потоку? Есть ли прочие астродатчики, кроме СД и ЗД? Например, направление на центр Галактики и выравнивание в плоскости её диска...

ЦитироватьSOE:
ESR у Розетты http://issfd.org/ISSFD_2007/9-3.pdf
И обзор Safe Mode у Vex/Mex/Rosetta

Очень интересно, спасибо. Вы не в курсе, специалисты из НОП Лавочкина и ИСС Решетнёва такие ценные документы читают? Хорошо бы, чтобы да  :)  

Вот такая ситуация была на АМС Марс-1: лопнул один из баков с газом. Помимо потери газа образовалась реактивная струя, заметно раскрутившая КА. Что должен делать борт для восстановления? Предполагается, что все двигатели работают, и топлива им хватит.

ЦитироватьDed:
Вы можете сформулировать вопрос?

Формулирую: хочу всё знать, ясно? В-) А пункт Г6 — это на всякий случай...

ЦитироватьРысьь пишет:
Ставят ли ЗД на две и более звёзды, смотрящие в разные направления

Нет такого уже более десятилетия. Современные ЗД полностью автономные, им нужно просто видеть часть неба, без Луны или Солнца вблизи и в поле зрения. На Розетте (запущена десятилетие назад) уже стоит такой.

А некоторым нынешним и Луна в поле зрения не мешает через несколько минут после включения уже выдавать ориентацию с высокой точностью.

ЦитироватьРысьь пишет:
Помимо потери газа образовалась реактивная струя, заметно раскрутившая КА. Что должен делать борт для восстановления?

Понятия не имею. Можно только предположить, что поддерживать ориентацию для обеспечения положительного баланса в электросистеме и возможности работы связи хотя бы на прием.

ЦитироватьSOE:
некоторым нынешним и Луна в поле зрения не мешает

ОК, и всё таки: может ли СД определить грубое расстояние до Солнца? ЗД ведь определяют только направление, но не положение.

ЦитироватьSOE:
Понятия не имею.

Хм. Уточню ситуацию: в результате неожиданного воздействия борт стал раскручиваться по всем трём осям с возрастающей частотой. Кроме пустого бака больше ничего нештатного нет. Каковы действия борта?

Далее, угловое ускорение закончилось, вращение достигло 1 об./с на каждую ось, но структурная целостность сохранена, и даже топливо ещё подаётся. Как борт остановит вращение? А если нет данных по угловым ускорениям от гиродатчиков, и доступна только астрометрия?

ЦитироватьРысьь пишет:

А как восстановить направление на Землю после его потери (вне орбиты и особых точек типа Лагранжа)? Предполагается, что никаких поломок на борту нет. Ясно, что если мощности ненаправленной антенны хватает, чтобы достучаться до Земли, то можно пропинговать борт, чтобы определить расстояние, а точной наводкой и триангуляцией определить и вектор с Земли, передав на борт полученные координаты. Но что, если сигнал всенаправленной антенны слишком слаб? Как борт сам определит направление на Землю?

Вы опять сформулировали как получилось.
Зачем измерять расстояние для восстановления ориентации?
Зависит от очень многих параметров- ответ на Ваш вопрос практически не возможен. Если "хотите все знать", давайте пойдем пошагово...

ЦитироватьРысьь пишет:

А ЗД может найти свою звезду без грубой начальной ориентации?

Вообще-то современные ЗД работают по звездному полю...А в каталоге вся "сфера неподвижных звезд" (до определенной звездной величины, конечно).
Поэтому построит ориентацию, точность будет пониже.

ЦитироватьРысьь пишет:

Вот такая ситуация была на АМС Марс-1: лопнул один из баков с газом. Помимо потери газа образовалась реактивная струя, заметно раскрутившая КА. Что должен делать борт для восстановления? Предполагается, что все двигатели работают, и топлива им хватит.

Жечь горючку до опорожнения лопнувшего бака... Если это не бак рабочего тела или наддува, конечно. :)

ЦитироватьDed:
Зачем измерять расстояние для восстановления ориентации?

Незачем. Но это может потребоваться для восстановления связи с землёй, если через ВНА не получается. Нужно знать время и своё положение в солнечной системе, чтобы определеить направление на Землю.

ЦитироватьDed:
Жечь горючку до опорожнения лопнувшего бака

Чтобы остановить вращение? Так вначале надо определить, как и куда вращаемся. Простой вариант — если гиродатчики работают. А если только астрометрией?

ЦитироватьРысьь пишет:

ЦитироватьDed:
Зачем измерять расстояние для восстановления ориентации?

Незачем. Но это может потребоваться для восстановления связи с землёй, если через ВНА не получается. Нужно знать время и своё положение в солнечной системе, чтобы определеить направление на Землю.

ЦитироватьDed:
Жечь горючку до опорожнения лопнувшего бака

Чтобы остановить вращение? Так вначале надо определить, как и куда вращаемся. Простой вариант — если гиродатчики работают. А если только астрометрией?

По первому пункту - давайте делать строевой шаг по разделениям... Ибо - полная чушь.

Чтобы не допустить вращения. Звездники работают до угловых скоростей более 10 градусов в секунду.

ЦитироватьРысьь пишет:
Нужно знать время и своё положение в солнечной системе, чтобы определеить направление на Землю.

Не нужно. Аппарат это и так "знает".

Во-первых, не понятно зачем жечь "горючку". Аппараты все разные, некоторые работают с использованием магнитных исполнительных органов. И тогда ничего мы не расходуем даже при ошибке, окромя восполняемого электричества. Которое если на исходе, то можно выключить ненужные системы и поэкономить пока Земля не поможет.

С двигателями стабилизации придумать проверок тоже можно массу. Например время заложить построения ориентации - не успел, значит что-то нештатно и привет, останавливайся и жди команды с Земли. Если угловая скорость по информации гироскопа (или не важно кого, магнитометра, например) растет и достигает каких-то не приличных значений, то тоже се выключать и ждать команды с Земли. При этом надо конечно обеспечивать диагностику неисправностей самого гироскопа, делать его с резервом, что бы не проврался он.

Не очень понятно зачем аппарату наводиться на Землю для связи с ней... Как правило, на аппарате на прием закрывается "сфера". Т.е принять сигнал с Земли он может как бы ни крутился. Передать - как правило снабжают тоже МНА работающими на сферу или полусферу (помимо основных, которые для высокоинформативной передачи предназначены).

Тем не менее, если даже аппарат "забыл" где находится Земля, то после перезагрузки или сбоя у него есть несколько возможностей: если КА на низкой орбите, то по бортовому GPS/ГЛОНАСС приемнику он не только синхронизирует время, но и узнает где он находится. А как следствие узнает где Земля и где кто угодно из планет.

Если аппарат далеко от Земли, то на его борту как правило есть матмодель прогноза движения центра масс, параметры которой закладываются на какой-то интервал времени, что бы обеспечить заданную точность. При этом, эти параметры могут храниться в энергонезависимом ПЗУ, да еще и в нескольких резервных копиях. Единственное что - потребуется знать время. Которое, кстати, тоже можно записывать в ПЗУ, скажем, каждые 5-10 секунд (когда БЦВМ работатет), что бы после перезагрузки с достаточной точностью это самое время знать.

Ну или вообще иметь на борту энергонезависимые часы (на батарейке долгоиграющей, да хоть и радиоизотопной) параллельно работающей БЦВМ отдельным прибором :-) Придумать можно массу всего....

А можно просто развернуться на Солнышко по солнечным датчикам и стоять ждать сигнала с Земли не пытаясь узнать где эта самая Земля :-) Это в общем-то не очень нужно.

Мне нравится дискутировать о нештатных ситуациях когда оппонент вдруг говорит: "Ну хорошо, это вы все парируете... а если ТЗЧ?"  :D

Цитировать

Цитировать[USER=17319]Echidna пишет:
Во-первых, не понятно зачем жечь "горючку". Аппараты все разные, некоторые работают с использованием магнитных исполнительных органов

[/USER]
[/USER]

Особенно актуально вдали от Земли.
А вот "ничего не жжем" подумайте - потеря ориентации.

ЦитироватьEchidna пишет:
Тем не менее, если даже аппарат "забыл" где находится Земля, то после перезагрузки или сбоя у него есть несколько возможностей: если КА на низкой орбите, то по бортовому GPS/ГЛОНАСС приемнику он не только синхронизирует время, но и узнает где он находится. А как следствие узнает где Земля и где кто угодно из планет.

Да, но  то с оговорками. Каким боком куда повернут - нет...Правда, есть варианты, но нужны размеры КА.

ЦитироватьDed:
давайте делать строевой шаг по разделениям

Давайте, что бы эта фраза не означала  :)  Что вам неясно из написанного?

ЦитироватьDed:
Звездники работают до угловых скоростей более 10 градусов в секунду.

А если скорость вращения резко стала больше? СД помогут?

ЦитироватьSOE:
Аппарат это и так "знает".

Аппарат изначально знает только то, что в него заложили или что он сам вычислил. Направление на землю для аппарата, летящего далеко от Земли, вычисляется через знание времени и своего положения в пространстве. Последнее должно быть определяемо бортом. Но как? Я пока лишь предположил, что СД могут грубо определить расстояние до Солнца... Может быть, ЗД умеют опознавать и планеты? Скажем, по поляризации, которая в отражённом свете будет обратная. Такой эффект был при нештатной коррекции Зонда-4.

ЦитироватьEchidna:
Аппараты все разные, некоторые работают с использованием магнитных исполнительных органов

Прежде всего, в этой ситуации описывается аппарат из глубокого космоса, находящийся далеко от Земли и по этой причине не имеющий с ней связь через ВНА. Если просты наугад тыкать в разных направлениях, то надо ждать многие минуты, пока возможный ответ оттуда придёт. Если нет — поворачиваться опять. Я спрашивал об алгоритме нахождения Земли без подсказок от неё.

ЦитироватьEchidna:
есть матмодель прогноза движения центра масс, параметры которой закладываются на какой-то интервал времени, что бы обеспечить заданную точность.

Это верно. Т.е. зная прогноз своего положения, текущую дату и положение Земли в начальную дату, можно рассчитать её текущее относительное положение. Но это только если прогноз достаточно точен. А если аппарат вырубился в какой-то момент, а затем через длительное время врубился и пролетел чёрт знает сколько и куда?

ЦитироватьEchidna:
иметь на борту энергонезависимые часы (на батарейке долгоиграющей, да хоть и радиоизотопной) параллельно работающей БЦВМ отдельным прибором Придумать можно массу всего

Придумать можно всякое, но я спрашиваю — что фактически делается.

ЦитироватьРысьь пишет:

Давайте, что бы эта фраза не означала Что вам неясно из написанного?

Что Вы хотите узнать.

ЦитироватьРысьь пишет:

А если скорость вращения резко стала больше? СД помогут?

Нет... А Вы представляете ту ситуацию, о которой пишете?

ЦитироватьDed:
Что Вы хотите узнать

Вот что в первом сообщении написал — всё это.

ЦитироватьDed:
Вы представляете ту ситуацию, о которой пишете?

Хм... Пожалуй да, это через чур. Разве что попадание микрометеорита.

Ну тогда более реальная ситуация — потеря теплового баланса в виде неожиданного охлаждения или нагрева, хотя температура ещё не достигла критической. Что делать? Какие есть возможности по перераспределению тепла у соверменных СТР?

В копилку. Вот что на DX-1 придумали
http://users.livejournal.com/___lin___/320600.html

(https://img.novosti-kosmonavtiki.ru/115965.jpg)

ЦитироватьРысьь пишет:

ЦитироватьDed:
Что Вы хотите узнать

Вот что в первом сообщении написал — всё это.

ЦитироватьDed:
Вы представляете ту ситуацию, о которой пишете?

Хм... Пожалуй да, это через чур. Разве что попадание микрометеорита.

Ну тогда более реальная ситуация — потеря теплового баланса в виде неожиданного охлаждения или нагрева, хотя температура ещё не достигла критической. Что делать? Какие есть возможности по перераспределению тепла у соверменных СТР?

Нельзя "объять необъятное". Для начала определитесь...

М-да...

Рысьь
А если скорость вращения резко стала больше? СД помогут?

Все зависит от математики и самих СД.
Снимая информацию с СД можно определить направление вращения, скорость вращения, и точную ориентацию относительно солнца.
На основании этих данных найти точную ось на Солнце.
Остановить вращение КА и точно соориентировать КА относительно Солнца.
Если есть еще и исправные звездные датчики то задача найти координаты Земли очень проста.

Рысьь
Вот, что в первом сообщении написал — всё это.

Все зависит от ограничений на массовые и энергетические характеристики вычислительной системы.
Финансирования и времени выделенного на построение правильной системы.

ЦитироватьLunatik-k пишет:

Рысьь
А если скорость вращения резко стала больше? СД помогут?

Все зависит от математики и самих СД.
Снимая информацию с СД можно определить направление вращения, скорость вращения, и точную ориентацию относительно солнца.
На основании этих данных найти точную ось на Солнце.
Остановить вращение КА и точно соориентировать КА относительно Солнца.
Если есть еще и исправные звездные датчики то задача найти координаты Земли очень проста.

Простите, но, мне так кажется, Вы зря стараетесь.

Пишут:
- невменяемая скорость вращения;
- компьютер "забыл" бортовое время;
- и так далее...

Поэтому во всем мире давно приняли за правило - ОДИН ОТКАЗ В ДАННЫЙ МОМЕНТ ВРЕМЕНИ!.

А Рысь, похоже, в данный момент времени пытается (довольно неуклюже) решить какую-то свою проблему.

Ded
компьютер "забыл" бортовое время;

Это из мира фантастики.

ЦитироватьLunatik-k пишет:

Ded
компьютер "забыл" бортовое время;

Это из мира фантастики.

Где-то так.
Но народ пишет...

ЦитироватьZOOR пишет:
В копилку. Вот что на DX-1 придумали
 http://users.livejournal.com/___lin___/320600.html

сторожевые таймеры известны с доисторических времен, они этого не придумывали 

ЦитироватьLunatik-k:
Снимая информацию с СД можно определить направление вращения, скорость вращения, и точную ориентацию относительно солнца

А расстояние до Солнца хоть приблизительно можно?

ЦитироватьLunatik-k:
Если есть еще и исправные звездные датчики то задача найти координаты Земли очень проста.

Вот это как раз сомнительно. Потому что для определения направления на Землю надо знать дату-время (знаем), положение Земли в начальный момент (типа 1.1.2000 — тоже знаем) и собственное положение в СС. Но ЗД дают только положение относительно центра галактики или ещё каких-то внешних координат. Пересечение с вектором на Солнце даст прямую в сторону от Солнца. А вот точку на ней (т.е. расстояние до Солнца) надо определять. Или знать своё положение до аварии.

ЦитироватьLunatik-k:
зависит от ограничений на массовые и энергетические характеристики вычислительной системы.

Разумеется, предполагаем, что у нас весь космический опыт, но разумные ограничения по массе и деньгам.

ЦитироватьDed:
Пишут:
- невменяемая скорость вращения;
- компьютер "забыл" бортовое время;
- и так далее...

Я такого не писал. Полагаем, что скорость большая, но исправляемая. И время известно. Без него вообще полный швах.

Так что там с аварийной терморегуляцией? Неужели не бывает так, чтобы на борту что-то стало аномально греться? Ясно, что прежде всего подозрение падает на термометр. Допустим, он дублирован и не врёт. Что дальше? По идее, если СОТР справляется с уводом тепла, то реакция будет одна, а если температура продолжает расти, то надо что-то быстро делать. Но что? Что-то отключать? Поворачиваться другим боком?

ЦитироватьРысьь пишет:

ЦитироватьLunatik-k:
Снимая информацию с СД можно определить направление вращения, скорость вращения, и точную ориентацию относительно солнца

А расстояние до Солнца хоть приблизительно можно?

ЦитироватьLunatik-k:
Если есть еще и исправные звездные датчики то задача найти координаты Земли очень проста.

Вот это как раз сомнительно. Потому что для определения направления на Землю надо знать дату-время (знаем), положение Земли в начальный момент (типа 1.1.2000 — тоже знаем) и собственное положение в СС. Но ЗД дают только положение относительно центра галактики или ещё каких-то внешних координат. Пересечение с вектором на Солнце даст прямую в сторону от Солнца. А вот точку на ней (т.е. расстояние до Солнца) надо определять. Или знать своё положение до аварии.

ЦитироватьLunatik-k:
зависит от ограничений на массовые и энергетические характеристики вычислительной системы.

Разумеется, предполагаем, что у нас весь космический опыт, но разумные ограничения по массе и деньгам.

ЦитироватьDed:
Пишут:
- невменяемая скорость вращения;
- компьютер "забыл" бортовое время;
- и так далее...

Я такого не писал. Полагаем, что скорость большая, но исправляемая. И время известно. Без него вообще полный швах.

Так что там с аварийной терморегуляцией? Неужели не бывает так, чтобы на борту что-то стало аномально греться? Ясно, что прежде всего подозрение падает на термометр. Допустим, он дублирован и не врёт. Что дальше? По идее, если СОТР справляется с уводом тепла, то реакция будет одна, а если температура продолжает расти, то надо что-то быстро делать. Но что? Что-то отключать? Поворачиваться другим боком?

Можно прочесть в учебнике... Примерно восьмой класс.

Не понял, пересечение двух векторов дает прямую?

Вы о чем?

Что это? Аномально греющееся, как Вы говорите, быстро сгорает. Вся остальная часть последней части сообщения - полет мысли ничем не поддержанной.

ЦитироватьРысьь пишет:

Б8. Потеря времени (сбой бортовых часов);

Кстати, о "я не писал"...

ЦитироватьDed:
Можно прочесть в учебнике... Примерно восьмой класс

Что прочесть? Как солнечный датчик сможет определить расстояние до Солнца? Сомнительно. Хотя исходя из знаний 11-го класса уже ясно. Но ответа так и нет — делается ли это в каких-то АМС.

ЦитироватьDed:
пересечение двух векторов дает прямую?

Нет, потому что вектор на конкретную звезду даёт лишь положение аппарата относительно неё (алгоритм полагает, что она бесконечно удалена). Если добавить положение относительно Солнца, то образуется вектор, для каждой точки которого верны оба направления — на опорную звезду и Солнце. Но положение на самом векторе всё ещё не известно!

ЦитироватьDed:
Вы о чем?

Это я не вам отвечал  ;)  

ЦитироватьDed:
Аномально греющееся, как Вы говорите, быстро сгорает

А если оно успеет перегреть при этом что-то? Разве такое не может быть?

ЦитироватьDed:
Кстати, о "я не писал".

Эта часть не касалась аварийного восстановления инфы о положении в пространстве. Хотя вопрос остаётся — что делать, если сбиваются часы (допустим, в результате воздействия радиации).

ЦитироватьРысьь пишет:

ЦитироватьDed:
Можно прочесть в учебнике... Примерно восьмой класс

Что прочесть? Как солнечный датчик сможет определить расстояние до Солнца? Сомнительно. Хотя исходя из знаний 11-го класса уже ясно. Но ответа так и нет — делается ли это в каких-то АМС.

ЦитироватьDed:
пересечение двух векторов дает прямую?

Нет, потому что вектор на конкретную звезду даёт лишь положение аппарата относительно неё (алгоритм полагает, что она бесконечно удалена). Если добавить положение относительно Солнца, то образуется вектор, для каждой точки которого верны оба направления — на опорную звезду и Солнце. Но положение на самом векторе всё ещё не известно!

ЦитироватьDed:
Вы о чем?

Это я не вам отвечал    

ЦитироватьDed:
Аномально греющееся, как Вы говорите, быстро сгорает

А если оно успеет перегреть при этом что-то? Разве такое не может быть?

ЦитироватьDed:
Кстати, о "я не писал".

Эта часть не касалась аварийного восстановления инфы о положении в пространстве. Хотя вопрос остаётся — что делать, если сбиваются часы (допустим, в результате воздействия радиации).

Ответ есть - солнечный датчик расстояние не измеряет.

Вы были внимательны, когда писали то, на что я ответил?

На какой вопрос?

Не успеет...

Вы читать умеете??? Я привел ссылку на Ваше сообщение!

ЦитироватьРысьь пишет: 
Эта часть не касалась аварийного восстановления инфы о положении в пространстве. Хотя вопрос остаётся — что делать, если сбиваются часы (допустим, в результате воздействия радиации).

Вы правда какие то нереальные ситуации пытаетесь смоделировать. Ну как так, сразу всё полетело - таймер, резервный таймер, связь с ЦУП, синхронизация с другими КА. 

И дальше, плюс ещё одновременно ВСЕ батареи сели, солнечные панели заклинило, БЦВМ вышла из строя и дублирующая то же.

Ну тогда давайте дальше фантазировать, а если метеорит весом  килограмм 10 на встречном курсе, и ВСЁ разлетелось в куски... 

ЦитироватьХудожник пишет:
Ну как так, сразу всё полетело - таймер, резервный таймер, связь с ЦУП, синхронизация с другими КА.

И дальше, плюс ещё одновременно ВСЕ батареи сели, солнечные панели заклинило, БЦВМ вышла из строя и дублирующая то же.

И что после всего этого КА можно попробовать заставить работать по целевому назначению, а так бывает?

ЦитироватьDed:
Ответ есть - солнечный датчик расстояние не измеряет.

Странно. Если я бы его проектировал, то определял бы расстояние по яркости.

ЦитироватьDed:
Вы были внимательны, когда писали то, на что я ответил?

Был. Но ваш постулат неверен. Речь не о пересечении двух векторов. Если бы звёздный датчик мерил бы и параллакс, то можно было бы определить не только положение относительно звезды, но и расстояние до неё. А т.к. его нет, то остаётся только Солнце. Звёздный вектор к нему не приставишь.

ЦитироватьDed:
Вы читать умеете??? Я привел ссылку на Ваше сообщение!

Ну да, но это первое, затравочное сообщение. Я нигде не описывал ситуацию, когда ломается сразу всё. А вот отдельно часы — это вопрос.

ЦитироватьХудожник:
какие то нереальные ситуации пытаетесь смоделировать. Ну как так, сразу всё полетело - таймер, резервный таймер, связь с ЦУП, синхронизация с другими КА.

Где вы такое прочли? Ещё раз: сбой часов. Точка. Всё остальное работает. Что дальше?

ЦитироватьРысьь пишет:

ЦитироватьDed:
Ответ есть - солнечный датчик расстояние не измеряет.

Странно. Если я бы его проектировал, то определял бы расстояние по яркости.

ЦитироватьDed:
Вы были внимательны, когда писали то, на что я ответил?

Был. Но ваш постулат неверен. Речь не о пересечении двух векторов. Если бы звёздный датчик мерил бы и параллакс, то можно было бы определить не только положение относительно звезды, но и расстояние до неё. А т.к. его нет, то остаётся только Солнце. Звёздный вектор к нему не приставишь.

ЦитироватьDed:
Вы читать умеете??? Я привел ссылку на Ваше сообщение!

Ну да, но это первое, затравочное сообщение. Я нигде не описывал ситуацию, когда ломается сразу всё. А вот отдельно часы — это вопрос.

ЦитироватьХудожник:
какие то нереальные ситуации пытаетесь смоделировать. Ну как так, сразу всё полетело - таймер, резервный таймер, связь с ЦУП, синхронизация с другими КА.

Где вы такое прочли? Ещё раз: сбой часов. Точка. Всё остальное работает. Что дальше?

Видимо, поэтому Вас и не допустили к экзамену...

Тогда это не вектора. А параллакс - к учебнику...

А кроме "затравочного"? Вас неоднократно спрашивали.

И просьба, перестаньте валять дурака и научитесь "делать строевой шаг по разделениям". Если будете задавать конкретные вопросы -Вам конкретно ответят.

Конкретно по часам уже ответил. Резервный таймер, связь с ЦУП, синхронизация с другими КА.

Потом опять некорректно, какой конкретно КА? Одно дело низкоорбитальный, тогда по GPS, другое дело к Марсу улетел. Но всё равно придётся по UTC синхронизироваться.

Вообще Рысьь (http://novosti-kosmonavtiki.ru/forum/user/27603/) уже советовали, почитайте для начала ну хотя бы азы.

Тут общую организацию посмотрите, многие вопросы отпадут.:
http://journals.tsu.ru/mathematics/&journal_page=archive&id=896&article_id=602

Вот здесь по надёжности почитайте:
http://all-ht.ru/inf/systems/p_0_1.html

И внимательней читайте, в частности что Вам на форуме отвечают, уже по третьему разу одно и то же спрашиваете. Обьясняли же, если у вас система начинает сыпаться от двух одномоментных сбоев незначительных элементов, значит система не правильно спроектирована. Есть общие принципы построения, есть логика в конце концов.

(https://img.novosti-kosmonavtiki.ru/100387.gif)

(https://img.novosti-kosmonavtiki.ru/100388.gif)


(https://img.novosti-kosmonavtiki.ru/100389.gif)


(https://img.novosti-kosmonavtiki.ru/100390.gif)

Подробности смотрите по ссылкам.

ЦитироватьDed:
поэтому Вас и не допустили к экзамену

На все экзамены, куда надо, допускали  :)  

ЦитироватьDed:
кроме "затравочного"? Вас неоднократно спрашивали

А я неоднократно уточнял, потому что ответы неполные.

ЦитироватьDed:
будете задавать конкретные вопросы -Вам конкретно ответят

Я именно это и делаю. Конкретные вопросы по конкретным ситуациям.

ЦитироватьХудожник:
Резервный таймер, связь с ЦУП, синхронизация с другими КА

Стоп-стоп. По порядку:
1) из двух синхронизированных часов одни стали показывать иное время, но неизвестно какие из двух сбойнули — как определить верные, чтобы настроить вторые?
2) один из каналов часов стал чуть отставать или спешить — что делать?
3) оба канала синхронно отстают или спешат (например, в результате накопления дозы) — что делать?

ЦитироватьХудожник:
другое дело к Марсу улетел.

Да, имеется ввиду сильноавтономный КА в глубоком космосе. Или поверхностный аппарат.

ЦитироватьХудожник:
общую организацию посмотрите, многие вопросы отпадут

Там нет описаний аварийных режимов. Как и ответов на заданные вопросы.

ЦитироватьХудожник:
Вам на форуме отвечают, уже по третьему разу одно и то же спрашиваете.

Это как раз потому, что не сразу отвечают, и приходится уточнять.

ЦитироватьХудожник:
Вот здесь по надёжности почитайте

Сферическая надёжность в вакууме ничего не даст. Это грубые формулы, которые не учитывают современное состояние техники, в т.ч. методы повышения её надёжности (из серии RAS — Reliability, Availability, Serviceability). Правильная система продолжает работать (пусть и в полсилы) даже после того, как сдохнет половина железа.

ЦитироватьХудожник:
если у вас система начинает сыпаться от двух одномоментных сбоев незначительных элементов, значит система не правильно спроектирована

Верно. Но если отказы происходят последовательно (что неизбежно при большом САС), то хорошая система должна съесть и это. Именно такие ситуации я и имею виду.

Рысь, а Вы в курсе дела? Или просто так?

ЦитироватьРысьь пишет:

Стоп-стоп. По порядку:
1) из двух синхронизированных часов одни стали показывать иное время, но неизвестно какие из двух сбойнули — как определить верные, чтобы настроить вторые?
2) один из каналов часов стал чуть отставать или спешить — что делать?
3) оба канала синхронно отстают или спешат (например, в результате накопления дозы) — что делать?

Вы знаете как устроены часы на КА, или для Вас это ходики на стене?

Выделенное поясните, пожалуйста.

ЦитироватьРысьь пишет:

Сферическая надёжность в вакууме ничего не даст. Это грубые формулы, которые не учитывают современное состояние техники, в т.ч. методы повышения её надёжности (из серии RAS — Reliability, Availability, Serviceability). Правильная система продолжает работать (пусть и в полсилы) даже после того, как сдохнет половина железа.

Сразу видно - специалист!

ЦитироватьРысьь пишет:
Последнее должно быть определяемо бортом. Но как?

Не должно. Для этого есть специальный подвид земных "ботаников". Называются "баллистиками".

ЦитироватьDed:
Вы знаете как устроены часы на КА

Нет. Расскажите.

ЦитироватьDed:
Сразу видно - специалист!

Таки да. Аналитик вычислительных микроархитектур, если точнее  :)  

ЦитироватьSOE:
«Последнее должно быть определяемо бортом. Но как?» — Не должно. Для этого есть специальный подвид земных "ботаников". Называются "баллистиками"

Так это если есть связь с Землёй. Если какой-нибудь New Horizons, пролетая мимо Юпитера на скорости 16 км/с, навернётся в его магнитном поле от потока ТЗЧ, то пока будет идти процесс восстановления, он успеет пролететь ещё сколько-то километров. Так что придётся самостоятельно восстанавливать и своё положение, и земное. ВНА на таком расстоянии не поможет — мощности мало.

Как система реагирует на простые программные ошибки (деление на 0, запись в запрещённую память, исполнение недопустимой команды) ?

ЦитироватьРысьь пишет:
Если какой-нибудь New Horizons, пролетая мимо Юпитера на скорости 16 км/с, навернётся в его магнитном поле от потока ТЗЧ, то пока будет идти процесс восстановления, он успеет пролететь ещё сколько-то километров.

Скажите, вы в курсе, что движение КА подчиняется законам физики? А в контексте данной "проблемы" (в кавычках, потому что ее не существует) - очень нехитрым.

ЦитироватьРысьь пишет:
Как система реагирует на простые программные ошибки (деление на 0, запись в запрещённую память, исполнение недопустимой команды) ?

Какая конкретно? В зависимости от специфики КА диапазон - от "теплой" перезагрузки на том же процессоре БЦВМ и немедленное возобновление целевого использлования полезной нагрузки до перехода на контур управления (где он есть) для Safe Mode с отключением ПН (когда ее можно отключать.

ЦитироватьSOE:
вы в курсе, что движение КА подчиняется законам физики? А в контексте данной "проблемы" (в кавычках, потому что ее не существует) - очень нехитрым.

Разумеется, борт попытается по имеющимся данным расчитать своё положение, зная предыдущее, скорость и дату-время. Вопрос в точности таких предскзаний.

ЦитироватьSOE:
от "теплой" перезагрузки на том же процессоре БЦВМ и немедленное возобновление целевого использлования полезной нагрузки

А как можно использовать ПН, если именно её программа и сбойнула?

ЦитироватьSOE:
до перехода на контур управления (где он есть) для Safe Mode с отключением ПН

А если именно в нём был сбой?

Продает мужик на рынке говорящего попугая. У него к одной ноге привязана  
  красная ленточка, а к другой - синяя. Женщина подходит и интересуется: 
  - Зачем у него ленточки привязаны? 
  - Дернешь за синюю - говорит по-английски, за красную - по-французски. 
  - А если за обе дернуть, что будет? 
  Попугай не выдерживает: 
  - Что будет,что будет! На ж..у упаду! 

Хм, я вижу у вас богатый опыт дрессир разработчика :) Но я же не имел ввиду одновременную ошибку в прикладном и системном софте — таких нет.

Так что, больше некому и нечего сказать про реакцию на ошибки? Меня больше интересуют ошибки в системном софте. При его беспроблемном функционировании прочий софт можно подгрузить и заменить.

Я ответил. Что конкретно непонятно?

Вы ответили «до перехода на контур управления (где он есть) для Safe Mode». Что понимается под этим контуром? Если он программный, то ошибки могут быть и в нём. Кроме того, могут быть ошибки в обработчике ошибок (прерываний, исключительных ситуаций и т.п.). В т.ч. из-за них был потерян Mars Global Surveyor. Что в этих случаях делается?

ЦитироватьРысьь пишет:
Вы ответили «до перехода на контур управления (где он есть) для Safe Mode». Что понимается под этим контуром? Если он программный, то ошибки могут быть и в нём. Кроме того, могут быть ошибки в обработчике ошибок (прерываний, исключительных ситуаций и т.п.). В т.ч. из-за них был потерян Mars Global Surveyor. Что в этих случаях делается?

Для качественного уменьшения количества ошибок используются методы формального анализа ПО, с построением математической модели программы и его анализа на предмет противоречий, пропущенных или перекрывающихся веток алгоритма, попытки записи по некорректным адресам, разыменование нулевых указателей, одновременное обращение одному и тому же участку памяти из разных процессов и т.д., и т.п.

Процедура формального анализа дорогая и трудоемкая, но она того стоит.

ЦитироватьNot:
Процедура формального анализа дорогая и трудоемкая, но она того стоит.

Да, она нужна, но она не страхует от ошибок на 100%. Они всё равно остаются и случаются. Вот об этих ситуациях и речь. Помните историю со Спиритом, который чуть не потеряли вскоре после посаки из-за циклической перезагрузки ПО? Но там была защита и против этого случая, так что марсоход спасли. Я, правда, не очень помню, как именно... Но есть и случаи неисправленных ошибок. О них я и спрашивал.

ЦитироватьРысьь пишет:

ЦитироватьNot:
Процедура формального анализа дорогая и трудоемкая, но она того стоит.

Да, она нужна, но она не страхует от ошибок на 100%.

От 100 процентов страхуют господь Бог и страховка :) (шутка). На самом деле формальный анализ с построением мат. модели страхует на 100 процентов, при условии что модель построена корректно. Например, таким способом был проанализировано ПО системы TCAS (ответственной за разведение самолетов оказавшихся на пересекающихся курсах). В NASA есть целая лаборатория посвященная надежности ПО. Они как раз строят мат. модели и анализаторы оных.

ЦитироватьРысьь пишет:
Вы ответили «до перехода на контур управления (где он есть) для Safe Mode». Что понимается под этим контуром? Если он программный, то ошибки могут быть и в нём.

"Понимается" разное, зависит от того когда проектировался аппарат и по каким требованиям. Им может быть, как минимум: а) полностью аппаратная реализация для поддержки заданной ориентации и обеспечения терморегулирования б) отдельный бцвк (с отдельным или нет набором датчиком и исполнительных органов) в) Safe Mode ПО (использующее отдельный или нет набор датчиков и исполнительных органов) г) режим основного ПО БЦВМ (использующее отдельный или нет набор датчиков и исполнительных органов)

ЦитироватьРысьь пишет:
Но там была защита и против этого случая

Она так или иначе есть везде, где проектировали головой.

ЦитироватьNot:
формальный анализ с построением мат. модели страхует на 100 процентов, при условии что модель построена корректно

Именно. А модель всегда что-то не учитывает. Потому что нельзя заранее знать всё (если проект обладает хоть какой-то новизной).

ЦитироватьNot:
В NASA есть целая лаборатория посвященная надежности ПО. Они как раз строят мат. модели и анализаторы оных.

Правильно делают. Это позволяет обнаружить условные 99% ошибок. Остальные 1% летят в космос.

ЦитироватьSOE:
б) отдельный бцвк ... в) Safe Mode ПО ... г) режим основного ПО БЦВМ ...

Я так понимаю, что современные аппараты используют только В и Г ? Тогда давайте о них — что будет, если ошибка в ПО защиты основного и единственого компа?

ЦитироватьРысьь пишет:
Я так понимаю, что современные аппараты используют только В и Г ?

Большинство - да. Но не все.

ЦитироватьРысьь пишет:
если ошибка в ПО защиты основного и единственого компа

Ошибки бывают очень и очень разные. Те, которые обычно встречаются в реальной жизни, устраняются обновлением ПО.

ЦитироватьSOE:
Ошибки бывают очень и очень разные. Те, которые обычно встречаются в реальной жизни, устраняются обновлением ПО.

Так это если из ошибки удаётся выкарабкаться. Т.е. аппарат связан с Землёй, передал ТМИ и загрузил новый код. Но т.к. за всё это тоже теперь отвечают программы, то тут не соблюдается правило о парировании любого одного отказа. Это по причине уверенности в 100%-ной надёжности системного ПО? Даже в таком случае, ошибки же не только человеческие бывают. Что будет, если системное ПО будет необратимо повреждено радиацией? Допустим, это обнаружится после очередного прохода-прочистки памяти (scrubbing), а дальше надо прерывать нормальные операции и грузить с Земли. А если в этот момент выполняется что-то критическое?

Ещё веселее, если будут повреждены системные данные. Технически, их тоже можно загрузить с Земли, если там восстановят весь ход бортовых вычислений и воспользуются историей ТМИ и дампов памяти. Если нет — придётся гадать. Но сначала надо принимать решение аппарату — аврально прерывать всё или ждать, пока повреждённый код или данные впервые будут использованы, чтобы аварийно стопориться. Хуже, если ошибка обнаружена непосредственно в момент запроса нужной информации. Тогда решение надо принимать немедленно. В случае с прикладным ПО «программа совершит недопустимую операцию и будет закрыта». А с системным так не выйдет. Есть ли некие сокращённые режимы загрузки (в пределах safe-mode)?

Никогда системное ПО (да и вообще все ПО) не хранится в памяти в единственной копии. Есть контрольная сумма, при загрузке ПО считывается, если контрольная сумма не сошлась - значит оно повреждено. И значит загружается другая версия ПО.
Кроме того, практически никто не делает одномашинную систему. Не загрузилась одна БЦВМ, загрузилась зато вторая и стала "главной", а остальные либо в "теплой" схеме с подхватом, либо в холодном.

Главное тут просто все аккуратно отработать, что бы машины сами не запутались. Но это все решаемо - главное просто тестировать и "гонять" ПО в хвост и гриву. :-)

ЦитироватьРысьь пишет:
Но т.к. за всё это тоже теперь отвечают программы,

Мне известен только один аппарат (вернее, платформа, использованная на 4 или 5 аппаратах), где для передачи телеметрии нужны исключительно "программы". А вам? Для обновления ПО также не всегда необходимо его функционирование. It depends, как говорится.

ЦитироватьРысьь пишет:
Это по причине уверенности в 100%-ной надёжности системного ПО?

Оно очень редко пишется заново, одно и то же используется, например, у Астриума на десятке и более аппаратов. При этом, аналогичное или ровно то же может быть и у конкурентов, вроде Талеса или OHB.

ЦитироватьРысьь пишет:
Допустим, это обнаружится после очередного прохода-прочистки памяти (scrubbing), а дальше надо прерывать нормальные операции и грузить с Земли.

Где, в EEPROM? Оно там хранится с избыточным кодированием, единичные ошибки корректируются. Это при том, что копий минимум 2 и при том, что в EEPROM даже SEU сейчас - крайне редкое событие. Оценка вероятности которого известна для каждой миссии задолго до пуска. 

ЦитироватьРысьь пишет:
Ещё веселее, если будут повреждены системные данные.

Я не знаю, что вы называете "системными данными", но данные динамического и статического контекста дублируются и восстановимы при одиночных ошибках. Это "как минимум". Остальное зависит от требований к аппарату. Мне знакома одна платформа, где копий статической конфигурации ПО четыре. И все и с контрольными суммами, и защищены EDAC.

ЦитироватьРысьь пишет:
Есть ли некие сокращённые режимы загрузки (в пределах safe-mode)?

Там, где нужно, может быть несколько (2-3) режимов функционирования ПО или разных ПО Safe Mode. Но совершенно не по тем надуманным причинам, о которых вы пишете.

ЦитироватьEchidna пишет:
Кроме того, практически никто не делает одномашинную систему.

Бывают специфические аппараты и без резервирования процессорного модуля. Один такой полетит осенью этого года :)

ЦитироватьSOE:
Мне известен только один аппарат (вернее, платформа, использованная на 4 или 5 аппаратах), где для передачи телеметрии нужны исключительно "программы".

Вы имеете ввиду аппаратные декодеры команд на ПЛИСах? А какие действия они могут делать, помимо скидывания ТМИ?

ЦитироватьSOE:
у Астриума на десятке и более аппаратов. При этом, аналогичное или ровно то же может быть и у конкурентов, вроде Талеса или OHB.

Хм, а они им между собой делятся? Его можно купить?

ЦитироватьSOE:
в EEPROM даже SEU сейчас - крайне редкое событие. Оценка вероятности которого известна для каждой миссии задолго до пуска.

А разве у флеша не уменьшается надёжность хранения при увеличении рад.дозы? Сейчас САС 15 лет за пределами рад. поясов — норма.

ЦитироватьSOE:
данные динамического и статического контекста дублируются и восстановимы при одиночных ошибках

Хм. Они восстановимы и без дублирования, если использовать ЕСС. А дублирование в каком виде выполнено?

ЦитироватьSOE:
платформа, где копий статической конфигурации ПО четыре. И все и с контрольными суммами, и защищены EDAC

Это какая? Зачем такая защита?

ЦитироватьSOE:
может быть несколько (2-3) режимов функционирования ПО или разных ПО Safe Mode. Но совершенно не по тем надуманным причинам, о которых вы пишете.

А чем отличаются режимы Safe Mode?

ЦитироватьSOE:
Бывают специфические аппараты и без резервирования процессорного модуля. Один такой полетит осенью этого года

Это какой и куда? Какой у него САС?

Кстати, про резервирование: Какая сейчас схема наиболее популярна у долгоживущих аппаратов для ГСО? Интересуют все уровни:
1) технология кристалла (КНИ, КНС или объёмный кремний);
2) топология транзисторов (есть ли охранные кольца и DICE-ячейки);
3) архитектура чипа (что дублируется и троируется, что защищается ЕСС, а что простой чётностью);
4) архитектура вычислительного модуля (сколько копий чего и где какие методы EDAC);
5) архитектура системы модулей (сколько копий чего и что в каком резерве).

Я бы предположил 2 сдвоенных или строенных компа — рабочий и резервный. При обнаружении несовпадения для сдвоенной модели она пересчитывает данные, но если исполняется критическое по времени или надёжности действие, то работают обе пары компов. Что-то такое есть?

ЦитироватьРысьь пишет:
Вы имеете ввиду аппаратные декодеры команд на ПЛИСах? А какие действия они могут делать, помимо скидывания ТМИ?

Декодеры прямых команд не умеют "скидывать ТМИ". 

ЦитироватьРысьь пишет:
Хм, а они им между собой делятся? Его можно купить?

Они или заказывают у одного и того же поставщика, или получают от ЕКА.

ЦитироватьРысьь пишет:
Они восстановимы и без дублирования, если использовать ЕСС. А дублирование в каком виде выполнено?

"ECC" используется. дублирование - в виде 2х идентичных комплектов. Иногда в каждом - по 2 копии.

ЦитироватьРысьь пишет:
Зачем такая защита?

В связи с требованиями (тех. заданием) к аппарату. И оценкой вероятности различных событий в данной миссии.

ЦитироватьРысьь пишет:
Что-то такое есть?

Не знаю. Но "уцелом" не представляю, зачем таким аппаратам горячее резервирование. На платформах Астриума и Талеса такого не примпомню, скажем так.

ЦитироватьРысьь пишет:

ЦитироватьDed:
Ответ есть - солнечный датчик расстояние не измеряет.

Странно. Если я бы его проектировал, то определял бы расстояние по яркости. 
Где вы такое прочли? Ещё раз: сбой часов. Точка. Всё остальное работает. Что дальше?

Ded, завязывайте этого недоучку просвещать.

"Даром преподаватели время со мною тратили
даром со мною мучился самый искусный маг."

Всё, что не говорили мне, понял я всё не так

"Сделать хотел грозу, а получил козу
розовую козу,  с жёлтою полосой...
я не хотел бы вновь встретится с той козой..."

ЦитироватьSOE пишет: 
Ошибки бывают очень и очень разные. Те, которые обычно встречаются в реальной жизни, устраняются обновлением ПО.

Новое ПО - новые ошибки. Некоторые ошибки устраняются после смерти.  :(

ЦитироватьSOE:
Декодеры прямых команд не умеют "скидывать ТМИ".

А что тогда они умеют? И как скинуть ТМИ без них, если основной БВК завис? Ставят ли в декодер перепрограммируемые ПЛИСы, чтобы в полёте ошибки чинить? (Для какого-то из марсианских орбитеров НАСА выпускали программную заплатку, обходящую ошибку в ПЛИС...)

ЦитироватьSOE:
В связи с требованиями (тех. заданием) к аппарату. И оценкой вероятности различных событий в данной миссии.

Он будет на ГСО или многажды пересекать рад.пояса? На сколько лет полёта?

ЦитироватьSOE:
"уцелом" не представляю, зачем таким аппаратам горячее резервирование

Это зависит от того, на каком уровне какие резервы есть. Я предложил 2 компа по 2-3 канала. Вы говорите, что Астриум и Талес не ставят резервы. Тогда единственный основной комп должен быть 3-канальным. Но выше вы указали, что для памяти бывает резервирование, плюс копии кода/данных в каждом канале. Как это сходится? Есть где-то описания устройства бортовых компов для ЕКА и НАСА?

ЦитироватьРысьь пишет:
А что тогда они умеют?

Распознавать команды, адресованные им, проверять их целостность и выполнять их.

ЦитироватьРысьь пишет:
Вы говорите, что Астриум и Талес не ставят резервы.

Я писал об отсутствии горячего резервирования. И о том. что оно там необязатяльно нужно. Как правило, не нужно вообще.

ЦитироватьРысьь пишет:
Тогда единственный основной комп должен быть 3-канальным.

Делают "как нужно". То есть, в соответствии с оценками рисков, в пределах ограничений (финансовых, временных, энергетических. весовых. габаритных) и в соответсвии с требованиями заказчика, а не как представляется кому-то "должным".

ЦитироватьРысьь пишет:
Есть где-то описания устройства бортовых компов для ЕКА и НАСА?

Есть. В Интернет предостаточно информации. Почитайте, потом спрашивайте. Наоборот пока не очень получается, извините за прямоту.

Находится за 30 секунд
http://www.esa.int/TEC/OBCDH/SEM2ZYEURTG_0.html
http://www.ruag.com/space/Products/Digital_Electronics_for_Satellites_Launchers/Data_Handling_Systems

ЦитироватьSOE:
Распознавать команды, адресованные им, проверять их целостность и выполнять их.

Это и так ясно, но что умеют эти команды без процессора?

ЦитироватьSOE:
Я писал об отсутствии горячего резервирования. И о том. что оно там необязатяльно нужно. Как правило, не нужно вообще.

На каком уровне из пяти вышеперечисленных? Если на последнем (самом верхнем), то я и не спорил. Если на уровне чипа, то это вообще невероятно. У RAD6000 и 750 на чипе всё троировано и мажорировано. Как у наших последних Комдивов и новых чипов по коду «Обработка 10...13».

ЦитироватьSOE:
Почитайте, потом спрашивайте. Наоборот пока не очень получается

Очень даже получается. Благодаря вам и коллегам я уже получил ответы на большую часть вопросов. А почти всё что мог ранее, уже прочёл.

ЦитироватьSOE:
Находится за 30 секунд http://www.esa.int/TEC/OBCDH/SEM2ZYEURTG_0.html

По этой ссылке ничего интересного.

ЦитироватьSOE:
http://www.ruag.com/space/Products/Digital_Electronics_for_Satellites_Launchers/Data_Handling_Systems

А по этой две ПДФки. Сейчас почитаем, спасибо.

ЦитироватьРысьь пишет:
Это и так ясно, но что умеют эти команды без процессора?

Это зависит исключительно от аппарата, требований к нему. Именно то, что нужно для восстановления работоспособности аппарата при критических отказах или сбоях.

Как минимум - включать и выключать оборудование, открывать и закрывать клапана, Иногда - управлять передатчиками и режимами работы других подсистем. Иногда - записывать в EEPROM модулей реконфигурации или процессорных модулей. 

ЦитироватьSOE:
включать и выключать оборудование, открывать и закрывать клапана, Иногда - управлять передатчиками и режимами работы других подсистем. Иногда - записывать в EEPROM

Хм. Я ожидал увидеть в этом списке умение читать откуда угодно (ТМИ, дамп памяти и т.п.) и выдача любых разовых команд всем приёмникам-исполнителям. Иначе неясно, как выкручиваться из сложных ситуаций, когда БЦВМы запутались друг в друге, зависли и не просыпаются, или что-то ещё подобное.

Коллега-разработчик из московского НИИ на вопрос о защитной архитектуре БЦВМ ответил так:

1) Технология кристалла: зависит от доступных проектных норм. Если есть хороший КНИ (проверить утечку по скрытому оксиду!), то его. Если нет, то объёмный кремний с тройными карманами (который также дешевле);

2) Топология транзисторов: Охранные кольца в объёме безусловно нужны, от тиристорного эффекта больше никак не защититься. В объёме — кольцевые транзисторы, в КНИ — обычные (но следить, чтобы паразитный биполяр не включался). DICE-ячейки памяти при нормах меньше 180 нм не нужны: в объёме они просто вредны, в КНИ проще код Хсяо поставить. Но триггеры и РФ на DICE эффективнее, чем их мажорирование;

3) Архитектура чипа: Ядро разделить на составные блоки (масштаба РФ и АЛУ) и сделать мажорирование с холодным резервом (3+1). Мажоритарам дать самодиагностику и вывод информации о состоянии; в случае отказа подключать резервный блок автоматом. Рег.файлы — на DICE-триггерах с EDAC. Кэш — Хсяо на обычных ячейках. Внешняя память — тоже какой-то EDAC, в зависимости от требуемой частоты.

4) Архитектура вычислительного модуля: Горячее резервирование ЦП и других чипов не потребуется, всё уже на кристаллах. Вычислительный модуль просто задублировать + EDAC на все памяти;

5) Архитектура системы модулей: простое дублирование — рабочий и холодно резервный.

И добавил, что один из наших НИИ в ближайший год-два завершает ОКР по аналогу Leon-a (на котором RUAG делает свои компы), где уже будет большая часть вышеописанного. Санкции, импортозамещение, Рогозин, мат-перемат и всё такое.

ЦитироватьРысьь пишет:
выдача любых разовых команд всем приёмникам-исполнителям

Такое ощущение, что вы даже не читаете, что вам отвечают

ЦитироватьРысьь пишет:
ближайший год-два завершает ОКР по аналогу Leon

LEON это целое семейство, а не один процессор.

ЦитироватьSOE:
Такое ощущение, что вы даже не читаете, что вам отвечают

Вы написали «включать и выключать оборудование, открывать и закрывать клапана, Иногда - управлять передатчиками и режимами работы других подсистем». Я написал: «выдача любых разовых команд всем приёмникам-исполнителям», что более универсально.

ЦитироватьSOE:
LEON это целое семейство, а не один процессор.

Видимо, наиболее близок будет 2FT.