В чем разница между отказоустойчивостью и отказоустойчивостью?

Я слышал следующие термины, относящиеся к безопасному проектированию системы, но я не вижу разницы между отказоустойчивостью и отказоустойчивостью (мягкой деградацией).

Чтобы получить общее понимание, я просто напишу термины, которые я слышал. Пожалуйста, поправьте меня, если я что-то не так объясню:

  • Безопасный срок службы : система не обнаруживает никаких неисправностей в течение своего жизненного цикла.
  • Fail-Safe : система переходит в безопасный режим работы с ограниченной функциональностью после сбоя.
  • Fail-Soft : система переходит в деградированный режим после сбоя.
  • Fail-Operative : система все еще имеет полную функциональность после сбоя.

Из этих объяснений мне кажется, что Fail-Safe и Fail-Soft на самом деле являются одними и теми же понятиями. Я был бы рад, если бы кто-нибудь объяснил мне разницу между понятиями на примерах из авиации.

Отказоустойчивость вообще не требует, чтобы система работала.
Хорошим примером отказоустойчивой системы вне авиационного контекста являются железнодорожные тормоза. В легковом автомобиле для включения тормозов применяется усилие, поэтому, когда гидравлическая система выходит из строя, вы не можете использовать тормоза, чтобы остановить свой автомобиль. Однако в поездах тормоза в нейтральном состоянии включены, и для их удержания применяется сила. Таким образом, любой сбой в подаче энергии задействует их и останавливает поезд, толкая его в безопасное состояние - вот что делает их отказоустойчивыми, несмотря на то, что они не «работоспособны» и не имеют никаких функций в неисправном состоянии.
И безопасный для отказа?

Ответы (1)

Отказоустойчивость не обязательно означает, что система продолжит работу после сбоя. Если система перестает работать, но не создает опасной ситуации, она остается отказоустойчивой. Несущественная служба на борту самолета, такая как развлекательная система, может быть отказоустойчивой, если она просто перестает работать из-за перегорания предохранителя. Если при отказе предохранитель не перегорает и в результате система загорается после короткого замыкания, то она не является отказоустойчивой.

Fail-soft на самом деле означает, что после сбоя основные службы продолжают функционировать, хотя в авиационном контексте это в основном называется постепенной деградацией. Электронная система управления полетом, такая как на борту A320, является отказоустойчивой:

  • Если все бортовые компьютеры работают, система летает с активным нормальным законом, обеспечивая защиту от попадания в небезопасные области зоны полета.
  • При определенных обнаруженных сбоях система переключается на альтернативный закон, но с некоторыми защитными средствами.
  • При дальнейших сбоях система переключается на прямой закон: больше нет защиты оболочки полета, просто отклонение поверхности пропорционально отклонению ручки.

Таким образом, эта бортовая компьютерная система отказоустойчива и отказоустойчива. Электронная система управления полетом в целом отказоустойчива: при выходе из строя всех бортовых компьютеров система имеет гидромеханические связи от педалей к рулю направления и от триммера к стабилизатору.

Гидравлические системы требуют особого внимания в отношении отказоустойчивости, поскольку заклинивший сервоклапан может поддерживать постоянную скорость: привод наезжает на один из своих упоров и выходит из строя. Руль высоты, застрявший при полном отклонении вверх, небезопасен, поэтому система управления тангажем должна предусмотреть отказоустойчивость в случае возникновения этой неисправности. Например, позволив левому и правому лифтам нормально работать одновременно, но отключив их после обнаружения серьезного отказа. Затем рабочий руль высоты может быть переведен в полностью противоположное положение, что делает систему руля высоты отказоустойчивой, но не отказоустойчивой: теперь команду по тангажу необходимо выполнять с помощью триммера стабилизатора. Один руль высоты, застрявший в среднем положении, был бы безотказным, а управление другим рулем высоты обеспечивает плавное снижение.

Система управления полетом на борту F-16 работает безотказно: при отказе системы сохраняется полная работа системы, без ухудшения. Он имеет тройное резервирование, то есть на борту есть четыре системы, выполняющие одну и ту же функцию, а требуется только одна. Четыре системы работают независимо, и система мониторинга определяет, находятся ли все четыре выхода в пределах заданного диапазона. Если три есть, а один нет, эта система отключается, а остальные три продолжают работать. Это может произойти еще раз, но если работают только две системы, система голосования не будет знать, какая из двух вышла из строя.

Хорошее описание и примеры. В моих дискуссиях с FAA они очень редко использовали термин отказоустойчивость. Обычно они относятся к ключевому поведению отказоустойчивой системы, которое они называют «мягкой деградацией» до отказоустойчивого состояния.
+1 Спасибо за четкий и развернутый ответ. Наконец-то я могу разобраться в этих терминах.
@ Джерри, действительно, fail-soft не звучит хорошо в военной или авиационной среде. Включили в ответ.
Потеря всей гидравлики не является обычным видом отказа. Он также определенно не является отказоустойчивым. Потому что на А320 нет кабельного соединения. Под «механическим» соединением подразумевается гидравлическое. Если вы потеряете всю гидравлику, у вас будут серьезные проблемы.
@JanHudec внесли поправки.
Я сильно подозреваю, что поведение F-16 после отказа одной или нескольких систем управления полетом очень сильно зависит от причины отказа. Некоторые из этих причин отказа могут не относиться к типичной эксплуатации авиалайнера.
Немного ОТ Мне кажется странным, что у F-16 4 независимые системы. Что, если 2 согласны с одним значением и 2 согласны с другим значением? Конечно, это маловероятно, но не невозможно — если погода идет с правой стороны, я вижу возможность замерзания трубок Пито на этой стороне, в то время как те, что слева, остаются чистыми. /ОТ мысли
@FreeMan Система, вероятно, представляет собой сложный гибрид, работающий с двумя перекрывающимися TMR или одним TMR с запасными и / или различными раздельными системами отключения либо на уровне избирателя цепи, либо внутри контроллера. Я не знаком с этой системой, но я понимаю системы с четырехкратным резервированием N, и они, как правило, настолько просты, как R (4,0). цепь, в основном рассматривая ее исторические показатели, когда никакие другие меры недоступны. Есть много вариантов.
@Koyovis, действительно ли у F-16 4 похожие системы с голосованием? Это кажется довольно плохим выбором, потому что он не защищает от программной ошибки (системы, выполняющие один и тот же код и видящие одни и те же входные данные, скорее всего, сделают одну и ту же ошибку). Система Airbus на самом деле никогда ни за что не голосует — у нее разные (как аппаратно, так и программно) первичная и контрольная платы, и если они не согласны, они сообщают об ошибке, и следующая пара берет на себя управление.
@JanHudec Оригинальный аналог FBW был.
@FreeMan: У F-16 их четыре, поэтому он все еще может иметь большинство голосов, если один из них потерпит неудачу. На самом деле это тройная избыточность (одна система, еще три для резервирования), но в просторечии (и ошибочно) называется четырехкратной избыточностью.
В моем понимании изящная деградация означает, что ты еще способен доковылять до дома. Нет больше возможности выполнить миссию, но достаточно, чтобы не разбиться сразу. Например, единственная потеря поверхности управления ухудшит управляемость с уровня A до уровня B (в старой терминологии MIL 8587) с большими усилиями управления и меньшими полномочиями. Или возьмем F8F , у которого законцовки крыла отламывались бы при 7,5g вместо цельного крыла.
@JanHudec (первый комментарий): Лучшим примером будет 737, у которого есть возможность ручного реверса для элеронов и рулей высоты через старые механические тросы.
@ Шон, я не уверен, что это должен быть лучший пример - дело в том, что резервная копия на случай полного отказа гидравлики не требуется.
В чем разница между отказоустойчивостью и отказоустойчивостью?
СпросиСетьПолитика конфиденциальности1y, 0v