Технологии живучести КА

[PIN]

Рысьь пишет:
Хм, а они им между собой делятся? Его можно купить?

Они или заказывают у одного и того же поставщика, или получают от ЕКА.

[PIN]

Рысьь пишет:
Они восстановимы и без дублирования, если использовать ЕСС. А дублирование в каком виде выполнено?

"ECC" используется. дублирование - в виде 2х идентичных комплектов. Иногда в каждом - по 2 копии.

[PIN]

Рысьь пишет:
Зачем такая защита?

В связи с требованиями (тех. заданием) к аппарату. И оценкой вероятности различных событий в данной миссии.

[PIN]

Рысьь пишет:
Что-то такое есть?

Не знаю. Но "уцелом" не представляю, зачем таким аппаратам горячее резервирование. На платформах Астриума и Талеса такого не примпомню, скажем так.

[Художник]

Рысьь пишет:

Ded:
Ответ есть - солнечный датчик расстояние не измеряет.

Странно. Если я бы его проектировал, то определял бы расстояние по яркости. 
Где вы такое прочли? Ещё раз: сбой часов. Точка. Всё остальное работает. Что дальше?

Ded, завязывайте этого недоучку просвещать.

"Даром преподаватели время со мною тратили
даром со мною мучился самый искусный маг."

Всё, что не говорили мне, понял я всё не так

"Сделать хотел грозу, а получил козу
розовую козу,  с жёлтою полосой...
я не хотел бы вновь встретится с той козой..."

[Художник]

SOE пишет: 
Ошибки бывают очень и очень разные. Те, которые обычно встречаются в реальной жизни, устраняются обновлением ПО.

Новое ПО - новые ошибки. Некоторые ошибки устраняются после смерти. 

[Рысьь]

SOE:
Декодеры прямых команд не умеют "скидывать ТМИ".

А что тогда они умеют? И как скинуть ТМИ без них, если основной БВК завис? Ставят ли в декодер перепрограммируемые ПЛИСы, чтобы в полёте ошибки чинить? (Для какого-то из марсианских орбитеров НАСА выпускали программную заплатку, обходящую ошибку в ПЛИС...)

SOE:
В связи с требованиями (тех. заданием) к аппарату. И оценкой вероятности различных событий в данной миссии.

Он будет на ГСО или многажды пересекать рад.пояса? На сколько лет полёта?

SOE:
"уцелом" не представляю, зачем таким аппаратам горячее резервирование

Это зависит от того, на каком уровне какие резервы есть. Я предложил 2 компа по 2-3 канала. Вы говорите, что Астриум и Талес не ставят резервы. Тогда единственный основной комп должен быть 3-канальным. Но выше вы указали, что для памяти бывает резервирование, плюс копии кода/данных в каждом канале. Как это сходится? Есть где-то описания устройства бортовых компов для ЕКА и НАСА?

[PIN]

Рысьь пишет:
А что тогда они умеют?

Распознавать команды, адресованные им, проверять их целостность и выполнять их.

Рысьь пишет:
Вы говорите, что Астриум и Талес не ставят резервы.

Я писал об отсутствии горячего резервирования. И о том. что оно там необязатяльно нужно. Как правило, не нужно вообще.

Рысьь пишет:
Тогда единственный основной комп должен быть 3-канальным.

Делают "как нужно". То есть, в соответствии с оценками рисков, в пределах ограничений (финансовых, временных, энергетических. весовых. габаритных) и в соответсвии с требованиями заказчика, а не как представляется кому-то "должным".

Рысьь пишет:
Есть где-то описания устройства бортовых компов для ЕКА и НАСА?

Есть. В Интернет предостаточно информации. Почитайте, потом спрашивайте. Наоборот пока не очень получается, извините за прямоту.

[PIN]

Находится за 30 секунд
http://www.esa.int/TEC/OBCDH/SEM2ZYEURTG_0.html
http://www.ruag.com/space/Products/Digital_Electronics_for_Satellites_Launchers/Data_Handling_Systems

[Рысьь]

SOE:
Распознавать команды, адресованные им, проверять их целостность и выполнять их.

Это и так ясно, но что умеют эти команды без процессора?

SOE:
Я писал об отсутствии горячего резервирования. И о том. что оно там необязатяльно нужно. Как правило, не нужно вообще.

На каком уровне из пяти вышеперечисленных? Если на последнем (самом верхнем), то я и не спорил. Если на уровне чипа, то это вообще невероятно. У RAD6000 и 750 на чипе всё троировано и мажорировано. Как у наших последних Комдивов и новых чипов по коду «Обработка 10...13».

SOE:
Почитайте, потом спрашивайте. Наоборот пока не очень получается

Очень даже получается. Благодаря вам и коллегам я уже получил ответы на большую часть вопросов. А почти всё что мог ранее, уже прочёл.

SOE:
Находится за 30 секунд http://www.esa.int/TEC/OBCDH/SEM2ZYEURTG_0.html

По этой ссылке ничего интересного.

SOE:
http://www.ruag.com/space/Products/Digital_Electronics_for_Satellites_Launchers/Data_Handling_Systems

А по этой две ПДФки. Сейчас почитаем, спасибо.

[PIN]

Рысьь пишет:
Это и так ясно, но что умеют эти команды без процессора?

Это зависит исключительно от аппарата, требований к нему. Именно то, что нужно для восстановления работоспособности аппарата при критических отказах или сбоях.

Как минимум - включать и выключать оборудование, открывать и закрывать клапана, Иногда - управлять передатчиками и режимами работы других подсистем. Иногда - записывать в EEPROM модулей реконфигурации или процессорных модулей. 

[Рысьь]

SOE:
включать и выключать оборудование, открывать и закрывать клапана, Иногда - управлять передатчиками и режимами работы других подсистем. Иногда - записывать в EEPROM

Хм. Я ожидал увидеть в этом списке умение читать откуда угодно (ТМИ, дамп памяти и т.п.) и выдача любых разовых команд всем приёмникам-исполнителям. Иначе неясно, как выкручиваться из сложных ситуаций, когда БЦВМы запутались друг в друге, зависли и не просыпаются, или что-то ещё подобное.

Коллега-разработчик из московского НИИ на вопрос о защитной архитектуре БЦВМ ответил так:

1) Технология кристалла: зависит от доступных проектных норм. Если есть хороший КНИ (проверить утечку по скрытому оксиду!), то его. Если нет, то объёмный кремний с тройными карманами (который также дешевле);

2) Топология транзисторов: Охранные кольца в объёме безусловно нужны, от тиристорного эффекта больше никак не защититься. В объёме — кольцевые транзисторы, в КНИ — обычные (но следить, чтобы паразитный биполяр не включался). DICE-ячейки памяти при нормах меньше 180 нм не нужны: в объёме они просто вредны, в КНИ проще код Хсяо поставить. Но триггеры и РФ на DICE эффективнее, чем их мажорирование;

3) Архитектура чипа: Ядро разделить на составные блоки (масштаба РФ и АЛУ) и сделать мажорирование с холодным резервом (3+1). Мажоритарам дать самодиагностику и вывод информации о состоянии; в случае отказа подключать резервный блок автоматом. Рег.файлы — на DICE-триггерах с EDAC. Кэш — Хсяо на обычных ячейках. Внешняя память — тоже какой-то EDAC, в зависимости от требуемой частоты.

4) Архитектура вычислительного модуля: Горячее резервирование ЦП и других чипов не потребуется, всё уже на кристаллах. Вычислительный модуль просто задублировать + EDAC на все памяти;

5) Архитектура системы модулей: простое дублирование — рабочий и холодно резервный.

И добавил, что один из наших НИИ в ближайший год-два завершает ОКР по аналогу Leon-a (на котором RUAG делает свои компы), где уже будет большая часть вышеописанного. Санкции, импортозамещение, Рогозин, мат-перемат и всё такое.

[PIN]

Рысьь пишет:
выдача любых разовых команд всем приёмникам-исполнителям

Такое ощущение, что вы даже не читаете, что вам отвечают

[PIN]

Рысьь пишет:
ближайший год-два завершает ОКР по аналогу Leon

LEON это целое семейство, а не один процессор.

[Рысьь]

SOE:
Такое ощущение, что вы даже не читаете, что вам отвечают

Вы написали «включать и выключать оборудование, открывать и закрывать клапана, Иногда - управлять передатчиками и режимами работы других подсистем». Я написал: «выдача любых разовых команд всем приёмникам-исполнителям», что более универсально.

SOE:
LEON это целое семейство, а не один процессор.

Видимо, наиболее близок будет 2FT.