Даже если два - это уже криминал. Область применения Transportation - насколько помню это уровень SIL3, а значит не более 1 опасного отказа на 10 млн часов. Или 1 опасный отказ на 1141 год. У них был один за 15 лет? Ну значит теперь 1126 лет надо работать безаварийно.Klovsky писал(а):Машинист не предотвратил столкновения. Интересно, сколько за 15 лет у них таких случаев?
На самом деле считается несколько не так, но идея должна быть понятна, объясню ниже.
Сразу две поправки.Klovsky писал(а):А компьютеры и АЭС управляют, внезапно.
Первое: компьютеры рассчитывают конфигурацию поля и другие параметры, а также следят за превышением критических величин. При этом работа компьютеров продублирована жёсткой логикой. Управляют каждым блоком 2 человека - СИУР (теперь ВИУР) и СИУТ (теперь ВИУТ), а руководит ихними действиями НСБ. Эти люди находятся на БЩУ. Хотя сейчас уже есть таки компьютерное управление (режимами реактора), но теперь смотри далее.
Второе. Атомная энергетика - это SIL4, там всё оборудование сконструировано для безотказности. Производителю оборудования получить на оборудование сертификат на SIL4 - это не фунт изюму. Даже древняя ЭВМ Чернобыльской АЭС "Скала" была построена (и программы написаны) с соблюдением принципа безотказности. А она всего-то выдавала распечатку поля, и ничем не управляла.
Был у нас на форуме пользователь sirrosh, вот он по уровням SIL (Safety Integrity Level) может много и подробно рассказать. Каждому из уровней соответствует определённая вероятность опасного отказа. Для соответствия уровню приходится выбирать соответствующее оборудование, и специальным образом писать программы. Плюс ставить несколько компьютеров иногда на разных аппаратных платформах с разными ОС и контролирующими друг друга программами (перекрестный контроль).
Но если для АЭС используется самое-самое оборудование, то для Transportation это невозможно - слишком дорого. Вот тут-то нас и ожидает неприятность с более высоким уровнем опасных отказов. Вспомнить хотя бы Ebilock-950 и связанные с ней аварийные события. А ведь эта система тоже построена по принципу устранения опасных отказов.
Кстати в наших реалиях (Украина) машинист по указанию диспетчера организовывает эвакуацию пассажиров из поезда метро при необходимости. Я так понимаю, что в Сингапуре с этим сложнее. Пока сработает датчик дыма, пока в центре управления прочухаются, откуда дым, поймут, что пожар в поезде, пока вышлют эвакуационную команду, пока она доберётся (она явно не на каждой станции) - получим некоторое количество пассажиров-гриль.