← Failsafe: что делает аппара…Регулирование и безопасные … →

Отказоустойчивость и избыточность

Надёжность — это запас: аппарат, переживающий отказ узла, безопаснее того, у кого всё «впритык».

Избыточность — наличие запасных элементов (моторов, датчиков), позволяющих сохранить управляемость при отказе одного из них.

Отказ мотора

У квадрокоптера четыре мотора — минимум для управления по трём осям плюс газ. Отказ одного делает аппарат неуправляемым: компенсировать потерянную тягу и момент нечем, он опрокидывается. У гексакоптера (6 моторов) и октокоптера (8) есть запас: при отказе одного оставшиеся перераспределяют тягу и сохраняют управляемость (возможно, с потерей рыскания, но контролируемо).

Прикинем, какой запас тяги остаётся при отказе одного мотора:

def hover_margin(n_motors, thrust_per_motor, weight):
    working = n_motors - 1            # один отказал
    total = working * thrust_per_motor
    return total, total / weight

weight = 30.0   # вес аппарата, Н
thrust = 9.0    # макс. тяга мотора, Н
for n in (4, 6, 8):
    total, ratio = hover_margin(n, thrust, weight)
    ok = "может висеть" if ratio >= 1 else "НЕ удержит вес"
    print(n, "моторов: после отказа тяга",
          round(total, 1), "Н, к весу", round(ratio, 2),
          "->", ok)

Вывод:

4 моторов: после отказа тяга 27.0 Н, к весу 0.9 -> НЕ удержит вес
6 моторов: после отказа тяга 45.0 Н, к весу 1.5 -> может висеть
8 моторов: после отказа тяга 63.0 Н, к весу 2.1 -> может висеть

Числа подтверждают интуицию: после отказа мотора квадрокоптер (тяга к весу 0.9) уже не держит вес и падает, а гекса- и октокоптер сохраняют запас и могут безопасно сесть. За это платят весом, ценой и расходом энергии — избыточность не бесплатна.

Резервирование датчиков

Та же логика — для датчиков. Ответственные аппараты несут по два-три IMU, два барометра, иногда два GPS-приёмника. Если один датчик «сходит с ума», автопилот сравнивает показания и отбрасывает выпадающий (голосование). Один датчик — единая точка отказа; три — система переживёт отказ любого.

Как работает под капотом

При отказе мотора автопилот должен его обнаружить (резкий рост ошибки по оси, насыщение соседних моторов) и переключить микшер на схему «без одного мотора». На гексакоптере это штатно. Современные автопилоты умеют такое автоматически, но настройка и тесты обязательны — нельзя проверять отказ впервые в реальном полёте над людьми.

Частые ошибки

  • Считать квадрокоптер отказоустойчивым: отказ мотора для него фатален.
  • Ставить один датчик каждого типа на ответственный аппарат — единая точка отказа.
  • Не тестировать поведение при отказе заранее (на привязи, в безопасном месте).

Итог

  • Квадрокоптер не переживает отказ мотора; гекса/окто — переживают за счёт запаса.
  • Резервирование датчиков (несколько IMU/GPS) с голосованием убирает единую точку отказа.
  • Избыточность стоит веса и денег; её эффект нужно проверять тестами заранее.
Проверьте себя
1. Почему гексакоптер переживает отказ одного мотора, а квадрокоптер — нет?
AУ гексакоптера мощнее моторы
BУ гексакоптера есть запасные моторы: оставшиеся пять сохраняют тягу и управляемость
CКвадрокоптер тяжелее
DУ гексакоптера нет винтов
2. Зачем на ответственный аппарат ставят несколько IMU и сравнивают их показания?
AДля красоты
BЧтобы при отказе одного датчика отбросить выпадающие показания (голосование) и убрать единую точку отказа
CЧтобы аппарат был тяжелее
DЧтобы быстрее заряжать батарею