Технологии живучести КА

Echidna · 03.04.2014 15:46:42

На критических по быстродействию участках полета - аппаратно мажоритированные БЦВМ. Вот и все. Горячее резервирование по схеме голосования 2 из 3.
Все остальное - переход в защищенный режим с поддержаниме ориентации КА на Солнце через блок дежурного режима (можно хоть аналоговым его сделать, что бы ни одна ТЗЧ не пробила) с параллельным рестартом БЦВМ и планомерным восстановлением работы систем по командам с Земли.

Ded · 03.04.2014 21:02:22

ЦитироватьРысьь пишет:

Странно, сегодня же есть спутники-ретрансляторы, а с земли можно связяться с низкой орбитой за копейки — телефон Иридиум на 1000 км вверх слышно

Так тож с Земли (про Иридиумы)...
Что касается спутников-ретрансляторов (например, "Луч"), то связаться - это не панацея. Да и связаться не так просто. Просто не знаю на что рассчитана радиолиния.

Ded · 03.04.2014 21:19:04

ЦитироватьРысьь пишет:

ОК, тогда давайте по конкретным случаям. Вот в прошлом году Протон навернулся из-за неверно установленных ДУСов. Могла ли БЦВМ как-то парировать эту ошибку? (Это пункт Б3.) Помнится, однажды посла запуска какого-то из Глонассов обнаружился переворот одного из тамошних датчиков ориентации. Однако аппарат не потерялся и как-то смог связаться с Землёй; проблему починили перепрошивкой.

А как насчёт защиты от тиристора передёргиванием питания с потерей памяти? Отменить это нелья, т.к. иначе защищаемый блок сгорит. Но что, если тиристор случился в БЦВМ при исполнении важных расчётов или при активных манёврах на орбите?

А если речь не о тиристоре, а о невосстановимой ошибке в памяти, которую Хэмминг не исправил? Такая ошибка произошла на зонде New Horizons, летящем к Плутону: http://www.plutotoday.com/news/viewpr.html?pid=22225 .
ЦитироватьDed пишет:
Подумайте еще раз
Подумал. Не помогло. Что не так с Иридиумом и ретрансляторами?

В случае с "Протоном" - нет...
В случае с "Глонассом" - да (кстати напомните об этом случае, забыл). У "Глонассов" всенаправленные антенны КИС и много времени после выведения.

"Тиристор" - это полупроводниковый прибор...
Вы о "тиристорном эффекте"? От него защищаются иначе.
А что такое "потеря памяти"?

Прол · 03.04.2014 21:21:21

ЦитироватьDed пишет:
Что касается спутников-ретрансляторов (например, "Луч" , то связаться - это не панацея.

...а проблема - абонентской аппаратуры для КА нет (пока). Да и энергетику надо смотреть - м.б. с земли будет проще, несмотря на малое время видимости.

Ded · 03.04.2014 21:25:09

ЦитироватьПрол пишет:

ЦитироватьDed пишет:
Что касается спутников-ретрансляторов (например, "Луч" , то связаться - это не панацея.
...а проблема - абонентской аппаратуры для КА нет (пока). Да и энергетику надо смотреть - м.б. с земли будет проще, несмотря на малое время видимости.

Про энергетику я подправил на секунды до Вашего сообщения.
Абонентская аппаратура - это вопрос мне мало знакомый.

На определенных участках полета "Луч", конечно, помощник, но далеко не главный.

Прол · 03.04.2014 21:34:22

ЦитироватьDed пишет:
ЦитироватьПрол пишет:
ЦитироватьDed пишет:
Что касается спутников-ретрансляторов (например, "Луч" , то связаться - это не панацея.
...а проблема - абонентской аппаратуры для КА нет (пока). Да и энергетику надо смотреть - м.б. с земли будет проще, несмотря на малое время видимости.
Про энергетику я подправил на секунды до Вашего сообщения.
Абонентская аппаратура - это вопрос мне мало знакомый.

На определенных участках полета "Луч", конечно, помощник, но далеко не главный.

Увидел.

Рысьь · 04.04.2014 19:50:26

ЦитироватьВ случае с "Протоном" - нет...

А в принципе? Должна же быть процедура аттестации данных и отсева подозрительных на неверные. Оно и в авиации так.

Цитироватьс "Глонассом" - да (кстати напомните об этом случае, забыл)

Я сам о нём читал как раз в той ветке, где упавшему Протону косточки перемывали.

ЦитироватьВы о "тиристорном эффекте"? От него защищаются иначе.

Именно о нём. НЯЗ, если он уже произошёл (не смотря на микроэлектронные преграды), то реакция только одна — как можно быстрее передёрнуть питание.

Цитироватьчто такое "потеря памяти"?

Это когда из-за неисправимой ошибки ЦП не может прочесть слово из памяти.

Lunatik-k · 04.04.2014 22:05:45

ЦитироватьРысьь пишет:
ЦитироватьВ случае с "Протоном" - нет...
А в принципе? Должна же быть процедура аттестации данных и отсева подозрительных на неверные.

Должна быть процедура аттестации кадров, в том числе и высших управленцев.
А не создаваться коллективы блатных и голодных.
Когда любой голодный специалист не хочет думать за такие деньги.
И в любой момент уходит туда где на 1000р больше платят.

Ded · 04.04.2014 22:24:41

ЦитироватьРысьь пишет:

ЦитироватьВ случае с "Протоном" - нет...
А в принципе? Должна же быть процедура аттестации данных и отсева подозрительных на неверные. Оно и в авиации так.
Цитироватьс "Глонассом" - да (кстати напомните об этом случае, забыл)
Я сам о нём читал как раз в той ветке, где упавшему Протону косточки перемывали.
ЦитироватьВы о "тиристорном эффекте"? От него защищаются иначе.
Именно о нём. НЯЗ, если он уже произошёл (не смотря на микроэлектронные преграды), то реакция только одна — как можно быстрее передёрнуть питание.
Цитироватьчто такое "потеря памяти"?
Это когда из-за неисправимой ошибки ЦП не может прочесть слово из памяти.

Хочется задать хамский вопрос, но промолчу, пока... Далее по порядку.

Нет.

Сразу не нашел: Что такое НЯЗ. А от ТЗЧ "передергиванием питания" (по команде с Земли) не спасетесь. Увы. Я писал о других способах защиты.

Так о ГЛОНАССАХ или о ракете?

Вопрос интересен. Что Вы имеете в виду?

Художник · 05.04.2014 04:47:13

ЦитироватьРысьь пишет:
Актуальная тема после потери Фобос-Грунта и в свете грядущих миссий Роскосмоса на Луну и Марс. Рассматриваются такие вопросы:

Технологии живучести КА, Защита от сбоев, защищённый/безопасный режим, аварийная реанимация...

А зачем такая тема, пишите диплом, книгу, хотите создать банк доступной информации на форуме, или просто, для разминки мозга?

Кстати, Вам правильно посоветовали для начала ознакомится с литературой и терминами.

P.S. "вычислительно-управляющих комплексов (ВУК). " - специфическая нераспространённая аббревиатура.
если будете использовать дайте подробное описание функций и состава комплекса, не путайте с БРЭО и БВК.

Художник · 05.04.2014 04:57:16

ЦитироватьDed пишет:
ЦитироватьРысьь пишет:
Цитироватьчто такое "потеря памяти"?
Это когда из-за неисправимой ошибки ЦП не может прочесть слово из памяти.
Вопрос интересен. Что Вы имеете в виду?

Никакая не "потеря памяти", и не "отшиблость памяти", и не " неисправимая ошибка ЦП", просто "ошибка чтения данных из ячеек памяти" (не важно какой носитель и не важно сколько бит, "слов" (каких СЛОВ?) или там аналоговых сигналов) Рысьь, с терминами определитесь, используйте по возможности стандартные или хотя бы общепринятые.

PIN · 05.04.2014 13:28:05

ЦитироватьРысьь пишет:
В космосе тоже может навернуться датчик ориантации — и что тогда?

На грамотно спроектированном КА и профессионально организованных операциях - как правило, ничего

PIN · 05.04.2014 13:30:51

ЦитироватьРысьь пишет:
Первое чинится временнЫм дублиированием или подтверждением выданных команд. Или после выдачи команды надо вставить некий проверочный хэш.

О чем вы? Эти команды - прямые. Представляют из себя не более чем однократные скачки напряжения. И, да, я помню минимум один подтвержденный случай, когда на аппарата CPDU выдал такую команду сам.

Рысьь · 05.04.2014 19:51:16

ЦитироватьDed:
Что такое НЯЗ

«Насколько я знаю»

Цитироватьот ТЗЧ "передергиванием питания" (по команде с Земли) не спасетесь

Во-первых, не от ТЗЧ, а от тиристорного эффекта. Во-вторых, не по команде, а по срабатыванию датчика КЗ — за миллисекунды (иначе всё сгорит).

ЦитироватьВопрос интересен. Что Вы имеете в виду?

Какой именно вопрос? Я спрашивал и о ГЛОНАССАХ, и о ракете, потому что, как мне кажется, тут общие алогоритмы обнаружения и отсева недостоверных данных от датичиков.

ЦитироватьSOE:
На грамотно спроектированном КА и профессионально организованных операциях - как правило, ничего.

Вот поэтому я и спрашиваю: как надо грамотно спроектировать, чтобы обнаружить перенвёрнутый ДУС или что-то подобное.

Цитироватьминимум один подтвержденный случай, когда на аппарата CPDU выдал такую команду сам.

Любопытно, и что же в таком случае надо делать, чтобы исправить сие безобразие?

PIN · 05.04.2014 21:26:54

ЦитироватьРысьь пишет:
как надо грамотно спроектировать, чтобы обнаружить перенвёрнутый ДУС или что-то подобное.

Для этого используется резервирование и первичная обработка данных датчиков для исключения ложных.
Аппараты с перевернутыми датчиками и исполнительными органами летали, причем, успешно.

ЦитироватьРысьь пишет:
Любопытно, и что же в таком случае надо делать, чтобы исправить сие безобразие?

Отключать то, что включено или включать, то что было выключено. Если аппарат сам этого не сделал. А какие еще варианты?

Рысьь · 06.04.2014 18:38:55

ЦитироватьSOE:
Отключать то, что включено или включать, то что было выключено. Если аппарат сам этого не сделал

Это уже следствие. Вначале ситуацию надо обнаружить. Как я понимаю, в энергосистеме есть датчики тока, которые (помимо контроля КЗ) обнаружат неожиданное повышение потребления, на что система должна как-то отреагировать. Например, опросом статусов всех нагрузок. А вдруг это сам токовый датчик барахлит? Но и статуся могут не показать верно, если читается одно, а состояние другое. Тогда надо каждый формально выключенный прибор повторно явно выключить. Если не поможет — вырубать всё и смотреть, как падает ток, но это уже свыше сил встроенного ИИ, поэтому — только в аварийных режим.

Похожая ситуация — КЗ. После его обнаружения и отключения нагрузки её надо как-то проверить. По идее, у местного блока питания помимо коммутаторов питания и датчиков тока должен быть и омметр, проверяющий КЗ без подачи питания. Есть такое?

Помимо неожиданного повышения потребления может быть и неожиданно быстрая потеря заряда в аккумуляторе, а также потеря подпитки от Солнца. Для быстрого реагирования надо как минимум знать полный энергобаланс (что сколько даёт, хранит и потребляет в разных режимах — в ваттах и джоулях), а во-вторых — энергоёмкость основных операций (например, поиск потерянного Солнца или сеанс связи с Землёй). Далее надо принимать решения с учётом этих энергетических ограничений. Есть такие формулы и алгоритмы?

Ded · 06.04.2014 19:31:07

ЦитироватьРысьь пишет:

Цитировать   Ded   :
Что такое НЯЗ
«Насколько я знаю»
Цитироватьот ТЗЧ "передергиванием питания" (по команде с Земли) не спасетесь

Во-первых, не от ТЗЧ, а от тиристорного эффекта. Во-вторых, не по команде, а по срабатыванию датчика КЗ — за миллисекунды (иначе всё сгорит).
ЦитироватьВопрос интересен. Что Вы имеете в виду?
Какой именно вопрос? Я спрашивал и о ГЛОНАССАХ, и о ракете, потому что, как мне кажется, тут общие алогоритмы обнаружения и отсева недостоверных данных от датичиков.
Цитировать   SOE   :
На грамотно спроектированном КА и профессионально организованных операциях - как правило, ничего.
Вот поэтому я и спрашиваю: как надо грамотно спроектировать, чтобы обнаружить перенвёрнутый ДУС или что-то подобное.
Цитироватьминимум один подтвержденный случай, когда на аппарата CPDU выдал такую команду сам.
Любопытно, и что же в таком случае надо делать, чтобы исправить сие безобразие?

Спасибо

Прочли чего-то. А защите не "передергивание питания"...

Вам кажется, а у ракеты и КА алгоритмы разные. Вы можете внятно объяснить выделнное?

PIN · 06.04.2014 23:57:47

ЦитироватьРысьь пишет:
омметр, проверяющий КЗ без подачи питания. Есть такое?

Нет.

ЦитироватьРысьь пишет:
Для быстрого реагирования надо как минимум знать полный энергобаланс (что сколько даёт, хранит и потребляет в разных режимах — в ваттах и джоулях), а во-вторых — энергоёмкость основных операций (например, поиск потерянного Солнца или сеанс связи с Землёй). Далее надо принимать решения с учётом этих энергетических ограничений. Есть такие формулы и алгоритмы?

На борту? Зачем? Все это закладывается еще при проектировании.

Рысьь · 07.04.2014 10:54:28

ЦитироватьDed:
не от ТЗЧ, а от тиристорного эффекта. Во-вторых, не по команде, а по срабатыванию датчика КЗ — за миллисекунды (иначе всё сгорит).

Вам надо читать подробности о рад.стойкой микроэлектронике и тиристорном эффекте. Несколько месяцев назад BarsMonster написал на Хабре популярное объяснение все этих вещей. Недавно также были его статьи о том, где и что в РФ выпускается из космической электроники.

Цитироватьалогоритмы обнаружения и отсева недостоверных данных от датичиков

А это я бы сам хотел узнать. По известным мне данным из авиации такие алгоритмы основаны на сравнении показаний датчиков с результатами мат. моделирования управляемого объекта. Но датчики не сразу отключаются или игнорируются, а переводятся в категорию подозрительных, откуда их можно вернуть после дополнительной проверки. Например, если 2 одинаковых датчика показывают одинаково странные данные, то куда более вероятно, что оба исправны (и причина не в них), чем что оба одинаково врут.

Цитировать«омметр, проверяющий КЗ без подачи питания. Есть такое?»
SOE:
Нет.

ОК, тогда давайте вспомним ситуацию аварийной заморозки Салюта-7: из-за КЗ вышел из строя старый модуль радиосвязи; автомат перевёл на новый, но на Земле оператор решил ещё раз включить старый, из-за чего произошло второе КЗ, которое почему-то не было сразу отсечено, а привело к выходу из строя кучи оборудования и полному обесточиванию борта. Вопрос: если бы можно было с Земли и/или с помощью бортовой автоматики проверить включаемый блок на КЗ (т.е. на ~0 Ом между землёй и питанием) без подачи всего питания, то произошла ли авария? Скорее всего нет. Тогда почему же по-вашему не делают такую проверку?

ЦитироватьНа борту? Зачем? Все это закладывается еще при проектировании.

Что именно закладывается? Аппаратная схема фиксирована, но схему подключния нагрузки можно менять. Более того, известно что у всех блоков (в т.ч. аккумуляторов и СБ) есть дрейф энергопараметров из-за выработки ресурса, накопленной дозы и температуры. Следовательно, нельзя фиксировать константами, что такой-то блок потребляет или выдаёт ровно Х Вт. А значит должны быть гибкие формулы расчёта энергобаланса, которые должны подсчитывать джоули и ватты, и сигналить, если чего-то не хватает. В частности, даже на том же Салюте-7 после разряда батарей до критического уровня сработала защита, которая стала отключать потребителей (правда, ситуацию это не спасло). Такая же защита есть и в современных КА, но на более продвинутом уровне — причём прежде всего програмном. А я понял ваши слова, что это всё только аппаратное. Разве?...

Кстати, вот ещё что: КМОП-электроника имеет окололинейную зависимость потребления от частоты и околоквадратичную от напряжения питания, которое само по себе окололинейно зависит от частоты. Поэтому в современных ЦП есть несколько энергосостояний (P-state), отличающихся частотой и напряжением, используемых для избежания перегрева и экономии энергии; например, ноутбук не станет разгоняться до полной частоты при работе от батарей, а только от сети. Полагаю, подобное должнно быть и в БЦВМ, но с добавкой космической специфики: быстрый, экономный и особонадёжный режимы (возможно, ещё и некий средний-универсальный). Сколько таких режимов есть у известных вам БЦВМ, и насколько сильно они отличаются по параметрам? Есть ли алгоритм или железо для перевода БЦВМ в экономный режим при разряде батерей, потере Солнца или прочих опасностях?

PIN · 07.04.2014 12:19:19

ЦитироватьРысьь пишет:
но на Земле оператор решил ещё раз включить старый, из-за чего произошло второе
КЗ, которое почему-то не было сразу отсечено, а привело к выходу из строя кучи
оборудования и полному обесточиванию борта.

Чтобы "почему-то" не происходило, электросистемы надо грамотно проектировать. На современных КА все потребители защищаются ограничителями тока с просто отключением или с самостоятельным включением по истечении определенного интервала времени. Состояние и токи ограничителей есть в телеметрии, часть потребителей - за двумя уровнями ограничителей.