О5 25 (спасибо SCBist за прикольный вариант). На предыдущих страницах уже объясняли:
1) Каскад есть надстройка над ЭЦ. Система программно проверяет логику отдаваемых команд, но даже если ей “сорвёт крышу” и система погонит кучу всяких команд – ЭЦ это не выполнит! Безопасность строится на реле!!!
2) Если бы Каскаду не доверяли, то не было бы по Украине более 100 постов под ДЦ. Поставьте себя на место Ш дороги: Вы бы подписали договор на установку удаленного управления станцией на главном ходу, со скоростном движении? По ветке тысячи людей за сутки проезжают, а это вам не отшиб цивилизации где 2 пары поездов в сутки. Это Вам не вагон с трубами завалить! Я думаю, зад подставлять никто не хочет, и эти люди думали что делают.
Добавлю немного с Вашего позволения:
А насчет доказательства функциональной безопасности: возвращаемся на n страниц назад! ЛЮБАЯ МИКРОСХЕМА ИМЕЕТ СИМЕТРИЧНЫЙ ОТКАЗ!!! Доказать ее безопасность невозможно! Можно только говорить о определенной доле вероятности безотказной работы в НОРМАЛЬНЫХ условиях эксплуатации. И еще как доказать функциональную безопасность программы?! Почему вы думаете что компилятор, которым компилировалась программа, не имеет ошибок? Или докажите безопасность Windows которую некоторые используют для МПЦ (РПЦ). Техническая база в Украине не готова для подобной сертификации!

Ок, вроде прояснилось немного.
ЗИП и холодный/горячий резерв системы - это все-таки разные вещи. Надежность программных и аппаратных средств - тоже. Уже хорошо. Разницу между холодным и горячим обсудим на следующей лекции.

Про Росаву, ЦРБ и ответсвенные команды - лучше не надо. Ты абсолютно "не в теме".

Про недостатки в организации обслуживания Каскада на дорогах, выходе из строя модулей (по питанию, перенапряжению и прочим молниям), отсутствию ЗИПов (большая часть которых была вычеркнута из спецификаций договоров по инициативе самих дорог) и т.д. - уже обсуждали, :smile_24: не буду.

И, на всякий случай, я - не представитель Антрона, а очень даже наоборот.

Очень тяжело делать правильные выводы обладая неверными предпосылками. К чему это я?
А к том, что никто не утверждает, что полупроводниковые приборы имеют несимметричный отказ. В теории надежности утверждается лишь, что возможно из произвольно НЕнадежных компонентов построить систему с заданными показателями надежности. Задачей теории надежности как раз и является доказательство соответствия расчетных значений заявленным.
Что касается разработки надежного ПО, то современная наука предлагает также несколько способов повышения надежности. Вполне допустимо использовать как диверсификацию ПО, так и формальные методы доказательства правильности работы ПО. Кстати, работы упомянутого мною Дейкстры как раз и рассматривают вопросы доказательства правильности ПО.

В независимости от готовности технической базы на Украине, мне бы хотелось понимать, на чем должна быть основана уверенность в правильной работе микроэлектронных технических средств обеспечивающих регулирование движения поездов в общем, и на чем основана уверенность разработчиков Антрон в частности?
Из предыдущей беседы выходит, что уверенность основана только лишь на существующем опыте эксплуатации.

В частности:
Каскад - это диспетчерская централизация, под ней (на станциях) релейные ЭЦ.

Я тоже изучал теорию надежности и знаю о теории построения надежной, до заданных значений, системы на элементах которые по отдельности, имеют надежность ниже заданной, для системы в целом. К сожалению это только теория. Так как (я уже это писал) в теории выход из строя каждого элемента не зависит от другого, но нельзя на станции каждую микросхему в каждом блоке отвязать друг от друга. Система стоит на одной станции (посту ЭЦ) в одном крейте (стативе) и если на линию питания попадает 3000В то выгорает все что подключено к этой линии, а не конкретная микросхема и с вероятностью ≈50% у Вас на выходе микросхемы как логический 0 так и логическая 1, а может и кое что еще. И надо упомянуть что в тех задании на систему о 3000В никто ничего не упоминал. Как можно построить безопасную систему на такой элементной базе. Можно только говорить, что с вероятностью m будет 1 опасный отказ за k лет! И не более. Необходимо определиться с понятием БЕЗОПАСНАЯ СИСТЕМА.

И еще добавлю: в теории пост ЭЦ имеет надежность на 2!!! порядка выше чем оказывается на практике! Так что теория теорией, а на практике тоже проверить не мешало бы.

Вы все правильно говорите относительно теории надежности. Действительно глупо утверждать, что вероятность опасного отказа за время t>0 равно 0 даже в теории.
Однако вполне возможно утверждать, что расчетная вероятность опасного отказа составляет вполне определенное значение. Но одно дело утверждать , а другое дело доказывать.
И я в своих постах говорю именно о таком доказательстве.

По поводу поста ЭЦ не могу с Вами дискутировать, поскольку в Вашей фразе не говорится о каких показателях надежности ведется речь.

Нет, есть посчитанные конкретные цифры. Но вы учтите, что цифры посчитаны для нормальных условий эксплуатации! А не для тех нештатных ситуаций, который могут оказаться на конкретной станции. Вот здесь и выплывает, на сколько инженеры заложили запас по прочности, который как раз и можно проанализировать при опытной эксплуатации и ни как иначе. Вы поймите, Ваш опытный стенд будет тысячи лет работать в офисе без сбоев, а сколько он выдержит на посту ЭЦ? Вот в чем вопрос.

Программист добавил 01.04.2011 в 14:07
Допустим о переводе стрелки под составом. В теории не должно быть - на практике бывает!

Я тут с Каскадовцами пообщался: Участок Джанкой-Вадим уже 8 лет в эксплуатации. За это время меняли в 2008г.: модемные платы на всех станциях, но не потому что вышли из строя, а потому, что перешли на другую микросхему, которая работала стабильнее. Еще на одной станции поменяли связевую колодку – на ней разрядник стоит на 300В, и он выгорел. Вопрос: система ненадежная или может по модемным линиям не должно гулять такое напряжение? Вот и решайте.

А как насчет поделиться цифрами с общественностью? Я думаю это многим будет интересно. Естественно конкретные цифры могут иметь интерес исключительно в случае понимания того каким образом они получены.

Никто не отрицает, и теория в том числе, возможность перевода стрелки под составом, речь идет только о достаточно низком уровне (но никак не нулевом) вероятности такого события за конечный промежуток времени.

Я могу ошибаться, но согласно нормативной документации, которая сейчас на Украине, опасный отказ допускается 1 в несколько (кажется 13, но не будем мелочится возьмем 1) млн. лет. Это вообще любой опасный отказ. Теоретически перевод стрелки под составом, как один из опасных отказов, встречается еще реже! из этого следует, что при количестве станций чуть менее 1700, перевод стрелки под составом должен быть не чаще чем: 1 в 1000000/1700=588,235 лет.
Теперь берем реальность. Только не официальные данные, а если по честному, ну хоть 1 раз в 5 лет да ведется? Вот и получаем надежность на 2 порядка хуже и это ооочень грубо.

Программист добавил 01.04.2011 в 16:17
К сожалению этими данными не располагаю, и не уверен что дадут.
SCbist уже писал, что Каскад – это ДЦ, которое навешивается на релейное ЭЦ. Вот ЭЦ и выполняет функции безопасности. Еще раз повторюсь в Антроне работают люди, которые отдают себе отчет в том, что они делают. И пока они сами себе не докажут безопасность своего “детища”, этой системой не будет оборудовано ни одна станция (иначе МПЦ уже давно бы было не только на Доманынцях и Полтаве-Южной). При проектировании естественно считались параметры надежности, и я не думаю, что они были хуже чем у того же Ebilock-950 (подчеркну, что это теоретическая надежность). Просто у людей другой подход: они не стремятся сделать первыми, они хотят сделать правильно и лучше. И вот такое общение как здесь – это еще один способ учесть пожелания, сделать что-то лучше, чем оно есть сейчас

Вот именно! Вы указываете на факт значительного снижения показателей надежности для релейной системы в реальных условиях эксплуатации. При этом считается, что релейная система соответствует требованиям безопасности установленным существующими нормативными документами.

При этом Вы утверждаете, что у ДЦ Каскад с надежностью все в порядке, но опять таки не хотите поделится конкретными цифрами и методикой их получения.

vasya.pupkin добавил 01.04.2011 в 16:41
Вот мы все говорим ДЦ не ЭЦ. Однако умалчиваем, что в ДЦ также есть ответственные команды, например, вспомогательная смена направления.

А кроме этого, в недавней беседе, совместно с представителями академических кругов, а также представителей эксплуатации задались вопросом, а самопроизвольный перевод стрелки не под составом является опасным отказом? И сошлись на мнении, что является. А каково Ваше мнение по этому вопросу?

Зачем выдумывать велосипед? Есть методика расчета надежности для электроники (не знаю как точно называется). Эта методика общепринята во всем мире. Вот по этой методике и считали (ДСТУ, который сейчас в Украине, тогда не было).

Я вам говорю что по стандарту по которым строятся поты ЭЦ на территории Украины перевод стрелки под составом не может происходить чаще чем 1 раз в 588 лет, а на практике получается совсем другое. Так что теория это все очень хорошо, но на практике все не так радужно!

Программист добавил 01.04.2011 в 16:52
Даже не сомневайтесь в этом! Как раз это и произошло по Росаве. Стрелка перевелась не под составом, а перед ним. Благо, что не полностью (знающие поймут).

<1.6*10^-10 в час (четвёртая степень жесткости по ДСТУ 4178).

Оооочень грубо получается, и сопутствующие факторы при этом присутствуют (механики с перемычками и пр.).

Окститесь, граждане. Никакого самопроизвольного перевода по Росаве небыло! Ни ЭЦ ни ДЦ команды на перевод не давали!

Даже не думал спорить. Никакого самопроизвольного перевода по Росаве не было! Но хоть ты ее курбелем веди, хоть веревкой, факт перевода остается, и ЭЦ никак на это отреагировать даже не могло. Ну не может ЭЦ, после прохождения входного, передать на локомотив, что маршрут начал разваливаться. Хотя я могу ошибаться, поправьте если что.

Программист добавил 01.04.2011 в 17:26
Я за это и говорю. Эти сопутствующие факторы тоже часть существующей системы(причем самый опасный). Так что надо учитывать все.
МПЦ практически исключает человеческий фактор. Было бы логично уменьшить требования для МПЦ на этот коэффициент (ЧФ).

Может, например сняв кодирование.

Это да, при условии, что локомотив идет резервом и с остановкой по станции. А если скоростной на скорости 100км/час, добавляем сюда время на детектирование потери контроля стрелки, плюс начало рассыпания маршрута, плюс реакция АЛСН на пропадание кодов (вроде ничего не забыл) и это только начало торможения – в итоге имеем порезанную стрелку и состав зарытый в насыпь.

Да, ту еще надо уточнить: опасным надо считать перевод (потерю контроля) стрелки в маршруте (что само по себе нонсенс). Иногда это проходит без происшествий, а иногда…