Fail-safe - Fail-safe

În inginerie , un instrument de siguranță este o caracteristică sau o practică de proiectare care, în cazul unui anumit tip de defecțiune , răspunde inerent într-un mod care va provoca daune minime sau deloc altor echipamente, mediului sau oamenilor. Spre deosebire de siguranța inerentă unui anumit pericol, un sistem care este „sigur” nu înseamnă că eșecul este imposibil sau improbabil, ci mai degrabă că proiectarea sistemului previne sau atenuează consecințele nesigure ale eșecului sistemului. Adică, dacă și când un sistem „sigur” eșuează, acesta rămâne cel puțin la fel de sigur ca înainte de eșec. Deoarece sunt posibile multe tipuri de eșec, modul de eșec și analiza efectelor este folosit pentru a examina situațiile de avarie și pentru a recomanda proiectarea și procedurile de siguranță.

Unele sisteme nu pot fi făcute niciodată sigure, deoarece este necesară o disponibilitate continuă. Redundanța , toleranța la erori sau planurile de urgență sunt utilizate pentru aceste situații (de exemplu, mai multe motoare controlate independent și alimentate cu combustibil).

Exemple

Mecanice sau fizice

Supapă de control glob cu actuator pneumatic cu membrană. O astfel de supapă poate fi proiectată să nu funcționeze în condiții de siguranță folosind presiunea arcului dacă aerul de acționare este pierdut.

Exemplele includ:

• Ușile antifoc cu rulouri care sunt activate de sistemele de alarmă ale clădirii sau de detectoarele locale de fum trebuie să se închidă automat atunci când sunt semnalizate indiferent de putere. În cazul întreruperii curentului electric, ușa de incendiu înfășurată nu trebuie să se închidă, ci trebuie să fie capabilă să se închidă automat atunci când este dat un semnal de la sistemele de alarmă ale clădirii sau de la detectoarele de fum. O legătură fuzibilă sensibilă la temperatură poate fi utilizată pentru a menține ușile de incendiu deschise împotriva gravitației sau a unui arc de închidere. În caz de incendiu, legătura se topește și eliberează ușile și acestea se închid.
• Unele căruțe pentru bagaje de la aeroport necesită ca persoana să țină mereu apăsat întrerupătorul de frână de mână al unui coș dat; dacă comutatorul frânei de mână este eliberat, frâna se va activa și, presupunând că toate celelalte porțiuni ale sistemului de frânare funcționează corect, căruciorul se va opri. Cerința de menținere a frânei de mână funcționează astfel în conformitate cu principiile „siguranței la erori” și contribuie la (dar nu asigură neapărat) securitatea la eroare a sistemului. Acesta este un exemplu de schimbare a unui om mort .
• Mașinile de tuns iarba și suflătoarele de zăpadă au o manetă închisă manual, care trebuie ținută apăsată în orice moment. Dacă este eliberat, oprește rotația lamei sau a rotorului. Acest lucru funcționează și ca un comutator al unui om mort .
• Frâne pneumatice pe trenurile de cale ferată și frâne pneumatice pe camioane . Frânele sunt ținute în poziția „oprit” de presiunea aerului creată în sistemul de frânare. În cazul în care o linie de frână se desparte sau un vagon devine decuplat, presiunea aerului se va pierde și frânele vor fi acționate, prin arcuri în cazul camioanelor, sau de către un rezervor de aer local din trenuri. Este imposibil să conduceți un camion cu o scurgere gravă în sistemul de frânare cu aer. (Camioanele pot folosi și peruci pentru a indica presiunea scăzută a aerului.)
• Porți motorizate - În caz de întrerupere a energiei electrice, poarta poate fi împinsă manual cu nici o manivelă sau cheie necesară. Cu toate acestea, întrucât acest lucru ar permite practic oricui să treacă prin poartă, se folosește un design securizat la eșec : Într-o întrerupere a energiei electrice, poarta poate fi deschisă doar de o manivelă care este de obicei păstrată într-o zonă sigură sau sub cheie. . Atunci când o astfel de poartă asigură accesul vehiculului la case, se folosește un design sigur, unde ușa se deschide pentru a permite accesul pompierilor.
• Supape de siguranță - Diverse dispozitive care funcționează cu fluide utilizează siguranțe sau supape de siguranță ca mecanisme de siguranță.

Semnalele semaforului feroviar. „Stop” sau „precauție” este un braț orizontal, „Clear to Proceed” este de 45 de grade în sus, astfel încât defectarea cablului de acționare eliberează brațul de semnal în siguranță sub gravitație.

• Un semnal de semafor de cale ferată este special conceput astfel încât, în cazul în care cablul care controlează semnalul să se rupă, brațul revine în poziția „pericol”, împiedicând orice tren care trece semnalul inoperant.
• Supapele de izolare și supapele de control, care sunt utilizate de exemplu în sistemele care conțin substanțe periculoase, pot fi proiectate pentru a se închide după pierderea de putere, de exemplu prin forța arcului. Acest lucru este cunoscut sub numele de închidere de eșec la pierderea puterii.
• Un lift are frâne care sunt ținute de plăcuțele de frână de tensiunea cablului liftului. Dacă cablul se rupe, tensiunea se pierde și frânele se blochează pe șinele din arbore, astfel încât cabina liftului să nu cadă.
• Climatizarea vehiculului - Comenzile de dezghețare necesită vid pentru funcționarea amortizorului de deviere pentru toate funcțiile, cu excepția dezghețării. Dacă vidul eșuează, dezghețarea este încă disponibilă.

Electrice sau electronice

Exemplele includ:

• Multe dispozitive sunt protejate de scurtcircuit prin siguranțe , întrerupătoare de circuit sau circuite de limitare a curentului . Întreruperea electrică în condiții de suprasarcină va preveni deteriorarea sau distrugerea cablurilor sau a dispozitivelor de circuit datorită supraîncălzirii.
• Avionica folosind sisteme redundante pentru a efectua același calcul folosind trei sisteme diferite . Rezultate diferite indică o defecțiune în sistem.
• Comenzile drive-by-wire și fly-by-wire , cum ar fi un senzor de poziție a acceleratorului, au de obicei două potențiometre care citesc în direcții opuse, astfel încât deplasarea comenzii va duce la o citire mai mare, iar cealaltă, în general, la fel de mică. Neadecvările dintre cele două citiri indică o defecțiune a sistemului, iar ECU poate deduce adesea care dintre cele două citiri este defectă.
• Controlerele semaforului folosesc o unitate de monitorizare a conflictelor pentru a detecta defecțiuni sau semnale conflictuale și comuta o intersecție pe un semnal de eroare intermitent, mai degrabă decât să afișeze semnale conflictuale potențial periculoase, de exemplu, să arate verde în toate direcțiile.
• Protecția automată a programelor și / sau a sistemelor de procesare atunci când se detectează o eroare de hardware sau software într-un sistem de computer . Un exemplu clasic este cronometrul câinelui de pază . Consultați Fail-safe (computer) .
• O operație de control sau funcție care previne funcționarea necorespunzătoare a sistemului sau degradarea catastrofală în cazul unei defecțiuni a circuitului sau a unei erori a operatorului; de exemplu, circuitul de cale de protecție la siguranță utilizat pentru a controla semnalele blocului feroviar . Faptul că un chihlimbar intermitent este mai permisiv decât un chihlimbar solid pe multe linii de cale ferată este un semn al unei căi de siguranță, deoarece releul, dacă nu funcționează, va reveni la un cadru mai restrictiv.
• Balastul de pelete de fier de pe Batiscaf este scăpat pentru a permite submarinului să urce. Balastul este ținut în poziție de electro-magneți . Dacă energia electrică eșuează, balastul este eliberat, iar submarinul urcă apoi în siguranță.
• Multe modele de reactoare nucleare au tije de comandă absorbante de neutroni suspendate de electro-magneți. Dacă puterea cade, acestea cad sub gravitație în miez și opresc reacția în lanț în câteva secunde, absorbind neutronii necesari pentru ca fisiunea să continue.
• În automatizarea industrială , circuitele de alarmă sunt de obicei „ închise în mod normal ”. Acest lucru asigură faptul că, în caz de rupere a firului, alarma va fi declanșată. Dacă circuitul ar fi deschis în mod normal, o defecțiune a firului ar rămâne nedetectată, blocând în același timp semnalele reale de alarmă.
• Senzorii analogici și actuatoarele modulante pot fi de obicei instalate și cablate astfel încât defecțiunea circuitului să conducă la o citire în afara limitelor - vezi bucla de curent . De exemplu, un potențiometru care indică poziția pedalei ar putea călători doar de la 20% la 80% din gama sa completă, astfel încât o rupere a cablului sau scurtul să conducă la o citire de 0% sau 100%.
• În sistemele de control, semnale importante pot fi transportate de o pereche complementară de fire (<signal> și <not_signal>). Sunt valabile doar stările în care cele două semnale sunt opuse (una este înaltă, cealaltă joasă). Dacă ambele sunt ridicate sau ambele sunt scăzute, sistemul de control știe că ceva nu este în regulă cu senzorul sau cablajul de conectare. Modurile simple de avarie (senzor mort, fire tăiate sau deconectate) sunt astfel detectate. Un exemplu ar fi un sistem de control care citește atât polii normal deschisi (NO), cât și cei normal închisi (NC) ai unui selector SPDT în funcție de comun și verificarea coerenței lor înainte de a reacționa la intrare.
• În sistemele de control HVAC , actuatoarele care controlează amortizoarele și supapele pot fi sigure, de exemplu, pentru a preveni înghețarea bobinelor sau supraîncălzirea încăperilor. Actuatoarele pneumatice mai vechi erau în mod inerent sigure pentru că dacă presiunea aerului împotriva diafragmei interne eșua, arcul încorporat ar împinge actuatorul în poziția sa inițială - desigur, poziția inițială trebuia să fie poziția „sigură”. Actuatoarele electrice și electronice mai noi au nevoie de componente suplimentare (arcuri sau condensatoare) pentru a acționa automat actuatorul în poziția de pornire la pierderea energiei electrice.
• Controlere logice programabile (PLC). Pentru a face un PLC sigur, sistemul nu necesită energizare pentru a opri unitățile asociate. De exemplu, de obicei, o oprire de urgență este un contact normal închis . În cazul unei întreruperi a curentului, acest lucru ar elimina puterea direct din bobină și, de asemenea, de intrarea PLC. Prin urmare, un sistem sigur.
• Dacă un regulator de tensiune cedează, acesta poate distruge echipamentul conectat. O bară (circuit) previne deteriorarea prin scurtcircuitarea sursei de alimentare de îndată ce detectează supratensiunea.

Siguranță procedurală

O aeronavă își aprinde arzătoarele pentru a menține puterea maximă în timpul aterizării arestate la bordul unui portavion . Dacă aterizarea arestată eșuează, aeronava poate decola din nou în siguranță.

La fel ca dispozitivele și sistemele fizice, pot fi create proceduri sigure, astfel încât, dacă o procedură nu este efectuată sau efectuată incorect, nu rezultă nicio acțiune periculoasă. De exemplu:

• Traiectoria navei spațiale - În timpul misiunilor timpurii ale programului Apollo pe Lună, nava spațială a fost pusă pe o traiectorie de întoarcere liberă  - dacă motoarele ar fi eșuat la inserarea orbitei lunare , nava ar fi revenit în siguranță pe Pământ.
• Pilotul unui avion care aterizează pe un portavion crește accelerația la putere maximă la touchdown. În cazul în care firele de blocare nu reușesc să captureze aeronava, aceasta poate decola din nou; acesta este un exemplu de practică sigură .
• În feroviar semnalele de semnalizare care nu sunt utilizate în mod activ pentru un tren trebuie menținute în poziția „pericol”. Poziția implicită a fiecărui semnal absolut controlat este, prin urmare, „pericol” și, prin urmare, este necesară o acțiune pozitivă - setarea semnalelor la „clar” - înainte ca un tren să treacă. Această practică asigură, de asemenea, că, în cazul unei defecțiuni în sistemul de semnalizare, un semnalist incapacitat sau intrarea neașteptată a unui tren, că unui tren nu i se va arăta niciodată un semnal „clar” eronat.
• Inginerii feroviari sunt instruiți că un semnal feroviar care prezintă un aspect confuz, contradictoriu sau necunoscut (de exemplu un semnal luminos color care a suferit o defecțiune electrică și nu arată deloc lumină) trebuie tratat ca prezentând „pericol”. În acest fel, șoferul contribuie la siguranța la defect a sistemului.

Altă terminologie

Dispozitivele sigure ( infailibile ) sunt, de asemenea, cunoscute sub numele de dispozitive poka-yoke . Poka-yoke , un termen japonez , a fost inventat de Shigeo Shingo , un expert în calitate. „Sigur să eșuezi” se referă la proiectele de inginerie civilă, cum ar fi proiectul Cameră pentru râu din Țările de Jos și Planul Thames Estuary 2100, care încorporează strategii flexibile de adaptare sau adaptare la schimbările climatice care prevăd și limitează daunele, în cazul unor evenimente severe, cum ar fi 500 -apare inundații.

Fail safe și fail secure

Fail-safe și fail-secure sunt concepte distincte. Fail-safe înseamnă că un dispozitiv nu va pune în pericol vieți sau bunuri atunci când nu funcționează. Fail-secure, numit și închis, înseamnă că accesul sau datele nu vor cădea pe mâini greșite în caz de eșec de securitate. Uneori abordările sugerează soluții opuse. De exemplu, dacă o clădire prinde foc, sistemele sigure ar putea debloca ușile pentru a asigura evacuarea rapidă și ar permite pompierilor să intre în interior, în timp ce securizarea în caz de eroare ar încuia ușile pentru a preveni accesul neautorizat la clădire.

Opusul închiderii cu eșec se numește deschidere cu eșec .

Eșec activ operațional

Funcționarea activă a eșecului poate fi instalată pe sisteme care au un grad ridicat de redundanță, astfel încât să poată fi tolerată o singură eșec a oricărei părți a sistemului (eșec funcțional activ) și o a doua eroare poate fi detectată - moment în care sistemul se va întoarce singur oprit (decuplați, eșuați pasiv). O modalitate de a realiza acest lucru este să ai trei sisteme identice instalate și o logică de control care să detecteze discrepanțele. Un exemplu în acest sens sunt multe sisteme de aeronave, printre care sistemele de navigație inerțială și tuburile pitot .

Vezi si

• Fail-fast
• Teoria controlului
• Comutatorul omului mort
• EIA-485
• Degradare elegantă
• Eșuând prost
• Eșec mortal
• Toleranță la erori
• IEC 61508
• Blocare
• Design sigur pentru viață
• Inginerie de siguranță

Referințe