Случаи в Метро

[Sinoptik]

... временная, обычно такое делается в конкретном форсмажоре, ...

коим, как ни грустно, является открытие каждой новой станции.

[straus]

Протокол по метрополитену о случае со стрелкой на Васильковской

Так-с. Ну сейчас раздадим всем сёстрам по серьгам.
1. Не слишком ли узкий допустимый диапазон 22-26В при номинале 24В? Это даже не +/-10%. И никоим образом не соответствует разбросу напряжений аккумуляторов при разном уровне зарядки. Тем более в МПЦ, где есть свои стабилизаторы (POL) на платах. Снижение или превышение напряжения может быть критично для электродвигателей (если без запаса по мощности) и реле. Но электронная часть должна при этом продолжать функционировать, подавая наверх информацию о некорректном питании, и блокируя все функции.
2. Про такое устройство, как супервизор питания, разработчики не слышали? Сначала блокируем выходные функции для исключения аварийных состояний (исполнительные элементы ведь уже не тянут, напряжение просело), и кричим наверх "у нас всё плохо!". До последнего издыхания батарей. После чего супервизор питания должен полностью заблокировать всю систему, остановив процессор.
3. Про возможность передачи недостоверной информации от объектового контроллера наверх при провале питания - за это надо подвесить разработчика системы. За какой именно орган - придумаем позже.
4. Про сбой программного обеспечения контроллеров (да ещё и во множественном числе) - это у меня в голове не укладывается. Сбой программы - за этим может последовать что угодно. Остановка стрелки в промежуточном положении, перевод под составом... Сбой выполнения программы должен быть исключён. При выходе питания за допустимые пределы процессор должен быть аварийно остановлен (HALT, RESET), а все выходы должны быть переведены в неактивные состояния.

Блин. Целые организации разрабатывают уровни безопасности SIL, методы достижения. Фирмы-производители выпускают специальные отказоустойчивые контроллеры, соответствующие требуемому уровню безопасности. А тут похоже взяли обычные контроллеры, которые подходят разве что для "умного дома", поставили их в МПЦ и получили кучу геморроя на свои части тела...

[sashman]

Опять ведро желчи с подтекстом "возьмите меня хорошего к себе на работу".

В СЦБейной ~ пара стоек PLC и с десяток релейных стативов.
Безопасность движения обеспечивается в первую очередь жесткой логикой на реле I класса надёжности.

[straus]

Опять ведро желчи с подтекстом "возьмите меня хорошего к себе на работу".

??
Замечания касаются проектирования. А проектировщики работают совсем не в метрополитене.
(Не понял пассаж насчёт работы.)

В СЦБейной ~ пара стоек PLC и с десяток релейных стативов.
Безопасность движения обеспечивается в первую очередь жесткой логикой на реле I класса надёжности.

Насколько я знаю - уже нет. Всё возложено на контроллеры.

[DFAW]

straus - изучи в следующий раз текущую систему перед тем как обличать.

Проблема питания - проблема СТП, аккумуляторная имеет имеет такое понятие как хвост, то есть всё равно выдаёт 24 вольта вне зависимости от заряда батарей, ну и к тому-же возвращаемся к тому что мы сейчас обсуждаем временную схему, которая сделана как затычка.

[Klovsky]

Klovsky - стойка временная,

Да знаю я, выше сам писал.
А что, защита от перепадов напряжения на стойке - это такая огромная бандура, что её нельзя установить и на временной?
Не, ну мне просто интересно, это всё не желчи излития ради.

можно немного потерпеть

Ага. Также можно ещё умножить на 60 убытки (моральные - ущерб репутации и материальные) от отмены одного поезда.
Хотя, погодите, у нас ведь метро убыточно. Т.е. отмена 60 поездов - это существенная экономия.
Тогда немедленно хочу в долю!

аварийные игры явно не помогают

Я, конечно, не эксперт в СЦБ, но игры по схожим сценариям разве проводились? А на "нет" и суда нет.
Вообще, чтобы додуматься специалистам перезагрузить контроллеры без предупреждения, это надо очень долго думать. Явно нервы сдали.

[DFAW]

Можно установить любую деталь, если она есть под руками есть, как человек увы не раз делавший временные решение прекрасно знаю на каком последнем издыхании они часто работают.

Если бы станции не строили в долг, такого бы не было. Так что все разговоры об убытках как бы бессмысленны.

[Egor]

Мне кажется, муниципальный общественный транспорт по определению не может быть прибыльным. У него другие критерии эффективности.

[Юрик]

...
Замечания касаются проектирования. А проектировщики работают совсем не в метрополитене.
(Не понял пассаж насчёт работы.)

Нормально там всё спроектировано!
И работают и в метрополитене и ЖД ВУЗы заканчивали, а все вопросы к СМП который занимался монтажом!

[sashman]

А что, защита от перепадов напряжения на стойке - это такая огромная бандура, что её нельзя установить и на временной?

Защита не бандура, а интегральная часть ИБП-подобной техники. Т.е. надо отпилить кусок платы от еще не купленного изделия на гарантии

Вообще, чтобы додуматься специалистам перезагрузить контроллеры без предупреждения, это надо очень долго думать. Явно нервы сдали.

Конечно, нарушили, конечно, даже без инструкций, чисто по человечески, надо предупреждать движенцев, но логика тоже понятна: "а что - всё равно не работает как надо".

[AMY]

Если бы станции не строили в долг, такого бы не было.

О ЗАЗОРЕ промолчу

[straus]

straus - изучи в следующий раз текущую систему перед тем как обличать.

Мне известна модель контроллера.
Мне также известно, что проверка зависимостей чисто программная в контроллере, хардварной проверки не предусмотрено.

[Стас(ШЧ-1 киев)]

ну там как бы он не один, а два. комплекта. каждый обрабатывает поступающую инфу с устройств и выдает исполнительные команды в своем комплекте. один комплект выдает +, другой -. если один решил включить реле ХХ, и второй тоже решил включить, то реле включится. потому что с одного прийдет + а с другого -.

[straus]

ну там как бы он не один, а два. комплекта. каждый обрабатывает поступающую инфу с устройств и выдает исполнительные команды в своем комплекте. один комплект выдает +, другой -. если один решил включить реле ХХ, и второй тоже решил включить, то реле включится. потому что с одного прийдет + а с другого -.

И конечно же ты понимаешь, что если в обоих работает микропрограмма с одной и той же ошибкой - она выполнится на обоих. То есть, это защита от случайного сбоя (и то вероятность критического сбоя в этом случае неплохо бы просчитать), но никак не от ошибки в микропрограмме.

А в случае программного сбоя из-за снижения питания - мы в принципе не можем предугадать, что и как будет выполняться.

(Кстати, интересный момент: фирма-производитель не авторизует применение ширпотребовских контроллеров для управления критичными процессами. Вся ответственность лежит на том, кто принял решение применить обычные PLC для этих целей.)

Вообще с необходимостью перезагрузки контроллеров там непонятка. Даже обычные PLC всегда оснащены супервизором. Не отработать он не может. Вопрос, куда его сигнал заведён. Я сейчас склоняюсь к мысли, что перезагрузка контроллеров из-за провала питания была не нужна (супервизор это бы сам сделал). Скорее всего, питание контроллеров оставалось в допустимых для них пределах, но перезагрузка потребовалась из-за какой-нибудь ошибки в микропрограмме. Которая проявилась в данных условиях (периферия выдала состояния, невозможные при нормальной работе, и неучтённые в программе). Хотя это только мои предположения.

[DFAW]

Если бы станции не строили в долг, такого бы не было.

О ЗАЗОРЕ промолчу

Дык, ты сам знаешь что его в первую очередь забирают