Тройное дублирование Способы повышения надёжности

[Кенгуру]

Тройное дублирование Способы повышения надёжности

В связи с упавшим Прогресс М-12М хочется обсудить проблему повышения надёжности. Приложить так сказать к ней свою лапу. Помочь космонавтике.

Вообще тема давно назрела. Не помню так сразу все случаи, но например на Космос-1669 не сработал датчик открытия антенны, хотя она открылась ( ссылка ). Всё конечно обошлось, но осадок остался.

На Салюте-7 сломался датчик заряд химических батарей, и показывал, что они заряжены, из-за этого их автоматика не подключала к зарядке от солнечных батарей, в результате станция обесточилась и отключилась. Пришлось посылать Союз, а потом два Прогресса чтобы вернуть станцию к жизни ( ссылка ). Тратить массу труда, денег, времени, нервов. Не слишком ли высокая цена за один не продублированный датчик?


В общем пораскинув тем, что былом, продублировать датчик можно так как на картинке ( http://xmages.net/storage/10/1/0/a/5/upload/d69b1bed.gif ):



В пункте "2" есть три датчика измеряющих одно и тоже. Например, тот же заряд химических батарей на Салюте-7. Датчики подключены не напрямую к лампочке ( или некой системе выполняющий определённые действия ), а подключены к реле, причём таким образом, что лампочка загорается по большинству голосов от датчиков. Если двое из трёх или более датчиков включены - лампочка загорается, если двое из трёх или более датчиков выключены - лампочка гаснет. Демократия. Любой из датчиков может сломаться и это никак не повлияет на работоспособность системы.

Второй вопрос - это как узнать произошла ли поломка датчика? Для этого нужна схема "3". По этой схеме подключения лампочка загорается если датчики не пришли к консенсусу. Консенсус - это общее согласие ( так обычно голосуют на межгосударственном уровне ). Если один из датчиков не согласен с двумя другими, то лампочка загорится и будет сигнализировать, что датчик сломался, надо идти и ремонтировать. При переключении датчиков из положения в положение лампочка будет помигивать, так как абсолютно синхронно переключиться невозможно. Это помигивание будет свидетельствовать, о том, что система работает.

Может показаться, что 12 реле - это слишком. Но это дешевле чем посылка 3 кораблей к умершему Салюту-7.


Может быть есть лучшие способы повышения надёжности?

[PIN]

Есть. И давно.
Не усложнять без надобности.

[Кенгуру]

Есть. И давно.

А как устроено? И как давно? Ведь на Салют-7 значит не было?

[ааа]

Тройное дублирование (оно же двойное троирование) называется "мажоритирование".

[Suzeren]

Тут существуют свои особенности... Если обработка совместная трех датчиков, то возникают сложности если выходит один из них из строя - непонятно какой из оставшихся двух врет, а какой нет.

Основной, как мне кажется, схемой повышения надежности (плюс к той что уже разработана и используется) является анализ косвенных параметров, которых всегда навалом... Тот же заряд батареи можно глядеть не только по датчикам, но регистрировать по уйме косвенных параметров СЭС и очень точно диагностировать когда аппарату плохо.

Другое дело, если речь идет о динамичных системах, где реакция на отказ должна быть как можно более быстрой и нет возможности анализировать... Но это как правило в ракетной технике, а не в КА (на пассивных участках полета). На пассивных участках диагностика по косвенным признакам (в случае отказа основных измерительных средств) возможна почти у всего.

[Старый]

Тут существуют свои особенности... Если обработка совместная трех датчиков, то возникают сложности если выходит один из них из строя - непонятно какой из оставшихся двух врет, а какой нет.

Тогда требуется срабатывание обоих оставшихся. Отказ двух из трёх это уже перебор.

[Frontm]

Тут существуют свои особенности... Если обработка совместная трех датчиков, то возникают сложности если выходит один из них из строя - непонятно какой из оставшихся двух врет, а какой нет.

Тогда требуется срабатывание обоих оставшихся. Отказ двух из трёх это уже перебор.

троирование с горячим резервированием при наличии блока распознавания неисправности позволяет работать и при двух отказавших из трёх. Но добавляется вероятность отказа этого модуля, а он может признать все комплекты неисправными при их полной исправности. Если три горячих соединяем мажоритарно, то сразу схема становится не троированной, а дублированной. Вроде комплекта три, а толку с них как с двух.

[hcube]

К резервированию вообще в принципе не так надо подходить. Надо резервировать не датчики (хотя их тоже), а функциональные устройства. То есть ставить ен одну АКБ, а 5 штук, в разных частях станции, и с автономной электроникой на каждой. А отказ ловить не по сообщению датчика, а по обмену с самой батареей (либо отсутствию такого обмена). Это, блин, в сотовых телефонах делают, где бюджет на батарею с контроллером - 10 баксов. Думаю, станция за 10 ГИГАбаксов заслуживает как минимум такого же подхода :-P

[Frontm]

К резервированию вообще в принципе не так надо подходить. Надо резервировать не датчики (хотя их тоже), а функциональные устройства. То есть ставить ен одну АКБ, а 5 штук, в разных частях станции, и с автономной электроникой на каждой. А отказ ловить не по сообщению датчика, а по обмену с самой батареей (либо отсутствию такого обмена). Это, блин, в сотовых телефонах делают, где бюджет на батарею с контроллером - 10 баксов. Думаю, станция за 10 ГИГАбаксов заслуживает как минимум такого же подхода :-P

И как 5 штук АБ соединять? паралельно?   Тогда уж и 5 комплектов ПН бы надо.
По уму так надо каждый элемент АБ контролировать отдельно и иметь возможность отключать неисправную "банку". Правда "отключатель" тоже может отказать или датчик.

[Штуцер]

Есть. И давно.

А как устроено? И как давно? Ведь на Салют-7 значит не было?

Давным давно существует. На Салют-7, ЕМНИП, "дело было не в бобине, рас3,34здяй сидел в кабине". Мажоритарные схемы тут бессильны.
В ДУ ТКС, к примеру, асе сигнализаторы имели по 2 контактные группы, и устанавливались по 3 штуки.  В том числе сигнализаторы двигателя. Наличие 6 пар контактов в 3 независимых сигнализаторах позволяло набрать мажоритарную схему простой коммутацией кабелей, соответсвенно блок из 3 сигнализаторов автоматически выдавал мажоритарное решение.
Наверняка и на Салюте важнейшие чувствительные элементы троировались.
ЗЫ А термин "Тройное дублирование" - это все равно, что "альтернатива из трех"

[Sаlyutman]

К сожалению, часто цепи дублирования и троирования прокладываются в одном кабеле, через весь борт. Его повреждение ведёт к отказу и обесцениванию самой идеи подобной защиты.

[Потусторонний]

"альтернатива из трех"

А мне и "альтернатива из двух" режет слух также как "две большие разницы"  :cry:

[Saul]

Ещё неплохо, на один измеряемый параметр, установить датчики работающие на совершенно различных физических принципах.

[m-s Gelezniak]

К сожалению, часто цепи дублирования и троирования прокладываются в одном кабеле, через весь борт. Его повреждение ведёт к отказу и обесцениванию самой идеи подобной защиты.

Вот чтобы такого не было и делается деление систем по бортам.

[Frontm]

Ещё неплохо, на один измеряемый параметр, установить датчики работающие на совершенно различных физических принципах.

схемой повышения надежности (плюс к той что уже разработана и используется) является анализ косвенных параметров, которых всегда навалом... Тот же заряд батареи можно глядеть не только по датчикам, но регистрировать по уйме косвенных параметров СЭС и очень точно диагностировать когда аппарату плохо

[Sаlyutman]

Увы, у нас практически не делается - лишняя масса.

[Кенгуру]

Чорд. Кенгуру нарыл статью про резервирование.

Ни одной никогда не читал. Если есть какая-то интересная статья - дайте мне ссылки пожалуйста.

Естественно в космической технике применяется резервирование. Причем гораздо более сложные и надежные схемы.

А можно посмотреть?

К примеру все ваши вот эти рисульки для 5 класса не выдержат единичный отказ лампочки. Или линии к лампочке, или линии от батарейки.

Добавьте в линию с датчиками переключатели которые заменяли бы собой датчики и попереключайте их туда-сюда. Сразу увидите работает или нет.

То что вы вычитали что в Салюте отказал датчик заряда АКБ совсем не значит что он там один одинешинек, и без схемы защиты от сбоев.

В статье написано "датчик", а не "датчики".

Просто на любую систему найдется непредусмотренный сбой(или банальный брак), который выведет её из строя.

Против брака существуют проверки.

А непредсказуемых сбоев думаю, что не бывает. Бывает, когда лень было подумать заранее.

[Кенгуру]

Есть. И давно.

А как устроено? И как давно? Ведь на Салют-7 значит не было?

Давным давно существует. На Салют-7, ЕМНИП, "дело было не в бобине, рас3,34здяй сидел в кабине". Мажоритарные схемы тут бессильны.
В ДУ ТКС, к примеру, асе сигнализаторы имели по 2 контактные группы, и устанавливались по 3 штуки.  В том числе сигнализаторы двигателя. Наличие 6 пар контактов в 3 независимых сигнализаторах позволяло набрать мажоритарную схему простой коммутацией кабелей, соответсвенно блок из 3 сигнализаторов автоматически выдавал мажоритарное решение.

А проверка того одинаковые решения принимаются всеми элементами или нет там предусмотрена? Если нет, то выхода из строя одного из элементов можно не заметить, а значит со временем может выйти из строя и второй и тогда кранты.

[Андрей]

резервирование связи по каналам:
- витая пара САN, прерывания на критические вещи...
- радиоканал WIFI, ...
- оптика Ethernet, ...

резервирование управления:
- механическим способом: тумблер, ....
- электронным способом: реле, ...

резервирование за счет физической разнесённости в  пространстве

[Штуцер]

А проверка того одинаковые решения принимаются всеми элементами или нет там предусмотрена? Если нет, то выхода из строя одного из элементов можно не заметить, а значит со временем может выйти из строя и второй и тогда кранты.

Проверка предусмотрена. Кроме троированных сигнализаторов имеются и датчики давления. Есть и другие способы проверки.