Во-первых, вы, строго говоря, не знаете что этого нету в алгоритме.Ну если чего-то в алгоритме нету - оно там не появится.
Вы опять же не учитываете отказ, при котором блок себя не отключает.Кстати, можно сделать чуть надежнее - при расхождении блок безусловно отключает себя сам, а вот для отключения чужого блока - нужны будут оба сигнала на отключение. В любом случае это лучше единой точки отказа в виде блока сравнения.
Вы правы, я неправ. Я неправомерно перенес на РТОС чужие определения )Будьте любезны, приведите пруф.
Блок 1 принимает решения от блоков 2 и 3. Блок 1 ложно(!!!!) считает, что его решение совпадает с 2, но не совпадает с 3, при этом реально 2 и 3 совпадают, 1 отличается. Блок ложно выдает решение на отключение блока 3. Блоки 2 и 3 видят истинную картину (2 и 3 совпадают, 1 ложно) и отключают блок 1.
Вот Григорий Васильевич Кисунько об этом не знал... Разбаловались программисты. Факт.Выбирается с запасом в 4-10 раз и более
Вы считаете эту вероятность сравнимой с вероятностью сбоя таймера? Да/нет?Поверю, когда из-за броуновского движения вы взлетите выше пятиэтажки.
Извините, не дочитал.Как же это не учитываю?
Давайте начнём сначала: кто обеспечивает то, что неверный результат, выданный блоком, не доходит до потребителя? Раз уж он доходит до других блоков.Если блок выдал неверный результат и не отключил себя - его отключат другие блоки. Включая и ваш сбой таймера. Тут главное - чтобы не было абсолютно одинакового сбоя на 2 или 3 блоках. Вот если два блока сбойнули идентично - они отключат третий. Несмотря на то, что он как раз работает правильно.
То есть всего-то 1e5 часов? А чем были вызваны сбои? А чем ваш код управлял?Точнее - не ваше, раз в простых алгоритмах не разбираетесь. Моя система - 15 лет 365 на 24 без видимых снаружи сбоев. То есть все сбои, что были, она верно отработала и исправила. А что они были - я по логам вижу.
Да вот только вчера нашёл очередной баг в ASIL D коде. Хотя, казалось бы...Так что извините - я практик. Мои идеи подтверждены опытом. А ваши?
Это возможно - с потерей тактов. Т.е. сначала результаты - в буфер, потом - сравнение и мажоритирование блоков, потом авторизованные блоки результат из буфера - потребителю. Предполагая абсолютную надежность буфера и запас по быстродействию в четыре-десять раз ) ну и отсутствие ситуации, о которой вы упомянулиДавайте начнём сначала: кто обеспечивает то, что неверный результат, выданный блоком, не доходит до потребителя? Раз уж он доходит до других блоков.
потому, что возможен отказ, когда вот этоВы опять же не учитываете отказ, при котором блок себя не отключает.
не сработает или сработает ложно. Блин, получается путано, количество букв растет... Короче, если блок отключает сам себя - он может не отключиться, если блок отключает соседа - он точно так-же может не отключить его или ложно отключить. При этом возникнет паритет между рабочими и нерабочими блоками, если их три. А три - это, в общем-то, стандарт.Если блок выдал неверный результат и не отключил себя - его отключат другие блоки.
в расхождении таймеров блоковА в чем проблема?
У меня это был не вопрос экономии, а вопрос того, что возможно вписать из того, что есть грубо говоря.Но стоит ли экономить пару баксов на процессоре?
Извините что отвечаю с большим опозданием - возможно уже ответили до меня. Но "пусть будет"КМК Молния и есть результат взаимодействия разных потенциалов и внутри плазменного канала течет именно ток. Так что все через что проходит разряд - все это пропускает ток. Самолет, как кусок железа, прекрасно проводит ток, а самому току куда сподручнее пройти по корпусу, чем лезть в радиостанцию через антенну. Но приборы на борту могут быть выведены не прямым током молнии, а наведенным ею электромагнитным импульсом. Думаю для тех кто не сильно вникал в школе в эти разделы физики (не вас конкретно имею в виду, а вообще обычных обывателей) эти два воздействия необходимо разделять. Кузмича в чистом поле убивает ток, а его Айфон в его руке наведенный импульс.
Речь шла о том, что результатом какого-то сбоя является искажение и принятого сигнала, и представления модуля о текущем времени (или даже искажение представления модуля о текущем времени приводит к неправильной интерпретации сигнала), в результате 2 пакета посылаются сразу друг за другом, а не с секундной задержкой, как ожидалось.Гм, что вы называете "сбоем" и в чем критичность? Я вижу такие варианты:
- отказ таймера вызывает отказ блока (если нет резерва)
- нестабильность таймера - корректируется, чуть выше описал.
А зачем вся эта чехарда с взаимоотключениями, если в конце всё равно приходим к кворумированию на получателях?А зачем ему не доходить? Пусть доходят все 3 варианта. А следом потребитель получает 3 посылки контроля (по одной от каждого блока). В каждой посылке контроля - мнение блока про себя и соседей.
Если данные или посылка контроля от блока не пришла - результат игнорируется. Если пришла - смотрим, что в посылках контроля про этот блок написано.
В смысле, 15 лет полёта трёх-четырёх самолётов?То есть наши 15 лет - это 50-60 лет полета самолета.
Ааа... код чёрного ящика у нас в ASIL QM, посколькуСбои - в основном программные, я умудрился защититься от ненайденных собственных багов. Мой код ничем не управлял - это такой черный ящик, который обеспечивал запись всех переключений управляющих контроллеров.
Тоже показатель.Их надежность изначально была сильно ниже (час простоя в месяц),
Изделие поставляетсяс приемкой ОТК ("1")Cortex-M3 точно есть в публичных прайсах.
Вы упорно тащите ссылку на рассказ, который прошел через 3-4 итерации интерпретаций. Код никто не видел, так что говорить о чужих багах преждевременно. Рассказывайте о своих). Самое простое объяснение, почему изменился алгоритм - разработчику выдали такое задание.Про отладку самолета и закомментированный код в FADEC читали?
КТ-178 и ГОСТ 51904 с вами не согласны.все меры сертификации не спасают от дурацких ошибок. Они лишь уменьшают их вероятность.
Такишо, найдены способыКТ-178 и ГОСТ 51904 с вами не согласны.
То есть вот это, например, на ваш взгляд, "крайне маловероятно"?Ну крайне маловероятно это, на мой взгляд.
Нет, я исхожу из того, что любая подсистема, в том числе подсистема защиты, имеет свои собственные failure modes, а определение списка failure modes системы по failure modes её компонентов - это задача экспоненциальной сложности даже для абсолютных эрудитов.То есть вы исходите из того, это ЭМИ повредило датчик.
Я не вижу, чем мажоритарный контроль по значениям сложнее мажоритарного контроля по "посылкам контроля". И в любом случае это проще (а главное - надёжнее) решения, требующего обмена информацией между источниками.А получатель в этом случае получает уже практически готовое решение. Точнее 3 решения, которых надо лишь сложить. А в вашем случае - ещё и оценит на достоверность по, возможно, сложным алгоритмам.
Если консистентность требуется - то вы фактически описываете отказ потребителя. Да, потребители тоже могут отказывать по своим внутренним причинам, и не соответствующая спецификации реализация мажоритарного контроля входов (при наличии нормально поставленного тестирования) - далеко не главная причина. Для вас это новость?И главное - при оценке потребителями, одни потребители могут принять одно решение, другие - другое. В итоге - потеряем консистентность.
При чём здесь "високосный"?Мне бежать надо, я позже на все отвечу. Пока что только один вопрос - вы понимаете, что такое монотонное время? А чем отличается UTC от UT0/UT1/UT2?
Ну и вопрос повышенной сложности - вы видели идиота, который использует не монотонное время в таймерах? И что ему за это было?
Что касается слова "високосный", то это почти синоним бага. Мне лично вспоминается ОС DOS-11 у которой в високосном году не было 1 марта. Ну и холивары, а есть ли 29 февраля в 2000 году. Ну и официальные документы с датой "30 февраля".
Вот только какое это отношение имеет к таймерам?
По поводу толщины канала в десяток метров это Вы загнули однако. Обычно канал не один, их может быть довольно много, но диаметр там порядка нескольких сантиметров. Это видно и по следу, который может оставить молния, или по спекшемуся песку, превратившемуся почти в стекло. Ну и просто если прикинуть сечение, необходимое для пропускания тока такой величины - там тоже намного меньше метра выходит. У грозовых разрядов колоссальная разность потенциалов, а вот токи вполне умеренные, это десятки килоампер. Вроде рекордным считается полмегаампера. Это не так уж много, вполне земные значения, в технике всякой и побольше бывает.Извините что отвечаю с большим опозданием - возможно уже ответили до меня. Но "пусть будет"
Самая распространенная ошибка люде молнией особо не интересовавшихся считать, что молния подобна уколу иголкой или на худой конец удару копья. Здесь вошла - там вышла.
Однако молния - весьма широкий плазменный канал, который может достигать в толщину десятки метров. Если посмотреть на снимки грозы, и попытаться прикинуть пропорции, то это можно увидеть.
Связана такая особенность с тем, что даже сильно ионизированный воздух обладает ограниченной проводимостью, а токи очень велики.
Таким образом молния бьёт не только в корпус самолёта, а еще и во все элементы попавшие в толщину ее разряда (плазменного канала). А диаметр плазменного канала определяется только силой разряда. К тому же ионизация, и ток присутствуют не только в самом плазменном канале, а и вокруг него.
Однако если от наведенных воздействий, и даже от "боковых" токов защититься можно, то прямой удар молнии - задача та еще. К примеру попадание молнии в телевизионную антенну приводит к полному выгоранию антенного кабеля. Совсем полному. В труху. Вместе со всеми оплётками.
ВМГ ведь техническое устройство?Будьте любезны, приведите пример такого тока в технике, с нарастанием фронта за 5 мксек