Bezpieczny w razie awarii - Fail-safe
W inżynierii , zabezpieczenie przed awarią to cecha projektowa lub praktyka, która w przypadku określonego rodzaju awarii z natury reaguje w sposób, który spowoduje minimalną lub żadną szkodę dla innego sprzętu, środowiska lub ludzi. W przeciwieństwie do nieodłącznego bezpieczeństwa konkretnego zagrożenia, system „bezpieczny w razie awarii” nie oznacza, że awaria jest niemożliwa lub nieprawdopodobna, ale raczej, że konstrukcja systemu zapobiega lub łagodzi niebezpieczne konsekwencje awarii systemu. Oznacza to, że jeśli i kiedy „bezpieczny w razie awarii” system ulegnie awarii, pozostanie on przynajmniej tak samo bezpieczny, jak przed awarią. Ponieważ możliwych jest wiele rodzajów awarii, analiza rodzajów i skutków awarii jest wykorzystywana do badania sytuacji awarii i rekomendowania projektu i procedur bezpieczeństwa.
Niektórych systemów nigdy nie da się zabezpieczyć w razie awarii, ponieważ wymagana jest ciągła dostępność. W takich sytuacjach stosuje się nadmiarowość , odporność na awarie lub plany awaryjne (np. wiele niezależnie sterowanych i zasilanych paliwem silników).
Przykłady
Mechaniczne lub fizyczne
Przykłady obejmują:
- Drzwi przeciwpożarowe roletowe, które są uruchamiane przez systemy alarmowe budynku lub lokalne czujki dymu, muszą zamykać się automatycznie po sygnale, niezależnie od zasilania. W przypadku przerwy w dostawie prądu zwijane drzwi przeciwpożarowe nie muszą się zamykać, ale muszą mieć możliwość automatycznego zamknięcia po otrzymaniu sygnału z systemów alarmowych budynku lub czujek dymu. Wrażliwe na temperaturę ogniwo topliwe może być zastosowane do utrzymywania otwartych drzwi przeciwpożarowych wbrew grawitacji lub sprężynie zamykającej. W przypadku pożaru ogniwo topi się i zwalnia drzwi, które się zamykają.
- Niektóre wózki bagażowe na lotnisku wymagają, aby osoba przez cały czas przytrzymywała hamulec ręczny danego wózka; jeśli przełącznik hamulca ręcznego zostanie zwolniony, hamulec uruchomi się i zakładając, że wszystkie inne części układu hamulcowego działają prawidłowo, wózek się zatrzyma. Wymóg trzymania hamulca ręcznego działa zatem zarówno zgodnie z zasadami „bezpieczeństwa w razie awarii”, jak i przyczynia się (ale niekoniecznie zapewnia) do zabezpieczenia systemu w razie awarii. To jest przykład przełącznika martwego człowieka .
- Kosiarki do trawy i odśnieżarki są wyposażone w ręcznie zamykaną dźwignię, którą należy cały czas przytrzymywać. Zwolnienie powoduje zatrzymanie obrotu łopaty lub wirnika. Działa to również jako wyłącznik martwego człowieka .
- Hamulce pneumatyczne w pociągach kolejowych i hamulce pneumatyczne w samochodach ciężarowych . Hamulce są utrzymywane w pozycji „wyłączone” przez ciśnienie powietrza wytwarzane w układzie hamulcowym. W przypadku pęknięcia przewodu hamulcowego lub odłączenia wagonu, ciśnienie powietrza zostanie utracone, a hamulce zostaną uruchomione za pomocą sprężyn w przypadku samochodów ciężarowych lub lokalnego zbiornika powietrza w pociągach. Niemożliwe jest prowadzenie ciężarówki z poważnym nieszczelnością w pneumatycznym układzie hamulcowym. (Ciężarówki mogą również wykorzystywać machanie perukami, aby wskazać niskie ciśnienie powietrza.)
- Bramy z napędem – W przypadku przerwy w dostawie prądu bramę można otworzyć ręcznie bez użycia korby lub klucza. Ponieważ jednak pozwoliłoby to praktycznie każdemu przejść przez bramę, zastosowano konstrukcję zabezpieczającą przed awarią : podczas przerwy w dostawie prądu bramę można otworzyć tylko za pomocą ręcznej korby, która zwykle jest przechowywana w bezpiecznym miejscu lub pod kluczem . Gdy taka brama zapewnia wjazd do domów pojazdów, stosowana jest konstrukcja odporna na awarie, w której drzwi otwierają się, aby umożliwić dostęp straży pożarnej.
- Zawory bezpieczeństwa — różne urządzenia, które działają z płynami, wykorzystują bezpieczniki lub zawory bezpieczeństwa jako mechanizmy zabezpieczające przed awarią.
- Sygnał semafora kolejowego jest specjalnie zaprojektowany tak, aby, jeśli kabel sterowania przerwę sygnału, ramię powraca do pozycji „zagrożonej”, uniemożliwiające jakiekolwiek pociągów przejeżdżających sygnał działa.
- Zawory odcinające i zawory sterujące, które są stosowane na przykład w układach zawierających substancje niebezpieczne, mogą być zaprojektowane tak, aby zamykały się w przypadku utraty mocy, na przykład siłą sprężyny. Jest to znane jako zamknięcie awaryjne w przypadku utraty zasilania.
- Winda ma hamulce, które odbywają się klocków hamulcowych od naprężenia kabla windy. W przypadku zerwania linki następuje utrata napięcia i zatrzaśnięcie się hamulców na szynach w szybie, aby kabina windy nie spadła.
- Klimatyzacja pojazdu — sterowanie odszranianiem wymaga podciśnienia do działania przepustnicy rozdzielacza dla wszystkich funkcji z wyjątkiem odszraniania. Jeśli próżnia zawiedzie, odszranianie jest nadal dostępne.
Elektryczne lub elektroniczne
Przykłady obejmują:
- Wiele urządzeń jest chronionych przed zwarciem za pomocą bezpieczników , wyłączników automatycznych lub obwodów ograniczających prąd . Przerwa elektryczna w warunkach przeciążenia zapobiegnie uszkodzeniu lub zniszczeniu okablowania lub urządzeń obwodów z powodu przegrzania.
- Awionika wykorzystująca systemy nadmiarowe do wykonywania tych samych obliczeń przy użyciu trzech różnych systemów . Różne wyniki wskazują na usterkę w systemie.
- Sterowniki drive-by-wire i fly-by-wire , takie jak czujnik położenia akceleratora, zwykle mają dwa potencjometry, które odczytują w przeciwnych kierunkach, tak że przesunięcie elementu sterującego spowoduje, że jeden odczyt będzie wyższy, a drugi ogólnie równie niższy. Niezgodności między dwoma odczytami wskazują na błąd w systemie, a ECU może często wywnioskować, który z dwóch odczytów jest wadliwy.
- Sterowniki sygnalizacji świetlnej używają jednostki monitorowania konfliktów do wykrywania usterek lub sprzecznych sygnałów i przełączania skrzyżowania na cały migający sygnał błędu, zamiast wyświetlania potencjalnie niebezpiecznych sprzecznych sygnałów, np. zielonego we wszystkich kierunkach.
- Automatyczna ochrona programów i/lub systemów przetwarzania w przypadku wykrycia awarii sprzętu komputerowego lub oprogramowania w systemie komputerowym . Klasycznym przykładem jest zegar kontrolny . Zobacz Odporne na awarie (komputer) .
- Operacja kontrolna lub funkcja, która zapobiega niewłaściwemu funkcjonowaniu systemu lub katastrofalnej degradacji w przypadku nieprawidłowego działania obwodu lub błędu operatora; na przykład bezpieczny obwód torowy używany do sterowania sygnałami bloku kolejowego . Fakt, że migający bursztyn jest bardziej liberalny niż stały bursztyn na wielu liniach kolejowych jest oznaką bezpieczeństwa, ponieważ przekaźnik, jeśli nie będzie działał, powróci do bardziej restrykcyjnego ustawienia.
- Balast śrutu żelaznego na batyskapie jest zrzucany, aby umożliwić łodzi podwodnej wynurzenie. Statecznik jest utrzymywany na miejscu przez elektromagnesy . W przypadku awarii zasilania elektrycznego balast zostaje zwolniony, a łódź podwodna wznosi się w bezpieczne miejsce.
- W wielu konstrukcjach reaktorów jądrowych pręty sterujące pochłaniające neutrony są zawieszone na elektromagnesach. Jeśli zasilanie zawiedzie, spadają one pod wpływem grawitacji do rdzenia i w ciągu kilku sekund przerywają reakcję łańcuchową, pochłaniając neutrony potrzebne do kontynuacji rozszczepienia.
- W automatyce przemysłowej obwody alarmowe są zwykle „ normalnie zamknięte ”. Gwarantuje to, że w przypadku zerwania przewodu zostanie wyzwolony alarm. Gdyby obwód był normalnie otwarty, awaria przewodu nie zostałaby wykryta, blokując jednocześnie rzeczywiste sygnały alarmowe.
- Czujniki analogowe i siłowniki modulujące można zwykle zainstalować i okablować w taki sposób, że awaria obwodu skutkuje odczytem poza zakresem – patrz pętla prądowa . Na przykład potencjometr wskazujący pozycję pedału może przemieścić się tylko od 20% do 80% pełnego zakresu, tak że przerwanie lub zwarcie kabla skutkuje odczytem 0% lub 100%.
- W systemach sterowania krytyczne sygnały mogą być przenoszone przez komplementarną parę przewodów (<sygnał> i <nie_sygnał>). Tylko stany, w których dwa sygnały są przeciwne (jeden wysoki, drugi niski) są prawidłowe. Jeśli oba są wysokie lub oba są niskie, system sterowania wie, że coś jest nie tak z czujnikiem lub okablowaniem łączącym. W ten sposób wykrywane są proste tryby awarii (martwy czujnik, przecięte lub niepodłączone przewody). Przykładem może być system sterowania odczytujący bieguny normalnie otwarte (NO) i normalnie zamknięte (NC) przełącznika SPDT względem wspólnego i sprawdzający je pod kątem spójności przed reakcją na wejście.
- W systemach sterowania HVAC , siłowniki , że przepustnice sterujące i zawory mogą być niezawodnym, na przykład, aby zapobiec zamrożeniu cewek lub pomieszczeń przed przegrzaniem. Starsze siłowniki pneumatyczne były z natury odporne na awarie, ponieważ gdyby ciśnienie powietrza działające na wewnętrzną membranę zawiodło, wbudowana sprężyna popchnęła siłownik do jego pozycji wyjściowej – oczywiście pozycja spoczynkowa musiała być pozycją „bezpieczną”. Nowsze siłowniki elektryczne i elektroniczne wymagają dodatkowych elementów (sprężyny lub kondensatory), aby automatycznie ustawić siłownik w pozycji wyjściowej po utracie zasilania elektrycznego.
- Programowalne sterowniki logiczne (PLC). Aby sterownik PLC był bezpieczny w razie awarii, system nie wymaga zasilania w celu zatrzymania powiązanych napędów. Na przykład zwykle zatrzymanie awaryjne jest stykiem normalnie zamkniętym . W przypadku awarii zasilania spowoduje to usunięcie zasilania bezpośrednio z cewki, a także z wejścia PLC. Stąd system odporny na awarie.
- Jeśli regulator napięcia nie może zniszczyć podłączonych urządzeń. Łom (obwód) uniemożliwia uszkodzenie przez zwarcie zasilanie jak tylko wykryje przepięcie.
Bezpieczeństwo proceduralne
Podobnie jak urządzenia i systemy fizyczne, mogą być tworzone procedury odporne na awarie, tak aby w przypadku niewykonania procedury lub jej nieprawidłowego przeprowadzenia nie doszło do powstania niebezpiecznych działań. Na przykład:
- Trajektoria statku kosmicznego – Podczas wczesnych misji programu Apollo na Księżyc, statek kosmiczny został ustawiony na swobodnej trajektorii powrotnej – gdyby silniki zawiodły przy wstawianiu na orbitę księżycową , statek bezpiecznie wylądowałby z powrotem na Ziemię.
- Pilot samolotu lądującego na lotniskowcu zwiększa przepustnicę do pełnej mocy przy przyziemieniu. Jeżeli liny zatrzymujące nie uchwycą samolotu, może on ponownie wystartować; jest to przykład bezpiecznej praktyki .
- W sygnalizacji kolejowej sygnały, które nie są aktywnie używane w pociągu, muszą być utrzymywane w pozycji „niebezpieczeństwo”. Domyślną pozycją każdego kontrolowanego sygnału bezwzględnego jest zatem „niebezpieczeństwo”, a zatem przed przejechaniem pociągu wymagane jest działanie pozytywne – ustawienie sygnałów na „czysty”. Taka praktyka zapewnia również, że w przypadku awarii systemu sygnalizacji, ubezwłasnowolnienia nastawniczego lub nieoczekiwanego wjazdu pociągu, pociąg nigdy nie otrzyma błędnego sygnału „czysty”.
- Inżynierowie kolejowi są instruowani, że sygnał kolejowy pokazujący mylące, sprzeczne lub nieznane aspekty (na przykład kolorowy sygnał świetlny , który uległ awarii elektrycznej i w ogóle nie świeci) musi być traktowany jako pokazujący „niebezpieczeństwo”. W ten sposób sterownik przyczynia się do bezpieczeństwa systemu.
Inna terminologia
Urządzenia odporne na awarie ( niezawodne ) są również znane jako urządzenia poka-yoke . Poka-Yoke , A japoński termin został ukuty przez Shigeo Shingo , eksperta w dziedzinie jakości. „Bezpieczny na wypadek awarii” odnosi się do projektów inżynierii lądowej, takich jak projekt Room for the River w Holandii i plan 2100 Estuary Tamizy, które obejmują elastyczne strategie adaptacyjne lub adaptację do zmian klimatu, które zapewniają i ograniczają szkody w przypadku poważnych zdarzeń, takich jak 500 występują powodzie roczne.
Bezpieczne w razie awarii i bezpieczne w razie awarii
Fail-safe i fail-secure to odrębne pojęcia. Bezpieczny w razie awarii oznacza, że urządzenie nie zagraża życiu ani mienia w przypadku awarii. Fail-secure, zwany również fail-closed, oznacza, że dostęp lub dane nie dostaną się w niepowołane ręce w przypadku awarii zabezpieczeń. Czasami podejścia sugerują przeciwne rozwiązania. Na przykład, jeśli budynek się zapali, systemy awaryjne odblokowują drzwi, aby zapewnić szybką ucieczkę i wpuścić strażaków do środka, podczas gdy systemy awaryjne zamykają drzwi, aby zapobiec nieautoryzowanemu dostępowi do budynku.
Przeciwieństwem fail-closed jest fail-open .
Niepowodzenie aktywne operacyjne
Działanie w przypadku awarii aktywne może być instalowane w systemach o wysokim stopniu nadmiarowości, dzięki czemu można tolerować pojedynczą awarię dowolnej części systemu (działanie aktywne w przypadku awarii) i można wykryć drugą awarię – w którym momencie system sam się włączy wyłączony (odłącz, awaria pasywna). Jednym ze sposobów osiągnięcia tego jest zainstalowanie trzech identycznych systemów i logiki sterowania, która wykrywa rozbieżności. Przykładem jest wiele systemów lotniczych, w tym systemy nawigacji inercyjnej i rurki Pitota .
Zobacz też
- Szybka awaria
- Teoria kontroli
- Przełącznik umarlaka
- EIA-485
- Elegancka degradacja
- Porażka źle
- Śmiertelna porażka
- Tolerancja błędów
- IEC 61508
- Splatać
- Projekt bezpiecznego życia
- Inżynieria bezpieczeństwa