> дублированием (как электроники так и механики/двигателей) и частичной автономностью. При том это звучит круто и страшно, но вон коммиты от компании "эйрбас" с реализацией кольца с нулевым временем рекавери из двух эзернетов. А что до частичной автономности и failsafe - ее гидравлике и не хватает. Если в гидролиниях кончилась жидкость, большой самолет обычно падает. Как раз потому что плоскости мотаются сами по себе или застревают в дурном положении - автономности у гидравлики нет.
> А теперь посмотрите на обычный автомобиль - ECU сдох - зови эвакуатор.
На самолетах отказу движков тоже не радуются. Особенно если разносит турбину, от чего в пресловутых гидролиниях случаются дырки и даже дублирование может не спасти, после чего см. выше. К тому же для работы гидравлики требуется работающая электрика и если электричество заканчивается (например все двигатели отказали) - гидравлика тоже начинает барахлить. Хотя минимальное управление обычно пытаются обеспечить запасными вариантами.
> Конкретно в автомобиле - электроника управляет механикой.
FADEC тоже управляет механикой ввереной ему. Этакое второе пришествие Integrated Drive Electronics. И большой вопрос как оно менее надежно. Кинуть команды по проводу пожалуй понадежнее механических решений или гидравлики и как раз некая автономность юнита более реальна.
> ИМХО основная проблема - коррозия контактов.
Коррозию не так уж сложно победить, если задаться целью. А автомобили ломались и без всякой электроники. И самолеты падали без всякой электроники. И вообще, электронику туда пхают чтобы падали пореже, разбивались поменьше и все такое, а вовсе не наоборот. Всякие ABS ставят не для того чтобы стало дороже и было чему ломаться. А потому что большинство двуногих не являются прирожденными Шумахерами, поэтому они считает ABS за полезную фичу.
> Чем сложнее техника - тем ихбольше и больше вероятность отказа.
Чип может быть очень сложным, но вероятность его отказа - довольно низкая. Более того - чипы не так уж часто дохнут без помощи внешних факторов. Электроника конечно может сдохнуть, но для автоэлектроники стандарты довольно жесткие. Разумется сломаться может. Если уж падают самолеты и взрываются ракеты, автомобили и подавно ломаются.
> Вероятно скоро и их начнут дублировать.
Если это не ведет к дикому повышению цены - почему бы и нет?
> Это как? Желательно на примере тормозной системы.
Ну вот так. Например взять и заменить гидравлику электрическими исполнительными механизмами и немного мозгов. Всего лишь доразвитие современного автомобиля где один фиг с дюжину процов сидит на CAN и мониторит все и вся. Проложить 3-4 ветки по разным маршрутам почти ничего не стоит, уходить в failsafe при отпадении всех шин тоже не сложно. Ну то-есть если от кого-либо из блоков отпали все шины - ок, пинг не прошел. Все блоки тормоза врубают failsafe - экстренное торможение. Можно разрешить оверрайд, но в долбучем виде, по типу master caution у пилотов. Чтобы хомяк сразу знал что ему в сервисник, а не рассекал с такими проблемами на магистрали лишний раз.
> Даже введение электронного ручника вызывает
> у многих вопросы, не смотря на его удобство.
Еще больше вопросов вызывают автомобили которые на ручник вообще не поставили по причине склероза и они куда-то укатились. Зачастую с результатом достойным ютуба. Порой такие ляпы бывали даже на железной дороге, и там результаты бывают достойны целого расследования. Железнодорожники даже придумали веселые устройства "стрелка вникуда" - вагоны с "нерабочим ручником" слетают в кювет. Что плохо, но лучше чем на магистраль с поездами.
> пару колес. Пары подключены диагонально. В случае обрыв одной трубки откажут
> только два колеса.
И это правильно. Однако как показал пример самолетов - иногда могут отказать и три гидролинии сразу. Или все четыре двигателя. И наверное неплохо бы иметь план Б на такой случай. В самолетах он обычно есть - самая критичная электрика питается от аккумуляторов или мелкой аварийной турбинки которую крутит набегающий воздух, так что некая минимальная управляемость и приборы сохраняются. Наверное неплохо бы чтобы исполнительные механизмы стали бы еще чуть более автономными - на случай если управляющие шины перешибло (или они сгорели, или что там за факап случился).
> Плюс у ручника есть отдельный привод - обычно трос. Плюс торможение двигателем.
В этом плане интереснее электромобили, особенно если там пара относительно независимых движков и инверторов. Электродинамическое торможение явно перспективнее торможения бензиновым двигателем. На малой скорости можно поле обмоток крутануть назад - по крутизне торможения будет как разгон до сотни тапкой в пол, только наоборот.
> А теперь представьте машину, где все способы торможения завязаны за ECU и
> неработоспособны без него, а питание пропало (короткое замыкание, предохранители сгорели)
Интересное кино. Почему гидравлику секционировать можно, а электрику и электронику - нет? Да и зачем ECU заниматься торможением? Он двигателем занимается, максимум что его должно интересовать по части торможения - не пытаться газовать когда тормоз активен. Для этого достаточно readonly информирования что тормозить собираются, остальное по хорошему вообще проблема других unit'ов. И почему отвал питания - должен быть fail unsafe? А в электромобиле если питание отвалится он ехать не сможет, очень удачное свойство получается в этом контексте :).
Ну и если рассматривать фатальные проблемы - гидрожидкость может вытечь, да и бензин тоже, вместе со всякими маслами. Топливная система может сломаться, как и всякое там зажигание. У бензиновых движков к тому же сложная, дорогая и крайне геморная в починке и обслуживании трансмиссия. В электромобилях например вообще нет такой гадости как коробка передач - а зачем, там изменение режимов делается электрически, твиком алгоритма motor control. Электрическому движку вообще сильно проще скомандовать "дай 50%" по шине. Для понимания насколько - сравните популярность бензиновых самолетиков и вертолетиков с расцветом квадрокоптеров, там это очень хорошо видно.
