Bezpieczny w razie awarii - Fail-safe

W przypadku innych zastosowań zobacz Bezpieczne w razie awarii (ujednoznacznienie) .

W inżynierii , zabezpieczenie przed awarią to cecha projektowa lub praktyka, która w przypadku określonego rodzaju awarii z natury reaguje w sposób, który spowoduje minimalną lub żadną szkodę dla innego sprzętu, środowiska lub ludzi. W przeciwieństwie do nieodłącznego bezpieczeństwa konkretnego zagrożenia, system „bezpieczny w razie awarii” nie oznacza, że ​​awaria jest niemożliwa lub nieprawdopodobna, ale raczej, że konstrukcja systemu zapobiega lub łagodzi niebezpieczne konsekwencje awarii systemu. Oznacza to, że jeśli i kiedy „bezpieczny w razie awarii” system ulegnie awarii, pozostanie on przynajmniej tak samo bezpieczny, jak przed awarią. Ponieważ możliwych jest wiele rodzajów awarii, analiza rodzajów i skutków awarii jest wykorzystywana do badania sytuacji awarii i rekomendowania projektu i procedur bezpieczeństwa.

Niektórych systemów nigdy nie da się zabezpieczyć w razie awarii, ponieważ wymagana jest ciągła dostępność. W takich sytuacjach stosuje się nadmiarowość , odporność na awarie lub plany awaryjne (np. wiele niezależnie sterowanych i zasilanych paliwem silników).

Przykłady

Mechaniczne lub fizyczne

Zawór przelotowy z pneumatycznym siłownikiem membranowym. Taki zawór można zaprojektować tak, aby nie zapewniał bezpieczeństwa przy użyciu nacisku sprężyny w przypadku utraty powietrza uruchamiającego.

Przykłady obejmują:

  • Drzwi przeciwpożarowe roletowe, które są uruchamiane przez systemy alarmowe budynku lub lokalne czujki dymu, muszą zamykać się automatycznie po sygnale, niezależnie od zasilania. W przypadku przerwy w dostawie prądu zwijane drzwi przeciwpożarowe nie muszą się zamykać, ale muszą mieć możliwość automatycznego zamknięcia po otrzymaniu sygnału z systemów alarmowych budynku lub czujek dymu. Wrażliwe na temperaturę ogniwo topliwe może być zastosowane do utrzymywania otwartych drzwi przeciwpożarowych wbrew grawitacji lub sprężynie zamykającej. W przypadku pożaru ogniwo topi się i zwalnia drzwi, które się zamykają.
  • Niektóre wózki bagażowe na lotnisku wymagają, aby osoba przez cały czas przytrzymywała hamulec ręczny danego wózka; jeśli przełącznik hamulca ręcznego zostanie zwolniony, hamulec uruchomi się i zakładając, że wszystkie inne części układu hamulcowego działają prawidłowo, wózek się zatrzyma. Wymóg trzymania hamulca ręcznego działa zatem zarówno zgodnie z zasadami „bezpieczeństwa w razie awarii”, jak i przyczynia się (ale niekoniecznie zapewnia) do zabezpieczenia systemu w razie awarii. To jest przykład przełącznika martwego człowieka .
  • Kosiarki do trawy i odśnieżarki są wyposażone w ręcznie zamykaną dźwignię, którą należy cały czas przytrzymywać. Zwolnienie powoduje zatrzymanie obrotu łopaty lub wirnika. Działa to również jako wyłącznik martwego człowieka .
  • Hamulce pneumatyczne w pociągach kolejowych i hamulce pneumatyczne w samochodach ciężarowych . Hamulce są utrzymywane w pozycji „wyłączone” przez ciśnienie powietrza wytwarzane w układzie hamulcowym. W przypadku pęknięcia przewodu hamulcowego lub odłączenia wagonu, ciśnienie powietrza zostanie utracone, a hamulce zostaną uruchomione za pomocą sprężyn w przypadku samochodów ciężarowych lub lokalnego zbiornika powietrza w pociągach. Niemożliwe jest prowadzenie ciężarówki z poważnym nieszczelnością w pneumatycznym układzie hamulcowym. (Ciężarówki mogą również wykorzystywać machanie perukami, aby wskazać niskie ciśnienie powietrza.)
  • Bramy z napędem – W przypadku przerwy w dostawie prądu bramę można otworzyć ręcznie bez użycia korby lub klucza. Ponieważ jednak pozwoliłoby to praktycznie każdemu przejść przez bramę, zastosowano konstrukcję zabezpieczającą przed awarią : podczas przerwy w dostawie prądu bramę można otworzyć tylko za pomocą ręcznej korby, która zwykle jest przechowywana w bezpiecznym miejscu lub pod kluczem . Gdy taka brama zapewnia wjazd do domów pojazdów, stosowana jest konstrukcja odporna na awarie, w której drzwi otwierają się, aby umożliwić dostęp straży pożarnej.
  • Zawory bezpieczeństwa — różne urządzenia, które działają z płynami, wykorzystują bezpieczniki lub zawory bezpieczeństwa jako mechanizmy zabezpieczające przed awarią.
Sygnały semaforów kolejowych. „Stop” lub „uwaga” to ramię poziome, „Możemy kontynuować” znajduje się pod kątem 45 stopni w górę, więc uszkodzenie linki uruchamiającej zwalnia ramię sygnalizacyjne w bezpieczne miejsce pod wpływem siły ciężkości.
  • Sygnał semafora kolejowego jest specjalnie zaprojektowany tak, aby, jeśli kabel sterowania przerwę sygnału, ramię powraca do pozycji „zagrożonej”, uniemożliwiające jakiekolwiek pociągów przejeżdżających sygnał działa.
  • Zawory odcinające i zawory sterujące, które są stosowane na przykład w układach zawierających substancje niebezpieczne, mogą być zaprojektowane tak, aby zamykały się w przypadku utraty mocy, na przykład siłą sprężyny. Jest to znane jako zamknięcie awaryjne w przypadku utraty zasilania.
  • Winda ma hamulce, które odbywają się klocków hamulcowych od naprężenia kabla windy. W przypadku zerwania linki następuje utrata napięcia i zatrzaśnięcie się hamulców na szynach w szybie, aby kabina windy nie spadła.
  • Klimatyzacja pojazdu — sterowanie odszranianiem wymaga podciśnienia do działania przepustnicy rozdzielacza dla wszystkich funkcji z wyjątkiem odszraniania. Jeśli próżnia zawiedzie, odszranianie jest nadal dostępne.

Elektryczne lub elektroniczne

Przykłady obejmują:

  • Wiele urządzeń jest chronionych przed zwarciem za pomocą bezpieczników , wyłączników automatycznych lub obwodów ograniczających prąd . Przerwa elektryczna w warunkach przeciążenia zapobiegnie uszkodzeniu lub zniszczeniu okablowania lub urządzeń obwodów z powodu przegrzania.
  • Awionika wykorzystująca systemy nadmiarowe do wykonywania tych samych obliczeń przy użyciu trzech różnych systemów . Różne wyniki wskazują na usterkę w systemie.
  • Sterowniki drive-by-wire i fly-by-wire , takie jak czujnik położenia akceleratora, zwykle mają dwa potencjometry, które odczytują w przeciwnych kierunkach, tak że przesunięcie elementu sterującego spowoduje, że jeden odczyt będzie wyższy, a drugi ogólnie równie niższy. Niezgodności między dwoma odczytami wskazują na błąd w systemie, a ECU może często wywnioskować, który z dwóch odczytów jest wadliwy.
  • Sterowniki sygnalizacji świetlnej używają jednostki monitorowania konfliktów do wykrywania usterek lub sprzecznych sygnałów i przełączania skrzyżowania na cały migający sygnał błędu, zamiast wyświetlania potencjalnie niebezpiecznych sprzecznych sygnałów, np. zielonego we wszystkich kierunkach.
  • Automatyczna ochrona programów i/lub systemów przetwarzania w przypadku wykrycia awarii sprzętu komputerowego lub oprogramowania w systemie komputerowym . Klasycznym przykładem jest zegar kontrolny . Zobacz Odporne na awarie (komputer) .
  • Operacja kontrolna lub funkcja, która zapobiega niewłaściwemu funkcjonowaniu systemu lub katastrofalnej degradacji w przypadku nieprawidłowego działania obwodu lub błędu operatora; na przykład bezpieczny obwód torowy używany do sterowania sygnałami bloku kolejowego . Fakt, że migający bursztyn jest bardziej liberalny niż stały bursztyn na wielu liniach kolejowych jest oznaką bezpieczeństwa, ponieważ przekaźnik, jeśli nie będzie działał, powróci do bardziej restrykcyjnego ustawienia.
  • Balast śrutu żelaznego na batyskapie jest zrzucany, aby umożliwić łodzi podwodnej wynurzenie. Statecznik jest utrzymywany na miejscu przez elektromagnesy . W przypadku awarii zasilania elektrycznego balast zostaje zwolniony, a łódź podwodna wznosi się w bezpieczne miejsce.
  • W wielu konstrukcjach reaktorów jądrowych pręty sterujące pochłaniające neutrony są zawieszone na elektromagnesach. Jeśli zasilanie zawiedzie, spadają one pod wpływem grawitacji do rdzenia i w ciągu kilku sekund przerywają reakcję łańcuchową, pochłaniając neutrony potrzebne do kontynuacji rozszczepienia.
  • W automatyce przemysłowej obwody alarmowe są zwykle „ normalnie zamknięte ”. Gwarantuje to, że w przypadku zerwania przewodu zostanie wyzwolony alarm. Gdyby obwód był normalnie otwarty, awaria przewodu nie zostałaby wykryta, blokując jednocześnie rzeczywiste sygnały alarmowe.
  • Czujniki analogowe i siłowniki modulujące można zwykle zainstalować i okablować w taki sposób, że awaria obwodu skutkuje odczytem poza zakresem – patrz pętla prądowa . Na przykład potencjometr wskazujący pozycję pedału może przemieścić się tylko od 20% do 80% pełnego zakresu, tak że przerwanie lub zwarcie kabla skutkuje odczytem 0% lub 100%.
  • W systemach sterowania krytyczne sygnały mogą być przenoszone przez komplementarną parę przewodów (<sygnał> i <nie_sygnał>). Tylko stany, w których dwa sygnały są przeciwne (jeden wysoki, drugi niski) są prawidłowe. Jeśli oba są wysokie lub oba są niskie, system sterowania wie, że coś jest nie tak z czujnikiem lub okablowaniem łączącym. W ten sposób wykrywane są proste tryby awarii (martwy czujnik, przecięte lub niepodłączone przewody). Przykładem może być system sterowania odczytujący bieguny normalnie otwarte (NO) i normalnie zamknięte (NC) przełącznika SPDT względem wspólnego i sprawdzający je pod kątem spójności przed reakcją na wejście.
  • W systemach sterowania HVAC , siłowniki , że przepustnice sterujące i zawory mogą być niezawodnym, na przykład, aby zapobiec zamrożeniu cewek lub pomieszczeń przed przegrzaniem. Starsze siłowniki pneumatyczne były z natury odporne na awarie, ponieważ gdyby ciśnienie powietrza działające na wewnętrzną membranę zawiodło, wbudowana sprężyna popchnęła siłownik do jego pozycji wyjściowej – oczywiście pozycja spoczynkowa musiała być pozycją „bezpieczną”. Nowsze siłowniki elektryczne i elektroniczne wymagają dodatkowych elementów (sprężyny lub kondensatory), aby automatycznie ustawić siłownik w pozycji wyjściowej po utracie zasilania elektrycznego.
  • Programowalne sterowniki logiczne (PLC). Aby sterownik PLC był bezpieczny w razie awarii, system nie wymaga zasilania w celu zatrzymania powiązanych napędów. Na przykład zwykle zatrzymanie awaryjne jest stykiem normalnie zamkniętym . W przypadku awarii zasilania spowoduje to usunięcie zasilania bezpośrednio z cewki, a także z wejścia PLC. Stąd system odporny na awarie.
  • Jeśli regulator napięcia nie może zniszczyć podłączonych urządzeń. Łom (obwód) uniemożliwia uszkodzenie przez zwarcie zasilanie jak tylko wykryje przepięcie.

Bezpieczeństwo proceduralne

Samolot zapala dopalacze, aby utrzymać pełną moc podczas aresztowanego lądowania na pokładzie lotniskowca . Jeśli zatrzymane lądowanie nie powiedzie się, samolot może bezpiecznie wystartować.

Podobnie jak urządzenia i systemy fizyczne, mogą być tworzone procedury odporne na awarie, tak aby w przypadku niewykonania procedury lub jej nieprawidłowego przeprowadzenia nie doszło do powstania niebezpiecznych działań. Na przykład:

  • Trajektoria statku kosmicznego – Podczas wczesnych misji programu Apollo na Księżyc, statek kosmiczny został ustawiony na swobodnej trajektorii powrotnej  – gdyby silniki zawiodły przy wstawianiu na orbitę księżycową , statek bezpiecznie wylądowałby z powrotem na Ziemię.
  • Pilot samolotu lądującego na lotniskowcu zwiększa przepustnicę do pełnej mocy przy przyziemieniu. Jeżeli liny zatrzymujące nie uchwycą samolotu, może on ponownie wystartować; jest to przykład bezpiecznej praktyki .
  • W sygnalizacji kolejowej sygnały, które nie są aktywnie używane w pociągu, muszą być utrzymywane w pozycji „niebezpieczeństwo”. Domyślną pozycją każdego kontrolowanego sygnału bezwzględnego jest zatem „niebezpieczeństwo”, a zatem przed przejechaniem pociągu wymagane jest działanie pozytywne – ustawienie sygnałów na „czysty”. Taka praktyka zapewnia również, że w przypadku awarii systemu sygnalizacji, ubezwłasnowolnienia nastawniczego lub nieoczekiwanego wjazdu pociągu, pociąg nigdy nie otrzyma błędnego sygnału „czysty”.
  • Inżynierowie kolejowi są instruowani, że sygnał kolejowy pokazujący mylące, sprzeczne lub nieznane aspekty (na przykład kolorowy sygnał świetlny , który uległ awarii elektrycznej i w ogóle nie świeci) musi być traktowany jako pokazujący „niebezpieczeństwo”. W ten sposób sterownik przyczynia się do bezpieczeństwa systemu.

Inna terminologia

Urządzenia odporne na awarie ( niezawodne ) są również znane jako urządzenia poka-yoke . Poka-Yoke , A japoński termin został ukuty przez Shigeo Shingo , eksperta w dziedzinie jakości. „Bezpieczny na wypadek awarii” odnosi się do projektów inżynierii lądowej, takich jak projekt Room for the River w Holandii i plan 2100 Estuary Tamizy, które obejmują elastyczne strategie adaptacyjne lub adaptację do zmian klimatu, które zapewniają i ograniczają szkody w przypadku poważnych zdarzeń, takich jak 500 występują powodzie roczne.

Bezpieczne w razie awarii i bezpieczne w razie awarii

Fail-safe i fail-secure to odrębne pojęcia. Bezpieczny w razie awarii oznacza, że ​​urządzenie nie zagraża życiu ani mienia w przypadku awarii. Fail-secure, zwany również fail-closed, oznacza, że ​​dostęp lub dane nie dostaną się w niepowołane ręce w przypadku awarii zabezpieczeń. Czasami podejścia sugerują przeciwne rozwiązania. Na przykład, jeśli budynek się zapali, systemy awaryjne odblokowują drzwi, aby zapewnić szybką ucieczkę i wpuścić strażaków do środka, podczas gdy systemy awaryjne zamykają drzwi, aby zapobiec nieautoryzowanemu dostępowi do budynku.

Przeciwieństwem fail-closed jest fail-open .

Niepowodzenie aktywne operacyjne

Działanie w przypadku awarii aktywne może być instalowane w systemach o wysokim stopniu nadmiarowości, dzięki czemu można tolerować pojedynczą awarię dowolnej części systemu (działanie aktywne w przypadku awarii) i można wykryć drugą awarię – w którym momencie system sam się włączy wyłączony (odłącz, awaria pasywna). Jednym ze sposobów osiągnięcia tego jest zainstalowanie trzech identycznych systemów i logiki sterowania, która wykrywa rozbieżności. Przykładem jest wiele systemów lotniczych, w tym systemy nawigacji inercyjnej i rurki Pitota .

Zobacz też

Bibliografia