Il voter è necessariamente un device separato, come è implementato non è rilevante, un baco o un guasto hardware sono considerati alla stessa stregua.Alien ha scritto:No, un voter non può diventare un single point of failure perchè è una routine di software.
Ci possono essere altre necessità che hanno portato ad utilizzare un sistema 4-modular ma di certo non l'aumento della tolerance in caso di disagreement.Invece è meglio avere una ridondanza quadruplex invece che triplex se devi per forza di cose stare nel requisito di sicurezza. D'altronde, ripeto, il FCS (dati aria inclusi!) dell'EFA come del M346, ad esempio, è quadruplex.
Nel caso in esame c'è stata una triple-failure e quindi non vedo come l'aggiunta di un'altra sonda dello stesso tipo possa migliorare le cose, innanzitutto perché sarebbe stata soggetta alla stessa failure, in secondo luogo perché se non hai informazioni sulla qualità della misura, la tua misura aggiuntiva anche se buona perché dovrebbe essere considerata migliore delle altre che ipotizziamo fallaci?L'esempio riportato non è applicabile in quanto si tratta di seconda failure, e prima di arrivare ad una situazione di seconda failure abbiamo avuto la prima failure, con una situazione 3 contro 1.
Il fatto è che dai per scontato che il computer possa riconoscere una failure e ciò non è sempre detto. Il voter esiste proprio perché l'affidabilità di una misura viene valutata a maggioranza.In seguito, al minimo dopo poche decine di millisecondi, in qualunque momento, dopo la seconda avaria riconfigurare e mostrare al pilota il consolidato dei due rimasti.
Se io rimango con due sensori e uno dei due drifta verso una lettura erronea non posso sapere quale delle due è buona e quindi averne una o due non mi porta a incrementale la tolerance.
Ciao,