Вопросы грозозащиты ВС (по катастрофе SSJ)

[Kit.]

Ну если чего-то в алгоритме нету - оно там не появится.

Во-первых, вы, строго говоря, не знаете что этого нету в алгоритме.

Во-вторых, даже если этого "в алгоритме" не было, оно вполне может появиться ("в алгоритме" ли, в железе ли) посли залетевшей молнии или металлической стружки.

Тот же отказ, что вызвал сбой сигнала, мог вызвать и сбой таймера, например.

Кстати, можно сделать чуть надежнее - при расхождении блок безусловно отключает себя сам, а вот для отключения чужого блока - нужны будут оба сигнала на отключение. В любом случае это лучше единой точки отказа в виде блока сравнения.

Вы опять же не учитываете отказ, при котором блок себя не отключает.

Короче, по-видимому, не ваше это.

 

[dmdimon]

Будьте любезны, приведите пруф.

Вы правы, я неправ. Я неправомерно перенес на РТОС чужие определения )

Расскажите, как вы обеспечите синхронизацию допустим N идентичных блоков вот в этой красивой ситуации? чтобы они решения принимали одновременно?

Блок 1 принимает решения от блоков 2 и 3. Блок 1 ложно(!!!!) считает, что его решение совпадает с 2, но не совпадает с 3, при этом реально 2 и 3 совпадают, 1 отличается. Блок ложно выдает решение на отключение блока 3. Блоки 2 и 3 видят истинную картину (2 и 3 совпадают, 1 ложно) и отключают блок 1.

Выбирается с запасом в 4-10 раз и более

Вот Григорий Васильевич Кисунько об этом не знал... Разбаловались программисты. Факт.

 

[Kit.]

Поверю, когда из-за броуновского движения вы взлетите выше пятиэтажки.

Вы считаете эту вероятность сравнимой с вероятностью сбоя таймера? Да/нет?

Как же это не учитываю?

Извините, не дочитал.

Если блок выдал неверный результат и не отключил себя - его отключат другие блоки. Включая и ваш сбой таймера. Тут главное - чтобы не было абсолютно одинакового сбоя на 2 или 3 блоках. Вот если два блока сбойнули идентично - они отключат третий. Несмотря на то, что он как раз работает правильно.

Давайте начнём сначала: кто обеспечивает то, что неверный результат, выданный блоком, не доходит до потребителя? Раз уж он доходит до других блоков.

Точнее - не ваше, раз в простых алгоритмах не разбираетесь. Моя система - 15 лет 365 на 24 без видимых снаружи сбоев. То есть все сбои, что были, она верно отработала и исправила. А что они были - я по логам вижу.

То есть всего-то 1e5 часов? А чем были вызваны сбои? А чем ваш код управлял?

Так что извините - я практик. Мои идеи подтверждены опытом. А ваши?

Да вот только вчера нашёл очередной баг в ASIL D коде. Хотя, казалось бы...

 

[dmdimon]

Давайте начнём сначала: кто обеспечивает то, что неверный результат, выданный блоком, не доходит до потребителя? Раз уж он доходит до других блоков.

Это возможно - с потерей тактов. Т.е. сначала результаты - в буфер, потом - сравнение и мажоритирование блоков, потом авторизованные блоки результат из буфера - потребителю. Предполагая абсолютную надежность буфера и запас по быстродействию в четыре-десять раз ) ну и отсутствие ситуации, о которой вы упомянули

Вы опять же не учитываете отказ, при котором блок себя не отключает.

потому, что возможен отказ, когда вот это

Если блок выдал неверный результат и не отключил себя - его отключат другие блоки.

не сработает или сработает ложно. Блин, получается путано, количество букв растет... Короче, если блок отключает сам себя - он может не отключиться, если блок отключает соседа - он точно так-же может не отключить его или ложно отключить. При этом возникнет паритет между рабочими и нерабочими блоками, если их три. А три - это, в общем-то, стандарт.

А в чем проблема?

в расхождении таймеров блоков

Я понял, почему у нас возникают разногласия. Вы рассматриваете системы с большим запасом по вычислительным (и, как следствие, временным) ресурсам, я - наоборот.

 

[dmdimon]

Но стоит ли экономить пару баксов на процессоре?

У меня это был не вопрос экономии, а вопрос того, что возможно вписать из того, что есть грубо говоря.

 

[dmdimon]

сейчас - понятия не имею. Я уже 25 лет как другим совершенно занимаюсь.

 

[Sergey-nn]

КМК Молния и есть результат взаимодействия разных потенциалов и внутри плазменного канала течет именно ток. Так что все через что проходит разряд - все это пропускает ток. Самолет, как кусок железа, прекрасно проводит ток, а самому току куда сподручнее пройти по корпусу, чем лезть в радиостанцию через антенну. Но приборы на борту могут быть выведены не прямым током молнии, а наведенным ею электромагнитным импульсом. Думаю для тех кто не сильно вникал в школе в эти разделы физики (не вас конкретно имею в виду, а вообще обычных обывателей) эти два воздействия необходимо разделять. Кузмича в чистом поле убивает ток, а его Айфон в его руке наведенный импульс.

Извините что отвечаю с большим опозданием - возможно уже ответили до меня. Но "пусть будет"
Самая распространенная ошибка люде молнией особо не интересовавшихся считать, что молния подобна уколу иголкой или на худой конец удару копья. Здесь вошла - там вышла.
Однако молния - весьма широкий плазменный канал, который может достигать в толщину десятки метров. Если посмотреть на снимки грозы, и попытаться прикинуть пропорции, то это можно увидеть.
Связана такая особенность с тем, что даже сильно ионизированный воздух обладает ограниченной проводимостью, а токи очень велики.
Таким образом молния бьёт не только в корпус самолёта, а еще и во все элементы попавшие в толщину ее разряда (плазменного канала). А диаметр плазменного канала определяется только силой разряда. К тому же ионизация, и ток присутствуют не только в самом плазменном канале, а и вокруг него.
Однако если от наведенных воздействий, и даже от "боковых" токов защититься можно, то прямой удар молнии - задача та еще. К примеру попадание молнии в телевизионную антенну приводит к полному выгоранию антенного кабеля. Совсем полному. В труху. Вместе со всеми оплётками.

 

[dmdimon]

Думаю, что даже сейчас по 9 приемке это где-то на уровне между 150 и 90 нм, если мы говорим о интеграции уровня процессоров. По комплексу причин.Ну и от скорости протекания контролируемых процессов зависит, хватает или нет. Точно знаю, что даже сейчас приходится применять каскадирование кое-где, так что ваш допуск на значительный резерв вычислительных мощностей актуален не везде. Пруф не дам )

 

[Kit.]

Гм, что вы называете "сбоем" и в чем критичность? Я вижу такие варианты:
- отказ таймера вызывает отказ блока (если нет резерва)
- нестабильность таймера - корректируется, чуть выше описал.

Речь шла о том, что результатом какого-то сбоя является искажение и принятого сигнала, и представления модуля о текущем времени (или даже искажение представления модуля о текущем времени приводит к неправильной интерпретации сигнала), в результате 2 пакета посылаются сразу друг за другом, а не с секундной задержкой, как ожидалось.

А зачем ему не доходить? Пусть доходят все 3 варианта. А следом потребитель получает 3 посылки контроля (по одной от каждого блока). В каждой посылке контроля - мнение блока про себя и соседей.
Если данные или посылка контроля от блока не пришла - результат игнорируется. Если пришла - смотрим, что в посылках контроля про этот блок написано.

А зачем вся эта чехарда с взаимоотключениями, если в конце всё равно приходим к кворумированию на получателях?

То есть наши 15 лет - это 50-60 лет полета самолета.

В смысле, 15 лет полёта трёх-четырёх самолётов?

Сбои - в основном программные, я умудрился защититься от ненайденных собственных багов. Мой код ничем не управлял - это такой черный ящик, который обеспечивал запись всех переключений управляющих контроллеров.

Ааа... код чёрного ящика у нас в ASIL QM, поскольку на скорость не влияет сам по себе ущерба ни здоровью, ни собственности не наносит.

Их надежность изначально была сильно ниже (час простоя в месяц),

Тоже показатель.

 

[dmdimon]

Cortex-M3 точно есть в публичных прайсах.

Изделие поставляетсяс приемкой ОТК ("1")

Я вижу у них "от 0,18 мкм" и отк 5 в другом месте Прошу прощения, не та ссылка, но тоже ничего. Вот правильная

 

[dmdimon]

см. выше, поправил. Цен там нет, по вашей ссылке - отк1, как я и написал.

 

[nowhow]

Про отладку самолета и закомментированный код в FADEC читали?

Вы упорно тащите ссылку на рассказ, который прошел через 3-4 итерации интерпретаций. Код никто не видел, так что говорить о чужих багах преждевременно. Рассказывайте о своих). Самое простое объяснение, почему изменился алгоритм - разработчику выдали такое задание.

 

[SDA]

все меры сертификации не спасают от дурацких ошибок. Они лишь уменьшают их вероятность.

КТ-178 и ГОСТ 51904 с вами не согласны.

 

[Sergey-nn]

КТ-178 и ГОСТ 51904 с вами не согласны.

Такишо, найдены способы божественного озарения написания программ вообще не содержащих ошибок. Даже ошибок а ТЗ?

Я скромно молчу, что тестов которые гарантируют 100% проверку не существует по определению.

 

[SDA]

Sergey-nn, от ошибок в ТЗ указаные мной документы не защищают никак. Здесь другая наука нужна -- генетика

 

[Kit.]

Ну крайне маловероятно это, на мой взгляд.

То есть вот это, например, на ваш взгляд, "крайне маловероятно"?

То есть вы исходите из того, это ЭМИ повредило датчик.

Нет, я исхожу из того, что любая подсистема, в том числе подсистема защиты, имеет свои собственные failure modes, а определение списка failure modes системы по failure modes её компонентов - это задача экспоненциальной сложности даже для абсолютных эрудитов.

И что даже подсистема, впихнутая с единственной целью борьбы с ЭМИ, вполне может иметь ложноположительные срабатывания (опять же, c причинами экспоненциальной сложности), и надо следить за тем, чтобы такие срабатывания не вывели из строя систему в целом.

А получатель в этом случае получает уже практически готовое решение. Точнее 3 решения, которых надо лишь сложить. А в вашем случае - ещё и оценит на достоверность по, возможно, сложным алгоритмам.

Я не вижу, чем мажоритарный контроль по значениям сложнее мажоритарного контроля по "посылкам контроля". И в любом случае это проще (а главное - надёжнее) решения, требующего обмена информацией между источниками.

И главное - при оценке потребителями, одни потребители могут принять одно решение, другие - другое. В итоге - потеряем консистентность.

Если консистентность требуется - то вы фактически описываете отказ потребителя. Да, потребители тоже могут отказывать по своим внутренним причинам, и не соответствующая спецификации реализация мажоритарного контроля входов (при наличии нормально поставленного тестирования) - далеко не главная причина. Для вас это новость?

 

[Kit.]

Мне бежать надо, я позже на все отвечу. Пока что только один вопрос - вы понимаете, что такое монотонное время? А чем отличается UTC от UT0/UT1/UT2?

Ну и вопрос повышенной сложности - вы видели идиота, который использует не монотонное время в таймерах? И что ему за это было?

Что касается слова "високосный", то это почти синоним бага. Мне лично вспоминается ОС DOS-11 у которой в високосном году не было 1 марта. Ну и холивары, а есть ли 29 февраля в 2000 году. Ну и официальные документы с датой "30 февраля".

Вот только какое это отношение имеет к таймерам?

При чём здесь "високосный"?

И я правильно понимаю, что вы считаете, что указанного по ссылке события не было?

 

[Антон К.]

Извините что отвечаю с большим опозданием - возможно уже ответили до меня. Но "пусть будет"
Самая распространенная ошибка люде молнией особо не интересовавшихся считать, что молния подобна уколу иголкой или на худой конец удару копья. Здесь вошла - там вышла.
Однако молния - весьма широкий плазменный канал, который может достигать в толщину десятки метров. Если посмотреть на снимки грозы, и попытаться прикинуть пропорции, то это можно увидеть.
Связана такая особенность с тем, что даже сильно ионизированный воздух обладает ограниченной проводимостью, а токи очень велики.
Таким образом молния бьёт не только в корпус самолёта, а еще и во все элементы попавшие в толщину ее разряда (плазменного канала). А диаметр плазменного канала определяется только силой разряда. К тому же ионизация, и ток присутствуют не только в самом плазменном канале, а и вокруг него.
Однако если от наведенных воздействий, и даже от "боковых" токов защититься можно, то прямой удар молнии - задача та еще. К примеру попадание молнии в телевизионную антенну приводит к полному выгоранию антенного кабеля. Совсем полному. В труху. Вместе со всеми оплётками.

По поводу толщины канала в десяток метров это Вы загнули однако. Обычно канал не один, их может быть довольно много, но диаметр там порядка нескольких сантиметров. Это видно и по следу, который может оставить молния, или по спекшемуся песку, превратившемуся почти в стекло. Ну и просто если прикинуть сечение, необходимое для пропускания тока такой величины - там тоже намного меньше метра выходит. У грозовых разрядов колоссальная разность потенциалов, а вот токи вполне умеренные, это десятки килоампер. Вроде рекордным считается полмегаампера. Это не так уж много, вполне земные значения, в технике всякой и побольше бывает.
Энергия молнии, кстати, тоже отнюдь не запредельная, именно поэтому довольно много выживших после удара молнии.
Ну и напоследок, в Вики приводят довольно любопытные цифры давления в ударной волне, порожденной разрядом. Обратите внимание, что это давление сопоставимо с ядерным оружием на расстоянии 5 см от центра канала, и очень быстро падает при удалении. Будь диаметр канала и впрямь десять метров, ударная волна разрушила бы небольшой город - так как спадала бы намного медленнее.

 

[Антон К.]

Я фронт вообще не упоминал. Был контекст сечения проводника, потребное для такого тока. А оно не очень большое.
А что касается примера, ну скажем установки лазерного термоядерного синтеза, на неодимовом стекле. Не все конечно, а те, что покрупнее, в Ливерморской лаборатории, у японцев была в свое время, Китай тоже строил. Наш Дельфин в общем хоть и послабее был, но тоже токи немаленькие имел, хотя скажу честно, уже не помню конкретные значения. Помню, что много. А если брать не импульсные токи, то обычный локомотив жрет под десяток килоампер. Там мощность порядка 10МВт, напряжение вроде 3000.

 

[dmdimon]

Будьте любезны, приведите пример такого тока в технике, с нарастанием фронта за 5 мксек

ВМГ ведь техническое устройство?

Если серьезно - ну например в гауссовках. Думаю, и в электромагнитных катапультах такие порядки.