Вопросы грозозащиты ВС (по катастрофе SSJ)

Реклама
К вопросу о молниях:
Разряд молнии ударил в три самолёта, что спровоцировало их обесточивание, отключение авионики и других систем
Особенно порадовало выделенное слово. Самолёты на стоянке под током - это сильно.
Так что это к вопросу не о молниях, а об отечественной (и не только) прессе.
 
Из личного опыта ремонта РЭА.Так называемых "послегрозовых".В основном все средства защиты(внешние и внутренние)рассчитаны ТОЛЬКО на подавление НАВЕДЕННЫХ разрядом молнии напряжений и электромагнитных импульсов.При прямом попадании молнии в устройство(посредством линий питания,связи или ВЧ фидеров)сила тока разряда такова ,что он просто разрывает всё на своём пути к желанному заземлению.И путь этот часто бывает ,мягко выражаясь, "странным".Стальной "громоотвод" как был так остался единственным средством защиты о прямого попадания молнии.Могу ошибаться,поправьте.
 
Вы реально считаете, что до вас никто не догадался о необходимости предусмотреть обработку таких случаев, как искажение двух бит?
cyclic redundancy check (в простом обращении CRC) в помощь.Современные способы передачи ДОСТОВЕРНЫХ данных могут сильно удивить неосведомленного.
 
Вывскажу мнение что безопасность при разрядах можно обеспечивать: запретом движения ВС в опасной близости, отказом от использования автоматики или ее полного механического отключения (коммутация резервных блоков после прохождения опасных мест), создание лазерами (лазер.рф) или газом систем (ионизация) провоцирующих разряд дальше от любого ВС (актуально например в зонах аэропортов) при прохождении грозового фронта.
Молния ищет короткий (меньший по сопротивлению изоляции) путь к заземлению например лазерный луч или шлейф от ракеты может ей этот путь создать. После разряда до накопления нового заряда путь для движения ВС через облачность безопасее и лучше в обход облачности
 
Последнее редактирование:
Элерон хвоста, раз уж вам так запал в душу ARINC429 то дочитайте до конца.
1) сейчас допустимая скорость 100 кбит помимо 12,5 кбит
2) 50 килобит это скорость из советского стандарта
 
Будьте любезны, пруф дайте. Голословно и я могу заявить, что SSJ торпедой сбили.
Я вам уже написал, как оно реально сделано в SSJ, две пары и троирование. Если хотите пруфов каких-то еще - почитайте о принципах конструирования отказоустойчивых систем что-нибудь. Такое ощущение, что вы буквально вот сейчас открыли для себя контроль четности, поняли, что его недостаточно при более, чем однобитовом сбое и решили, что все пропало.
Вы лучше приведите пример, когда вместо хорошего дешевого надежного решения, очевидное любому нормальному инженеру, применяется решение в тысячи раз дороже и в 100 раз менее надежное. Вот тогда я вам поверю.
Это я вообще не понял о чем
[automerge]1557623943[/automerge]
Но я сам гляжу в ту же сторону - использовать индикатор ЭМИ и считать межблочный обмен на время ЭМИ невалидным.
задумайтесь над тем, что есть изделия, которым не мешает работать даже ЭМИ термоядерного взрыва. И внутри этих изделий полно непрерывно работающей без сбоев электроники.
 
Последнее редактирование:
АСУTП,
Конечно, не поняли, вы же не АСУТПшник. А пост с кучей технических деталей модераторы удалили.

Просто в отличие от вас, я надежные системы делал. После внедрения нашей системы время сбоев стана по вине автоматики - 0 (НОЛЬ) минут в год. При этом время на отладку системы (135 тысяч строк) было 3 часа раз в месяц,потому писали имитаторы и отлаживались на них.

Троирование не помогает, когда есть единая причина отказа. Если залить в бак серную кислоту, какая разница, у вас два двигателя, 5 или 25? Все равно все откажут, им топливо нужно, а не кислота.

Вы можете сколько угодно утверждать, что отказов из-за молнии не бывает, что самолет атаковали гремлины или ещё что-то. Я исхожу из факта - синхронный отказ трех блоков по внешней причине.

И второй факт. Вы никогда не сможете пассивно защититься от любой молнии. Можно сделать защиту от 90%, от 99%, от 99.9%... Все равно найдется молния, которая будет сильнее защиты. Ну, например, зарегистрирована молния длиной 5 секунд вместо обычно 100мкс.

Я боюсь, что если опять опишу идею, модераторы опять удалят. Если интересно - пишите в личку. Но там очевидное решение. Если крайне редко и на короткое время сбоит обмен между блоками, то нужно сделать что?
Ноль минут простоя в год,это достойно уважения.И это без сарказма.А у нас что не день,то новая вводная.Зато мы всегда в тонусе.
 
Реклама
Но мы отвлеклись от темы эффективных систем грозозащиты.2014 год.Производственная линия на Урале под управлением старенького ,но жутко надежного PLC Hoeywell. Децентрализованная периферия на удалении ну метров так 70-100.Но к делу.Провели подрядчики ремонт здания линии-замена старой крыши на металлопрофиль. Далее ОЧЕНЬ сильная молния в июле,и всего то два раза треснуло.Зато как!Никогда ничего подобного не видел.Громадное каменное здание цеха шаталось как при землетрясении.Затихло.Операторы линию включать,а она молчит,а на визуализации все красное от недобрых сообщений.В общем PLC оказался стерт.Чем?RAM,настройки HW и остальное-всё улетело.Залил бэкап -всё работает.На разборе выясняется,что металлическую крышу забыли заземлить.Предполагаю,обкладка конденсатора получилась метров так 150х50 сверху и снизу железа тонн так 1000 заземленного.Мощный ЭМИ похоже имел место быть.Так что молния - она разная бывает.
 
А какой смысл оставлять неважное, когда трут важное (то есть ещё не прочитанное)? Все равно потрут рано или поздно. Считайте, что у меня на всех сообщениях флаг автоудаление. Все равно уйду через пару дней.

Местные веруют, что самолет защищен от молнии. А вера - не нуждается доказательства и всегда хочет сжечь на костре еретиков.

Более того, их верования основаны на том, что самолет на радиолампах действительно отлично защищен от молнии (разработка 50ых годов). Транзисторная техника (60ые) защищена уже хуже. Микросхемы малой степени интеграции (70ые) -ещё хуже. Микросхемы средней степени интеграции (80ые) - ещё хуже. БИС (большие интегральные схемы, вроде SoC) - ещё хуже. И каждое "хуже" - это минимум 1 порядок, скорее 2-3.

Грубо говоря, Ту-104 действительно не страшна молния. Вполне поверю, что не страшна ТУ-154 и Б-737 classic. Даже A-320 - это разработка 80ых годов, там все может быть и не так плохо. Но SSJ - разрабатывался, начиная с 2000 года. Там БИС. Сильно устарелые по сравнению с бытовой техникой, но все равно - БИС.

Если не жалко - сделайте опыт. Возьмите пьезолемент от зажигалки. И попытайтесь им сжечь прабабушкину радиолу (один контакт на Землю или сигнальную цепь). Не выйдет. И дедушкин транзисторы вы не спалите. Китайский кассетник - тоже может выдержать. Но современный планшет - сдохнет сразу. Хотя энергии в этом пьезолементе - копейки.

Так что хочется - веруйте дальше. Только не мешайте другим открыто смотреть в глаза фактам.
[automerge]1557651882[/automerge]
А заземление помогло или нет? При протекании тока по крыше у нас будет переменное магнитное поле в момент появления и исчезновения тока. Так что на все провода к периферии - все равно наведется. Контур будет такой - земля-контроллер-провода-датчик-земля. Витая пара, как сами понимаете, не поможет. Там какая связь с датчиками, аналог или цифра?
Много и того и другого. В ответственных местах в основном SSI.Но я сейчас о другом.Если бы мне поставили задачу стереть программу моего Honeywell с помощью электрошокера или сварочного или еще чего нибудь - я бы точно не справился.Спалить модуль расширения,питатель или сам проц -да легко.Интерфейсные модули -легко.Но именно стереть...
Программа находится в EEPROM.При загрузке PLC грузит её в RAM(для ускорения цикла) и во время работы работает с этой областью памяти.RAM всегда под питанием,литиевая батарея.Что бы просто стереть в этом PLC надо выполнить целый комплекс процедур.Да! Еще надо ключик на проце ручками повернуть.
Заземление конечно сделали.А насчет помогло-не помогло,не знаю.Грозы такой силы у нас,слава богу ,больше не было.
 
Последнее редактирование:
Конечно, не поняли, вы же не АСУТПшник.
Да, я не АСУТПшник, я - КРВАшник, готовленный для НПО "Электроприбор" или как оно там сейчас зовется, Хартрон, если вам это о чем-то говорит.
Просто в отличие от вас, я надежные системы делал.
Вы обо мне ничего не знаете.
После внедрения нашей системы время сбоев стана по вине автоматики - 0 (НОЛЬ) минут в год.
Очень хороший результат.
Троирование не помогает, когда есть единая причина отказа. Если залить в бак серную кислоту, какая разница, у вас два двигателя, 5 или 25? Все равно все откажут, им топливо нужно, а не кислота.
Ваш пример наглядно показывает, что вы не понимаете как архитектурно делается троирование. В приведенном вами примере троированием будет три независимых топливных системы с заправкой из трех независимых источников и контролем топливных компонент на входе в ДУ, а вовсе не троирование системы управления и контроля или количества двигателей. Так, конечно, не делается - но и пример ваш, скажем прямо, условный.

Вы можете сколько угодно утверждать, что отказов из-за молнии не бывает
Вы меня с кем-то перепутали. Я как раз постоянно намекаю, что молниезащита - очень нетривиальная вещь

И второй факт. Вы никогда не сможете пассивно защититься от любой молнии. Можно сделать защиту от 90%, от 99%, от 99.9%... Все равно найдется молния, которая будет сильнее защиты.
см. выше.

Если крайне редко и на короткое время сбоит обмен между блоками, то нужно сделать что?
Я вас удивлю. Это зависит от требований к системе, которую вы защищаете. Например, если предлагаемый вами игнор сомнительных блоков приведет к выходу за тайминг жесткого RT при обмене данными, а в таких системах обычно жесткий RT как минимум, это может привести к чему угодно в работе аппаратно-программного комплекса и изделия в целом. От развала циклограмм, что очевидно, до очень неочевидных вещей, связянных, например, со срывом работы фильтров Калмана в цепях управления и обратной связи. Срыв фильтров Калмана, на секундочку, это развал физической модели, на которую опирается СУ.
Да к чему угодно может привести, я даже навскидку не готов ограничить список проблем.
 
Последнее редактирование:
Если бы мне поставили задачу стереть программу моего Honeywell с помощью электрошокера или сварочного или еще чего нибудь - я бы точно не справился
EEPROM будет целиком стерт если окажется в электрическом поле достаточной напряженности. Больше ничего не нужно) Если, конечно, он не в специальном исполнении.
 
О! Мда... Это те, кто поставили нашему заказчику масовогабаритный макет вместо ИНС?
Не знаю, о чем вы.
Так что если это именно тот питерский Электроприбор
Нет, не Питерский и не Воронежский. Харьковский, который ОКБ-692 , а теперь Хартрон, о чем я написал в посте. И я там не работаю сейчас.
В таком случае, компьютеров самолета тоже не троированы по питанию
Вы уверены? У меня сложилось ощущение, что питание там дублированное плюс один холодный резерв.
У самолета всего два двигателя
По современным стандартам самолет может летать на одном. То-есть это - пассивное дублирование.
Честное слово, уже смешно. Игнор по детектору ЭМИ дает меньшую задержку, чем перезапрос. В связи с тактированием шины, на перезапросе мы теряем 3 кадра шины (запрос, такт из-за невозможности быстро ответить синхронно, ответ), а на детекторе - один кадр (сбойный).
Это грустно. Вы не знаете длительность ЭМИ, вы не знаете длительность кадра, вы не знаете, сколько продлится шок малосигнальных цепей после ЭМИ, вы не знаете протокол шины, глубину буферизации, длительность кадра RT и так далее - и делаете такие постулирующие заявления.
если в шине предусмотрен бит КС, то искажение 1 бита приведет ровно к тому - к игнорированию сомнительного блока. То есть оно штатное, и заложено в структуру шины.
Что при дублировании/троировании шины не приведет к изменению временных диаграмм
Неужели у вас в электроприборе фильтр Калмана пишут так, что любой пропуск данных его разваливает?
Фильтр Калмана в цепи контроля ТРД при нарушении временнОй консистентности может повести себя очень нехорошо.
А почему мы его иначе пишем, а?
Другая физическая модель?
Короче упаси нас господь полетать там, где стоят ваши приборы...
А вот тут полностью согласен )))
 
EEPROM будет целиком стерт если окажется в электрическом поле достаточной напряженности. Больше ничего не нужно) Если, конечно, он не в специальном исполнении.
Да вроде обычная 19" промышленная стойка(по простому корзина).В металле само собой.Я о поле тоже думал.Электрическом или электро-магнитном. Если бы был разряд или наводка - сгорело бы точно что то.
[automerge]1557688539[/automerge]
SSI - это кто? Я ж не работал ни на сименсах ни на Honeywell.

Там BIOS есть? Как вариант - случайный переход на подпрограмму стирания в BIOS, потом завис, перезапуск по watchdog. Подпрограмма стирания в модуле загрузки прошивки должна быть, EEPROM стирается страницами.

Гм, я бы попытался включить режим загрузки и подать случайные байты. Возможно там баг, и он трет старую прошивку до проверки CRC новой (чтобы новую писать сразу в ПЗУ по мере загрузки). Можно проверить по доке - остается ли старая прошивка при сбое загрузки?

А это ключевой момент - самолет тоже натурно на грозы не испытывается. Отдельные компоненты - обязаны испытываться на стенде, самолет в целом - вполне возможно тоже. Но стенд не заменяет натурных испытаний.
SSI (англ. Synchronous Serial Interface, синхронно-последовательный интерфейс) — однонаправленный немультиплексированный интерфейс передачи цифровых данных с последовательной побитовой передачей, предназначенный для промышленных применений при высоких уровнях электромагнитных помех и длинных линиях связи (до 1,5 км) со скоростью передачи от 100 кбит/с до 2 Мбит/с, например, между удалённым датчиком и контроллером и пригоден в применениях, требующих надёжности при измерениях в тяжёлых промышленных условиях.
[automerge]1557688638[/automerge]
Да вроде обычная 19" промышленная стойка(по простому корзина).В металле само собой.Я о поле тоже думал.Электрическом или электро-магнитном. Если бы был разряд или наводка - сгорело бы точно что то.
[automerge]1557688539[/automerge]

SSI (англ. Synchronous Serial Interface, синхронно-последовательный интерфейс) — однонаправленный немультиплексированный интерфейс передачи цифровых данных с последовательной побитовой передачей, предназначенный для промышленных применений при высоких уровнях электромагнитных помех и длинных линиях связи (до 1,5 км) со скоростью передачи от 100 кбит/с до 2 Мбит/с, например, между удалённым датчиком и контроллером и пригоден в применениях, требующих надёжности при измерениях в тяжёлых промышленных условиях.
BIOS конечно есть,куда ж без него.
 
Это безумно грустно, что вы судите по своим коллегам. Ещё грустнее - что вы не можете оценить эти параметры сами. Я приводил эти параметры в посте, который удалили модераторы.
Я сужу не по коллегам, а по тому, что читаю в вашем посте. Оценивать эти параметры вы предлагаете мне на основании чего? И если что-то из ваших постов удалено - то почему вы ожидаете от меня знания содержания этого поста?

И все шины находятся в одном самолете и подвергаются одному и тому же воздействию? Грубо говоря нету тут троирования.
с чего вдруг? независимые устройства, дублированное питание, дублированные или даже троированные каналы обмена информацией, все геометрически разнесены и электрически развязаны, в чем проблема?
Есть единая точка отказа.
не знаю
К счастью - отказа на короткое время.
неизвестно
Достаточно просто избежать обработки ложных данных.
1) откуда вы знаете, что дело в ложных данных? 2) фильтр Калмана вам зачем?
Устраивающая нас точность времени...
Мы же понимаем, что тут вы подменяете понятия? Давайте тогда посмотрим, сколько стоит и как реализуется такая точность в разнесенных блоках. Например, подобное реализовано в ускорителях, правда сильно не во всех. То-есть это таки да, возможно. Но какое это имеет отношение к СУ летательных аппаратов?
Зато у вас ИНС уходит на милю за время полета. А у нас максимальный уход - порядка метра
Ну, во-первых, не миля, а 250 метров при полете в неблагоприятных условиях ;) во-вторых - где когда полетит наша ИНС, ваша навигация вообще работать не будет;) и в-третьих - вы вот серьезно сравниваете точность ИНС с точностью системы c внешними поддерживающими данными? Да и вообще, у нас - доставка, а у вас - определение координат, как можно точность сравнивать?
 
Последнее редактирование:
Я о поле тоже думал.
Да там даже думать не надо, внешнее электростатическое поле, выдергивающее заряды - и все, EEPROM равномерно заполнен идентичными значениями. Электронам пофиг, из-за чего тоннелировать - из-за локальной напряженности поля от 21 В на ноге Erase или от такого-же или большего внешнего поля.
 
Реклама
Почему, кстати, в FBW самолётах не используется оптоволокно? Казалось бы, для грозозащиты самое то.
 
Назад