Отказоустойчивый

Особенность или практика дизайна

В инженерии отказоустойчивость — это конструктивная особенность или практика, которая в случае отказа конструктивной особенности изначально реагирует таким образом, что наносит минимальный или нулевой вред другому оборудованию, окружающей среде или людям. В отличие от изначальной безопасности для определенной опасности, «отказоустойчивость» системы не означает, что отказ по своей природе несущественен, а скорее то, что конструкция системы предотвращает или смягчает небезопасные последствия отказа системы. Если и когда «отказоустойчивая» система выходит из строя, она остается по крайней мере такой же безопасной, какой была до отказа. ^{[1] [2]} Поскольку возможны многие типы отказов, анализ режимов и последствий отказов используется для изучения ситуаций отказов и рекомендации конструкции и процедур безопасности. ^[3]

Некоторые системы никогда не могут быть сделаны отказоустойчивыми, поскольку необходима постоянная доступность. Для таких ситуаций используются избыточность , отказоустойчивость или планы действий в чрезвычайных ситуациях (например, несколько независимо управляемых и питаемых топливом двигателей). ^[4]

Примеры

Механический или физический

Клапан управления шаровым клапаном с пневматическим мембранным приводом. Такой клапан может быть спроектирован так, чтобы при потере приводного воздуха срабатывать предохранительно с помощью давления пружины.

Вот несколько примеров:

• Противопожарные двери с рольставнями, которые активируются системами сигнализации здания или локальными дымовыми извещателями, должны автоматически закрываться при получении сигнала независимо от питания. В случае отключения питания спиральная противопожарная дверь не должна закрываться, но должна иметь возможность автоматического закрытия при получении сигнала от систем сигнализации здания или дымовых извещателей. Для удержания противопожарных дверей в открытом положении против силы тяжести или закрывающей пружины может использоваться термочувствительная плавкая вставка . В случае пожара вставка расплавляется и освобождает двери, и они закрываются.
• Некоторые багажные тележки в аэропортах требуют, чтобы человек все время удерживал переключатель ручного тормоза данной тележки; если переключатель ручного тормоза отпущен, тормоз активируется, и, предполагая, что все остальные части тормозной системы работают правильно, тележка остановится. Таким образом, требование удерживания ручного тормоза действует в соответствии с принципами «безопасности при отказе» и способствует (но не обязательно гарантирует) безопасности системы при отказе. Это пример переключателя мертвого человека .
• Газонокосилки и снегоочистители имеют рычаг, который нужно держать нажатым вручную, все время. Если его отпустить, он остановит вращение лезвия или ротора. Он также выполняет функцию аварийного выключателя .
• Воздушные тормоза на железнодорожных поездах и воздушные тормоза на грузовиках . Тормоза удерживаются в положении «выключено» давлением воздуха , создаваемым в тормозной системе. Если тормозная магистраль порвется или вагон отцепится, давление воздуха будет потеряно, и тормоза будут задействованы пружинами в случае грузовиков или местным воздушным резервуаром в поездах. Невозможно управлять грузовиком с серьезной утечкой в ​​системе воздушных тормозов. (Грузовики также могут использовать виляния для указания на низкое давление воздуха.)
• Моторизованные ворота — в случае отключения электроэнергии ворота можно открыть вручную, без использования рукоятки или ключа. Однако, поскольку это позволило бы практически любому пройти через ворота, используется отказоустойчивая конструкция: при отключении электроэнергии ворота можно открыть только с помощью рукоятки, которая обычно хранится в безопасном месте или под замком. Когда такие ворота обеспечивают доступ транспортных средств к домам, используется отказоустойчивая конструкция, при которой дверь открывается, чтобы обеспечить доступ пожарной части.
• Предохранительные клапаны. Различные устройства, работающие с жидкостями , используют предохранители или предохранительные клапаны в качестве механизмов безопасности.

Сигналы железнодорожных семафоров. «Стоп» или «Внимание» — горизонтальная стрела, «Продолжайте движение» — под углом 45 градусов вверх, поэтому при отказе приводного троса сигнальная стрела переходит в безопасное положение под действием силы тяжести.

• Железнодорожный семафорный сигнал специально спроектирован таким образом, что в случае обрыва троса, управляющего сигналом, рычаг возвращается в положение «опасность», не допуская проезда поездов через неработающий сигнал.
• Запорные клапаны и регулирующие клапаны, которые используются, например, в системах, содержащих опасные вещества, могут быть спроектированы так, чтобы закрываться при потере питания, например, силой пружины. Это известно как отказоустойчивое закрытие при потере питания.
• Лифт имеет тормоза , которые удерживаются от тормозных колодок натяжением троса лифта. Если трос рвется, натяжение теряется, и тормоза защелкиваются на рельсах в шахте, так что кабина лифта не падает.
• Кондиционирование воздуха в транспортном средстве – Управление размораживанием требует вакуума для работы заслонки-переключателя для всех функций, кроме размораживания. Если вакуум не работает, размораживание все еще доступно.

Электрические или электронные

Вот несколько примеров:

• Многие устройства защищены от короткого замыкания предохранителями , автоматическими выключателями или цепями ограничения тока . Электрическое прерывание в условиях перегрузки предотвратит повреждение или разрушение проводки или цепей устройств из-за перегрева .
• Авионика ^[5] использует избыточные системы для выполнения тех же вычислений с использованием трех различных систем . Разные результаты указывают на неисправность в системе. ^[6]
• Управление по проводам и по проводам, например датчик положения акселератора, обычно имеет два потенциометра, которые считывают в противоположных направлениях, так что перемещение элемента управления приведет к тому, что одно показание станет выше, а другое, как правило, одинаково ниже. Несоответствие между двумя показаниями указывает на неисправность в системе, и ЭБУ часто может определить, какое из двух показаний является неисправным. ^[7]
• Контролеры светофоров используют блок контроля конфликтов для обнаружения неисправностей или конфликтующих сигналов и переключают перекресток на мигающий сигнал об ошибке вместо отображения потенциально опасных конфликтующих сигналов, например, зеленого света во всех направлениях. ^[8]
• Автоматическая защита программ и/или систем обработки данных при обнаружении сбоя в работе аппаратного или программного обеспечения компьютера . Классическим примером является сторожевой таймер . См. Fail-safe (computer) .
• Операция или функция управления , которая предотвращает неправильное функционирование системы или катастрофическую деградацию в случае неисправности цепи или ошибки оператора; например, отказоустойчивая рельсовая цепь, используемая для управления сигналами блокировки железной дороги . Тот факт, что мигающий желтый цвет является более разрешительным, чем непрерывный желтый цвет на многих железнодорожных линиях, является признаком отказоустойчивости, поскольку реле, если оно не работает, вернется к более ограничительной настройке.
• Железный балласт на батискафе сбрасывается, чтобы позволить подводной лодке подняться. Балласт удерживается на месте электромагнитами . Если отключается электропитание, балласт сбрасывается, и подводная лодка поднимается в безопасное место.
• Многие конструкции ядерных реакторов имеют поглощающие нейтроны регулирующие стержни, подвешенные на электромагнитах. Если питание отключается, они под действием силы тяжести падают в активную зону и за секунды останавливают цепную реакцию, поглощая нейтроны, необходимые для продолжения деления.
• В промышленной автоматизации цепи сигнализации обычно « нормально замкнуты ». Это гарантирует, что в случае обрыва провода сработает сигнализация. Если бы цепь была нормально разомкнута, обрыв провода остался бы незамеченным, блокируя при этом фактические сигналы тревоги.
• Аналоговые датчики и модулирующие приводы обычно можно установить и подключить так, чтобы сбой цепи приводил к показаниям, выходящим за пределы диапазона – см. токовый контур . Например, потенциометр, указывающий положение педали, может перемещаться только от 20% до 80% от своего полного диапазона, так что обрыв кабеля или короткое замыкание приведут к показаниям 0% или 100%.
• В системах управления критически важные сигналы могут передаваться по дополнительной паре проводов (<signal> и <not_signal>). Действительны только состояния, в которых два сигнала противоположны (один высокий, другой низкий). Если оба высокие или оба низкие, система управления знает, что с датчиком или соединительной проводкой что-то не так. Таким образом, обнаруживаются простые режимы отказа (мертвый датчик, обрезанные или отсоединенные провода). Примером может служить система управления, считывающая как нормально разомкнутые (NO), так и нормально замкнутые (NC) полюса селекторного переключателя SPDT относительно общего и проверяющая их на согласованность перед реагированием на вход.
• В системах управления HVAC приводы , которые управляют заслонками и клапанами, могут быть отказоустойчивыми, например, для предотвращения замерзания катушек или перегрева помещений. Старые пневматические приводы изначально были отказоустойчивыми, поскольку при отказе давления воздуха на внутреннюю диафрагму встроенная пружина возвращала привод в исходное положение — конечно, исходное положение должно было быть «безопасным» положением. Более новым электрическим и электронным приводам требуются дополнительные компоненты (пружины или конденсаторы) для автоматического перевода привода в исходное положение при потере электропитания. ^[9]
• Программируемые логические контроллеры (ПЛК). Чтобы сделать ПЛК отказоустойчивым, система не требует подачи питания для остановки связанных с ней приводов. Например, обычно аварийный останов представляет собой нормально замкнутый контакт. В случае сбоя питания это отключит питание непосредственно от катушки, а также от входа ПЛК. Следовательно, отказоустойчивая система.
• Если регулятор напряжения выходит из строя, он может уничтожить подключенное оборудование. Лом (цепь) предотвращает повреждение, замыкая источник питания, как только он обнаруживает перенапряжение.

Процедурная безопасность

Самолет включает форсажные камеры для поддержания полной мощности во время посадки на борт авианосца . Если посадка на борт не удалась, самолет может безопасно взлететь снова.

Так же как и физические устройства и системы, можно создать отказоустойчивые процедуры, так что если процедура не выполняется или выполняется неправильно, то не возникает никаких опасных действий. Например:

• Траектория космического корабля. Во время ранних миссий программы «Аполлон» на Луну космический корабль был переведен на траекторию свободного возвращения  — если бы двигатели отказали при выходе на лунную орбиту , корабль бы благополучно вернулся на Землю.
• Пилот самолета, приземляющегося на авианосец, увеличивает газ до полной мощности при приземлении. Если тросы не могут захватить самолет, он может снова взлететь; это пример отказоустойчивой практики . ^[10]
• В железнодорожной сигнализации сигналы, которые не используются активно для поезда, должны быть установлены в положение «опасность». Положение по умолчанию каждого контролируемого абсолютного сигнала, таким образом, «опасность», и поэтому требуется положительное действие — установка сигналов в положение «отбой» — перед тем, как поезд сможет пройти. Эта практика также гарантирует, что в случае неисправности в системе сигнализации, недееспособности сигналиста или неожиданного входа поезда, поезду никогда не будет показан ошибочный сигнал «отбой».
• Инженеры-железнодорожники проинструктированы, что железнодорожный сигнал, показывающий запутанный, противоречивый или незнакомый аспект (например, цветной световой сигнал, который претерпел электрическую неисправность и вообще не показывает свет), должен рассматриваться как сигнал «опасности». Таким образом, машинист вносит свой вклад в отказоустойчивость системы.

Другая терминология

Устройства с защитой от сбоев (fail-safe ) также известны как устройства poka-yoke . Poka-yoke , японский термин, был придуман Шигео Синго , экспертом по качеству. ^{[11] [12]} «Безопасность от сбоев» относится к проектам гражданского строительства, таким как проект «Пространство для реки» в Нидерландах и план «Устье Темзы 2100» ^{[13] [14],} которые включают гибкие стратегии адаптации или адаптации к изменению климата , которые предусматривают и ограничивают ущерб в случае возникновения серьезных событий, таких как наводнения, происходящие раз в 500 лет. ^[15]

Отказоустойчивость и отказоустойчивость

Fail-safe и fail-secure — это разные концепции. Fail-safe означает, что устройство не будет подвергать опасности жизни или имущество, когда оно выйдет из строя. Fail-secure, также называемый fail-closed, означает, что доступ или данные не попадут в чужие руки в случае сбоя системы безопасности. Иногда подходы предполагают противоположные решения. Например, если здание загорится, fail-safe системы разблокируют двери, чтобы обеспечить быструю эвакуацию и пропустить пожарных внутрь, в то время как fail-secure заблокируют двери, чтобы предотвратить несанкционированный доступ в здание.

Противоположность отказоустойчивому режиму называется отказоустойчивым .

Неисправность активного функционирования

Fail active operation может быть установлен на системах с высокой степенью избыточности, так что один отказ любой части системы может быть допустим (fail active operation) и может быть обнаружен второй отказ – в этот момент система отключится (отсоединится, fail passive). Один из способов достижения этого – установить три идентичные системы и логику управления, которая обнаруживает несоответствия. Примером этого являются многие авиационные системы, среди которых инерциальные навигационные системы и трубки Пито .

Точка безопасности

Во время Холодной войны термин «точка безотказной работы» использовался для обозначения точки невозврата для ядерных бомбардировщиков Американского стратегического авиационного командования , находившихся за пределами советского воздушного пространства. В случае получения приказа об атаке бомбардировщики должны были задержаться в точке безотказной работы и ждать второго подтверждающего приказа; пока он не был получен, они не могли взводить бомбы или продолжать полет. ^[16] Целью было предотвратить любой единичный сбой в американской системе командования, который мог бы привести к ядерной войне. Это значение термина вошло в американский популярный лексикон с публикацией романа Fail-Safe в 1962 году .

(Другие системы управления ядерной войной использовали противоположную схему — отказ-смертоносность , которая требует постоянного или регулярного доказательства того, что вражеская атака первого удара не произошла, чтобы предотвратить нанесение ядерного удара.)

Смотрите также

• Система с быстрым отказом
• Теория управления
• Выключатель мертвеца
• ЕИА-485
• Элегантная деградация
• Плохо справляется
• Смертельно неудачный
• Отказоустойчивость
• МЭК 61508
• Блокировка
• Безопасная для жизни конструкция
• Техника безопасности

Ссылки

1. "Fail-safe". AudioEnglich.net. Доступ 2009.12.31
2. например , Дэвид Б. Резерфорд-младший, Что вы имеете в виду, когда говорите, что это отказоустойчиво? . Конференция по скоростному транспорту 1990 г.
3. Force V: История британских средств воздушного сдерживания, Эндрю Брукс. Jane's Publishing Co Ltd; Первое издание 1 января 1982 г., ISBN  0710602383 , стр. 144.
4. Bornschlegl, Susanne (2012). Ready for SIL 4: Modular Computers for Safety-Critical Mobile Applications. MEN Mikro Elektronik. Архивировано из оригинала (pdf) 2019-06-09 . Получено 2015-09-21 .
5. Wragg, David W. (1973). Словарь авиации (первое издание). Osprey. стр. 127. ISBN 9780850451634.
6. Bornschlegl, Susanne (2012). Ready for SIL 4: Modular Computers for Safety-Critical Mobile Applications. MEN Mikro Elektronik. Архивировано из оригинала (pdf) 2019-06-09 . Получено 2015-09-21 .
7. "P2138 DTC Датчик положения дроссельной заслонки/педали/Переключатель D/E. Корреляция напряжения". www.obd-codes.com .
8. Руководство по унифицированным устройствам управления дорожным движением, Федеральное управление автомобильных дорог, 2003 г.
9. «Когда отказ невозможен: эволюция отказоустойчивых приводов». KMC Controls. 29 октября 2015 г. Получено 12 апреля 2021 г.
10. Харрис, Том (29 августа 2002 г.). «Как работают авианосцы». HowStuffWorks, Inc. Получено 20 октября 2007 г.
11. Синго, Шигео; Эндрю П. Диллон (1989). Исследование производственной системы Toyota с точки зрения промышленной инженерии. Портленд, Орегон: Productivity Press. стр. 22. ISBN 0-915299-17-8 . OCLC  19740349 
12. Джон Р. Гроут, Брайан Т. Даунс. «Краткое руководство по защите от ошибок, Poka-Yoke и ZQC», MistakeProofing.com Архивировано 19.03.2016 на Wayback Machine
13. "План устья Темзы 2100" (PDF) . Агентство по охране окружающей среды Великобритании. Ноябрь 2012 г. Архивировано из оригинала (PDF) 2012-12-10 . Получено 20 марта 2013 г.
14. "Устье Темзы 2100 (TE2100)". Агентство по охране окружающей среды Великобритании . Получено 20 марта 2013 г.
15. Дженнифер Уикс (20 марта 2013 г.). «Эксперт по адаптации Пол Киршен предлагает новую парадигму для инженеров-строителей: «безопасность отказа», а не «безопасность отказа». The Daily Climate . Архивировано из оригинала 13 мая 2013 г. Получено 20 марта 2013 г.
16. "fail-safe". Dictionary.com . Получено 7 ноября 2021 г. .