Безопасный

Конструктивная особенность или практика

В инженерии отказоустойчивость — это конструктивная особенность или практика, которая в случае отказа конструктивной особенности по своей сути реагирует таким образом, что наносит минимальный вред или вообще не причиняет вреда другому оборудованию, окружающей среде или людям . В отличие от безопасности, присущей конкретной опасности, «отказоустойчивость» системы не означает, что отказ по своей природе несущественен, а скорее то, что конструкция системы предотвращает или смягчает небезопасные последствия отказа системы. Если и когда «отказоустойчивая» система выйдет из строя, она останется, по крайней мере, такой же безопасной, как и до сбоя. ^{[1] [2]} Поскольку возможны многие типы отказов, анализ видов и последствий отказов используется для изучения отказных ситуаций и выработки рекомендаций по проектированию и процедурам обеспечения безопасности. ^[3]

Некоторые системы невозможно сделать отказоустойчивыми, поскольку необходима постоянная доступность. В таких ситуациях используются резервирование , отказоустойчивость или планы действий в чрезвычайных ситуациях (например, несколько двигателей с независимым управлением и питанием от топлива). ^[4]

Примеры

Механический или физический

Проходной регулирующий клапан с пневматическим мембранным приводом. Такой клапан может быть спроектирован таким образом, чтобы он вышел из строя из-за давления пружины в случае потери рабочего воздуха.

Примеры включают в себя:

• Противопожарные двери с рольставнями, которые активируются системами сигнализации здания или местными детекторами дыма, должны закрываться автоматически при получении сигнала независимо от напряжения. В случае отключения электроэнергии спиральная противопожарная дверь не должна закрываться, но должна иметь возможность автоматического закрытия по сигналу от систем сигнализации здания или детекторов дыма. Для удержания противопожарных дверей в открытом состоянии против силы тяжести или замыкающей пружины можно использовать термочувствительную плавкую вставку . В случае пожара звено плавится и освобождает двери, и они закрываются.
• Некоторые багажные тележки в аэропортах требуют, чтобы человек постоянно удерживал нажатым переключатель ручного тормоза тележки; если переключатель ручного тормоза отпустить, тормоз активируется, и, если все остальные части тормозной системы работают правильно, тележка остановится. Таким образом, требование удержания ручного тормоза одновременно действует в соответствии с принципами «отказобезопасности» и способствует (но не обязательно гарантирует) отказоустойчивости системы. Это пример выключателя мертвеца .
• Газонокосилки и снегоочистители оснащены рычагом, закрывающимся вручную, который необходимо постоянно удерживать нажатым. Если его отпустить, он останавливает вращение лопасти или ротора. Это также действует как выключатель мертвого человека .
• Пневматические тормоза на железнодорожных поездах и пневматические тормоза на грузовых автомобилях . Тормоза удерживаются в положении «выключено» за счет давления воздуха , создаваемого в тормозной системе. В случае разрыва тормозной магистрали или отсоединения вагона давление воздуха будет потеряно и тормоза будут задействованы с помощью пружин в случае грузовиков или местного воздушного резервуара в поездах. Невозможно управлять грузовиком с серьезной утечкой в ​​пневматической тормозной системе. (В грузовиках также могут использоваться виляющие парики, указывающие на низкое давление воздуха.)
• Ворота с электроприводом. В случае отключения электроэнергии ворота можно открыть вручную без необходимости использования рукоятки или ключа. Однако, поскольку это позволяет практически любому пройти через ворота, используется надежная конструкция: при отключении электроэнергии ворота можно открыть только с помощью рукоятки, которая обычно хранится в безопасном месте или под замком. . Когда такие ворота обеспечивают доступ транспортных средств к домам, используется отказоустойчивая конструкция, при которой дверь открывается, обеспечивая доступ пожарным.
• Предохранительные клапаны. В различных устройствах, работающих с жидкостями, в качестве механизмов безопасности используются предохранители или предохранительные клапаны .

Железнодорожные семафорные сигналы. «Стоп» или «осторожно» — это горизонтальный рычаг, «Свободно двигаться» — 45 градусов вверх, поэтому при отказе исполнительного троса сигнальный рычаг освобождается под действием силы тяжести.

• Железнодорожный семафорный сигнал специально разработан таким образом, что в случае обрыва троса, управляющего сигналом, рычаг возвращается в «опасное» положение, предотвращая прохождение поездами неработающего сигнала.
• Запорные и регулирующие клапаны, которые используются, например, в системах, содержащих опасные вещества, могут быть спроектированы так, чтобы закрываться при потере мощности, например, под действием силы пружины. Это известно как аварийное закрытие при потере питания.
• Лифт имеет тормоза , которые удерживаются от тормозных колодок за счет натяжения троса лифта. При обрыве троса натяжение теряется и тормоза фиксируются на рельсах в шахте, чтобы кабина лифта не упала.
• Кондиционер автомобиля. Для управления оттаиванием требуется вакуум для работы переключающей заслонки для всех функций, кроме оттаивания. Если вакуум не удается, разморозка все равно доступна.

Электрический или электронный

Примеры включают в себя:

• Многие устройства защищены от короткого замыкания предохранителями , автоматическими выключателями или схемами ограничения тока . Отключение электроэнергии в условиях перегрузки предотвратит повреждение или разрушение проводки или схемных устройств из-за перегрева.
• Авионика ^[5] использует резервные системы для выполнения одних и тех же вычислений с использованием трех разных систем . Разные результаты указывают на неисправность в системе. ^[6]
• Органы управления с электроприводом и электродистанционным управлением, такие как датчик положения акселератора, обычно имеют два потенциометра, которые считывают показания в противоположных направлениях, так что перемещение органа управления приведет к тому, что одно показание станет выше, а другое, как правило, одинаково ниже. Несоответствие между двумя показаниями указывает на неисправность в системе, и ЭБУ часто может определить, какое из двух показаний неисправно. ^[7]
• Контроллеры светофоров используют блок мониторинга конфликтов для обнаружения неисправностей или конфликтующих сигналов и переключают перекресток на постоянно мигающий сигнал ошибки вместо отображения потенциально опасных конфликтующих сигналов, например, зеленого цвета во всех направлениях. ^[8]
• Автоматическая защита программ и/или систем обработки при обнаружении аппаратного или программного сбоя в компьютерной системе . Классический пример — сторожевой таймер . См. Отказоустойчивость (компьютер) .
• Операция или функция управления , которая предотвращает неправильное функционирование системы или катастрофическую деградацию в случае неисправности цепи или ошибки оператора; например, отказоустойчивая рельсовая цепь , используемая для управления сигналами железнодорожных блокировок . Тот факт, что мигающий желтый цвет на многих железнодорожных линиях является более допустимым, чем постоянный желтый, является признаком отказоустойчивости, поскольку реле, если оно не работает, вернется к более строгим настройкам.
• Балласт из железных гранул с батискафа сбрасывается, чтобы подводная лодка могла подняться. Балласт удерживается на месте электромагнитами . В случае отключения электроэнергии балласт сбрасывается, и подводная лодка поднимается в безопасное место.
• Многие конструкции ядерных реакторов имеют поглощающие нейтроны управляющие стержни, подвешенные на электромагнитах. Если питание отключается, они под действием силы тяжести падают в ядро ​​и останавливают цепную реакцию за считанные секунды, поглощая нейтроны, необходимые для продолжения деления.
• В промышленной автоматизации цепи сигнализации обычно являются « нормально замкнутыми ». Это гарантирует, что в случае обрыва провода сработает сигнализация. Если бы цепь была нормально разомкнута, неисправность провода осталась бы незамеченной, блокируя при этом действительные сигналы тревоги.
• Аналоговые датчики и модулирующие исполнительные механизмы обычно могут быть установлены и подключены таким образом, что сбой в цепи приведет к выходу за пределы показаний – см. токовый контур . Например, потенциометр, указывающий положение педали, может перемещаться только от 20% до 80% своего полного диапазона, поэтому обрыв кабеля или короткое замыкание приводит к показанию 0% или 100%.
• В системах управления критически важные сигналы могут передаваться по взаимодополняющей паре проводов (<сигнал> и <не_сигнал>). Действительны только состояния, в которых два сигнала противоположны (один высокий, другой низкий). Если оба высокого уровня или оба низкие, система управления знает, что что-то не так с датчиком или соединительной проводкой. Таким образом выявляются простые виды неисправности (неисправный датчик, обрезание или отсоединение проводов). Примером может служить система управления, считывающая как нормально открытый (НО), так и нормально закрытый (НЗ) полюса селекторного переключателя SPDT относительно общего и проверяющая их на согласованность, прежде чем реагировать на входной сигнал.
• В системах управления HVAC приводы , управляющие заслонками и клапанами, могут быть отказоустойчивыми, например, для предотвращения замерзания змеевиков или перегрева помещений. Старые пневматические приводы по своей сути были безотказными, потому что в случае отказа давления воздуха на внутреннюю диафрагму встроенная пружина подталкивала привод в исходное положение - конечно, исходное положение должно было быть «безопасным» положением. Более новым электрическим и электронным приводам требуются дополнительные компоненты (пружины или конденсаторы) для автоматического перевода привода в исходное положение при отключении электроэнергии. ^[9]
• Программируемые логические контроллеры (ПЛК). Чтобы обеспечить отказоустойчивость ПЛК, системе не требуется подача питания для остановки связанных приводов. Например, обычно аварийная остановка представляет собой нормально замкнутый контакт. В случае сбоя питания это приведет к отключению питания непосредственно от катушки, а также от входа ПЛК. Следовательно, отказоустойчивая система.
• Если регулятор напряжения выйдет из строя, он может вывести из строя подключенное оборудование. Лом (схема) предотвращает повреждение путем короткого замыкания источника питания, как только обнаруживает перенапряжение.

Процедурная безопасность

Самолет зажигает форсажные камеры для поддержания полной мощности во время остановленной посадки на борт авианосца . Если задержанная посадка не удалась, самолет может снова безопасно взлететь.

Как и в случае с физическими устройствами и системами, можно создать отказоустойчивые процедуры, чтобы в случае невыполнения или неправильного выполнения процедуры не возникало опасных действий. Например:

• Траектория космического корабля. Во время первых миссий программы «Аполлон» на Луну космический корабль был переведен на траекторию свободного возврата  — если бы двигатели отказали при выводе на лунную орбиту , корабль благополучно вернулся бы на Землю.
• Пилот самолета, приземляющегося на авианосец, при приземлении увеличивает газ до полной мощности. Если тормозные тросы не смогут захватить самолет, он сможет снова взлететь; это пример безотказной практики . ^[10]
• В железнодорожной сигнализации сигналы, которые не используются в поездах активно, должны находиться в положении «опасно». Таким образом, положением по умолчанию каждого контролируемого абсолютного сигнала является «опасность», и поэтому перед тем, как поезд сможет пройти, требуется положительное действие — установка сигналов на «очистку». Эта практика также гарантирует, что в случае неисправности системы сигнализации, выхода из строя сигнальщика или неожиданного входа поезда поезду никогда не будет показан ошибочный «четкий» сигнал.
• Инженеры-железнодорожники проинструктированы о том, что железнодорожный сигнал, показывающий сбивающий с толку, противоречивый или незнакомый аспект (например, цветной световой сигнал , в котором произошел сбой в электросети и который вообще не светится), следует рассматривать как сигнал «опасности». Таким образом, водитель способствует отказоустойчивости системы.

Другая терминология

Отказоустойчивые устройства также известны как устройства пока-йоке . Пока-йоке , японский термин, был придуман Сигэо Синго , экспертом по качеству. ^{[11] [12]} «Безопасность при отказе» относится к проектам гражданского строительства, таким как проект «Место для реки» в Нидерландах и План «Устье Темзы 2100» ^{[13] [14]} , которые включают гибкие стратегии адаптации или адаптацию к изменению климата , которые предусматривают и ограничить ущерб в случае серьезных событий, таких как 500-летние наводнения. ^[15]

Отказоустойчивый и отказоустойчивый

Отказоустойчивость и отказоустойчивость — это разные понятия. Безотказность означает, что устройство не будет подвергать опасности жизнь или имущество в случае отказа. Отказоустойчивость, также называемая отказоустойчивостью, означает, что доступ или данные не попадут в чужие руки в случае сбоя безопасности. Иногда подходы предлагают противоположные решения. Например, если здание загорится, отказоустойчивые системы разблокируют двери, чтобы обеспечить быструю эвакуацию и пропустить пожарных внутрь, а отказоустойчивые системы заблокируют двери, чтобы предотвратить несанкционированный доступ к зданию.

Противоположность отказоустойчивому закрытию называется отказоустойчивым .

Неисправность активна в рабочем состоянии

Активная работа при отказе может быть установлена ​​в системах с высокой степенью резервирования, чтобы можно было допустить одиночный отказ любой части системы (активная работа при отказе) и можно было обнаружить второй отказ - в этот момент система отключится сама. выключено (отсоединение, отказ пассивного). Один из способов добиться этого — установить три идентичные системы и логику управления, которая выявляет несоответствия. Примером тому являются многие авиационные системы, в том числе инерциальные навигационные системы и трубки Пито .

Отказоустойчивая точка

Во время холодной войны термин «точка безопасности» использовался для обозначения точки невозврата для ядерных бомбардировщиков американского стратегического воздушного командования , расположенной недалеко от советского воздушного пространства. В случае получения приказа о нападении бомбардировщики должны были задержаться на аварийном пункте и дождаться второго подтверждающего приказа; пока он не будет получен, они не будут заряжать свои бомбы и двигаться дальше. ^[16] Цель заключалась в том, чтобы предотвратить любой отдельный сбой в американской системе управления, вызывающий ядерную войну. Это значение этого термина вошло в популярный американский лексикон после публикации в 1962 году романа « Отказоустойчивость» .

(Другие системы управления ядерной войной использовали противоположную схему, «безотказную» , которая требует постоянного или регулярного доказательства того, что атака первого удара противника не произошла, чтобы предотвратить нанесение ядерного удара.)

Смотрите также

• Безотказная система
• Теория управления
• Выключатель мертвеца
• ОВОС-485
• Элегантная деградация
• Плохо провалился
• Безотказный
• Отказоустойчивость
• МЭК 61508
• Блокировка
• Безопасный дизайн
• Техника безопасности

Рекомендации

1. «Отказоустойчивость». AudioEnglish.net. По состоянию на 31 декабря 2009 г.
2. например , Дэвид Б. Резерфорд младший, Что вы имеете в виду под отказоустойчивостью? . Конференция по быстрому транзиту 1990 года
3. Force V: История британских средств воздушного сдерживания, Эндрю Брукс. Джейн Паблишинг Ко Лтд; Первое издание, 1 января 1982 г., ISBN  0710602383 , стр.144.
4. Борншлегль, Сюзанна (2012). Готовность к SIL 4: модульные компьютеры для критически важных мобильных приложений. МЕН Микро Электроник. Архивировано из оригинала (pdf) 9 июня 2019 г. Проверено 21 сентября 2015 г.
5. Рэгг, Дэвид В. (1973). Словарь авиации (первое изд.). Скопа. п. 127. ИСБН 9780850451634.
6. Борншлегль, Сюзанна (2012). Готовность к SIL 4: модульные компьютеры для критически важных мобильных приложений. МЕН Микро Электроник. Архивировано из оригинала (pdf) 9 июня 2019 г. Проверено 21 сентября 2015 г.
7. "P2138 DTC Датчик положения дроссельной заслонки/педали/Корреляция напряжения переключателя D/E" . www.obd-codes.com .
8. Руководство по унифицированным устройствам управления дорожным движением, Федеральное управление шоссейных дорог, 2003 г.
9. «Когда отказ невозможен: эволюция отказоустойчивых приводов». Управление КМК. 29 октября 2015 года . Проверено 12 апреля 2021 г.
10. Харрис, Том (29 августа 2002 г.). «Как работают авианосцы». HowStuffWorks, Inc. Проверено 20 октября 2007 г.
11. Синго, Сигео; Эндрю П. Диллон (1989). Исследование производственной системы Toyota с точки зрения промышленной инженерии. Портленд, Орегон: Productivity Press. п. 22. ISBN 0-915299-17-8 . ОСЛК  19740349 
12. Джон Р. Граут, Брайан Т. Даунс. «Краткое руководство по защите от ошибок, Poka-Yoke и ZQC», MistakeProofing.com. Архивировано 19 марта 2016 г. на Wayback Machine.
13. «План 2100 в устье Темзы» (PDF) . Агентство окружающей среды Великобритании. Ноябрь 2012 г. Архивировано из оригинала (PDF) 10 декабря 2012 г. Проверено 20 марта 2013 г.
14. "Устье Темзы 2100 (TE2100)" . Агентство по охране окружающей среды Великобритании . Проверено 20 марта 2013 г.
15. Дженнифер Уикс (20 марта 2013 г.). «Эксперт по адаптации Пол Киршен предлагает новую парадигму для инженеров-строителей: «безопасность при сбоях», а не «отказоустойчивость»». Ежедневный климат . Архивировано из оригинала 13 мая 2013 года . Проверено 20 марта 2013 г.
16. «Отказоустойчивый». Словарь.com . Проверено 7 ноября 2021 г.