Безотказный - Fail-safe - Wikipedia

Для использования в других целях см. Отказоустойчивый (значения).

В инженерии безотказный это конструктивная особенность или практика, которая в случае определенного типа отказ, по своей сути реагирует таким образом, чтобы причинить минимальный или нулевой вред другому оборудованию, окружающей среде или людям. В отличие от неотъемлемая безопасность Отказоустойчивость системы в отношении конкретной опасности не означает, что отказ невозможен или маловероятен, а скорее то, что конструкция системы предотвращает или смягчает небезопасные последствия отказа системы. То есть, если и когда «отказоустойчивая» система выходит из строя, она остается по крайней мере такой же безопасной, как и до отказа.[1][2] Поскольку возможны многие типы отказов, анализ режимов и последствий отказов используется для изучения аварийных ситуаций и рекомендаций по конструкции и процедурам обеспечения безопасности.

Некоторые системы никогда нельзя сделать отказоустойчивыми, поскольку необходима постоянная доступность. Резервирование, Отказоустойчивость, или же планы действий в чрезвычайных ситуациях используются для этих ситуаций (например, несколько независимо управляемых двигателей и двигателей, работающих на топливе).[3]

Примеры

Механический или физический

Регулирующий клапан с пневматическим мембранным приводом. Такой клапан может быть спроектирован таким образом, чтобы обеспечить отказ от безопасного действия пружины при потере рабочего воздуха.

Примеры включают:

  • Противопожарные двери с рольставнями, которые активируются системами сигнализации здания или локальными детекторами дыма, должны автоматически закрываться при подаче сигнала независимо от мощности. В случае отключения электроэнергии спиральная противопожарная дверь не должна закрываться, но должна иметь возможность автоматического закрывания по сигналу от систем сигнализации здания или детекторов дыма. Чувствительный к температуре плавкая ссылка может использоваться для удержания противопожарных дверей открытыми против силы тяжести или закрывающей пружины. В случае пожара перемычка плавится и открывает двери, и они закрываются.
  • Какой-то аэропорт Багаж телеги требовать, чтобы человек все время удерживал выключатель ручного тормоза данной тележки; если выключатель ручного тормоза отпущен, тормоз сработает, и, если все остальные части тормозной системы работают правильно, тележка остановится. Таким образом, требование удержания ручного тормоза работает в соответствии с принципами «отказоустойчивости» и способствует (но не обязательно гарантирует) отказоустойчивость системы. Это пример выключатель мертвеца.
  • Газонокосилки и снегоочистители иметь закрываемый вручную рычаг, который должен быть постоянно нажат. Если его отпустить, он останавливает вращение лопасти или ротора. Это также функционирует как выключатель мертвеца.
  • Пневматические тормоза на железной дороге поезда и воздушные тормоза на грузовики. Тормоза удерживаются в выключенном состоянии по воздуху. давление создана в тормозной системе. В случае разрыва тормозной магистрали или разъединения вагона давление воздуха будет потеряно, и тормоза будут задействованы пружинами в случае грузовиков или местным резервуаром воздуха в поездах. Невозможно управлять грузовиком с серьезной утечкой в ​​пневматической тормозной системе. (Грузовики также могут использовать парик виляет для обозначения низкого давления воздуха.)
  • Моторизованные ворота - в случае отключения электроэнергии ворота можно открыть вручную без использования рукоятки или ключа. Однако, поскольку это позволило бы практически любому пройти через ворота, безотказный Используемая конструкция: при отключении электроэнергии ворота можно открыть только с помощью рукоятки, которая обычно находится в безопасном месте или под замком. Когда такие ворота обеспечивают доступ транспортных средств в дома, используется безопасная конструкция, в которой дверь открывается для доступа пожарной части.
  • Предохранительные клапаны - различные устройства, работающие с жидкости использовать предохранители или же предохранительные клапаны как безотказные механизмы.
Железнодорожные семафорные сигналы. «Стоп» или «Осторожно» - это горизонтальный рычаг, «Разрешение для движения» - под углом 45 градусов вверх, поэтому при выходе из строя тросика сигнальный рычаг возвращается в безопасное положение под действием силы тяжести.
  • А железнодорожный семафорный сигнал специально сконструирован таким образом, чтобы в случае обрыва кабеля, контролирующего сигнал, рычаг возвращался в «опасное» положение, предотвращая прохождение поездом неработающего сигнала.
  • Запорные клапаны, и регулирующие клапаны, которые используются, например, в системах, содержащих опасные вещества, могут быть спроектированы так, чтобы закрываться при потере мощности, например, силой пружины. Это называется аварийным закрытием при потере питания.
  • An лифт имеет тормоза, которые удерживаются на тормозных колодках за счет натяжения троса лифта. При обрыве троса теряется натяжение и тормоза защелкиваются на рельсах в шахте, чтобы кабина лифта не упала.
  • Кондиционер автомобиля - для управления размораживанием требуется разрежение для работы переключающей заслонки для всех функций, кроме размораживания. Если вакуум не работает, размораживание все еще возможно.

Электрический или электронный

Примеры включают:

  • Многие устройства защищены от короткое замыкание к предохранители, Автоматические выключатели, или же ограничение тока схемы. Электрическое прерывание в условиях перегрузки предотвратит повреждение или разрушение проводки или цепных устройств из-за перегрева.
  • Авионика с помощью резервные системы выполнить одинаковые вычисления с использованием трех разных систем. Различные результаты указывают на неисправность в системе.[4]
  • По проводам и по проводам Элементы управления, такие как датчик положения ускорителя, обычно имеют два потенциометра, которые показывают в противоположных направлениях, так что перемещение элемента управления приведет к тому, что одно показание станет выше, а другое, как правило, будет меньше. Несовпадение двух показаний указывает на неисправность системы, и ЭБУ часто можно определить, какое из двух показаний неверно.[5]
  • Светофор контроллеры используют Группа мониторинга конфликтов для обнаружения неисправностей или конфликтующих сигналов и переключения перекрестка на полностью мигающий сигнал ошибки вместо отображения потенциально опасных конфликтующих сигналов, например показывая зеленый во всех направлениях.[6]
  • Автоматическая защита программ и / или систем обработки при компьютерное железо или же программного обеспечения сбой обнаружен в компьютерная система. Классический пример - это сторожевой таймер. Видеть Отказоустойчивый (компьютер).
  • А операция управления или функция, которая предотвращает неправильное функционирование системы, или катастрофический деградация в случае схема неисправность или ошибка оператора; например, отказоустойчивый рельсовая цепь используется для контроля железнодорожные сигналы. Тот факт, что на многих железнодорожных линиях мигающий желтый цвет более терпимый, чем сплошной желтый, является признаком отказоустойчивости, поскольку реле, если оно не работает, вернется к более строгим настройкам.
  • Балласт железных окатышей на Батискаф сбрасывается, чтобы подводная лодка могла подняться. Балласт удерживается на месте электромагниты. При отключении электроэнергии балласт сбрасывается, и подводная лодка поднимается в безопасное место.
  • Много ядерный реактор конструкции имеют нейтронопоглощающие стержни управления, подвешенные на электромагнитах. При отключении питания они падают под действием силы тяжести в активную зону и в считанные секунды останавливают цепную реакцию, поглощая нейтроны, необходимые для продолжения деления.
  • В Индустриальная автоматизация, цепи сигнализации обычно "нормально закрытый ". Это гарантирует, что в случае обрыва провода сработает сигнализация. Если бы цепь была нормально разомкнута, неисправность провода не обнаружилась бы, а фактические сигналы тревоги были бы заблокированы.
  • Аналоговые датчики и регулирующие исполнительные механизмы обычно могут быть установлены и подключены таким образом, чтобы отказ цепи приводил к выходу за допустимые пределы - см. токовая петля. Например, потенциометр, указывающий положение педали, может перемещаться только от 20% до 80% своего полного диапазона, так что обрыв или короткое замыкание кабеля приводит к показанию 0% или 100%.
  • В системах управления критически важные сигналы могут передаваться по дополнительной паре проводов ( и ). Действительны только состояния, в которых два сигнала противоположны (один высокий, другой низкий). Если оба высокие или оба низкие, система управления знает, что что-то не так с датчиком или соединительной проводкой. Таким образом выявляются простые режимы отказа (мертвый датчик, обрыв или отсоединение проводов). Примером может служить система управления, считывающая как нормально открытый (НЕТ) и нормально закрытый (NC) полюса SPDT селекторный переключатель на общий и проверяет их на согласованность, прежде чем реагировать на ввод.
  • В Системы управления HVAC, приводы что регулирующие заслонки и клапаны могут быть отказоустойчивыми, например, для предотвращения замерзания змеевиков или перегрева помещений. Старшая пневматические приводы были изначально отказоустойчивыми, потому что если давление воздуха на внутреннюю диафрагму не выдерживалось, встроенная пружина толкала привод в исходное положение - конечно, исходное положение должно было быть «безопасным». Новые электрические и электронные приводы нуждаются в дополнительных компонентах (пружинах или конденсаторах) для автоматического перевода привода в исходное положение при потере электроэнергии.[7]
  • Программируемые логические контроллеры (ПЛК). Чтобы сделать ПЛК отказоустойчивым, система не требует подачи питания для остановки связанных приводов. Например, обычно аварийный останов - это нормально закрытый контакт. В случае сбоя питания это отключит питание непосредственно от катушки, а также от входа ПЛК. Следовательно, безотказная система.
  • Если регулятор напряжения выходит из строя, это может повредить подключенное оборудование. А лом (цепь) предотвращает повреждение из-за короткого замыкания источника питания, как только он обнаруживает перенапряжение.

Процедурная безопасность

Самолет зажигает форсажные камеры для поддержания полной мощности во время арестованная посадка на борту авианосец. Если задержанная посадка не удалась, самолет снова может безопасно взлететь.

Так же, как и для физических устройств и систем, могут быть созданы отказоустойчивые процедуры, чтобы в случае невыполнения процедуры или ее неправильного выполнения не возникало опасных действий. Например:

  • Траектория космического корабля - в начале Программа Аполлон полеты на Луну космический корабль был поставлен на траектория свободного возврата - если двигатели вышли из строя на лунная орбита вставив, корабль благополучно вернулся бы к Земле.
  • Пилот самолета, приземляющегося на авианосец увеличивает газ до полной мощности при приземлении. Если фиксирующие провода не удалось захватить самолет, он снова может взлететь; это пример безотказная практика.[8]
  • В железнодорожная сигнализация сигналы, которые не используются активно для поезда, необходимо держать в «опасном» положении. Таким образом, положение по умолчанию каждого контролируемого абсолютного сигнала является «опасным», и, следовательно, перед тем, как поезд может проехать, требуется положительное действие - установка сигналов на «очистить». Эта практика также гарантирует, что в случае сбоя в системе сигнализации, выхода из строя сигнальщика или неожиданного входа в поезд поезд никогда не получит ошибочный сигнал "отбоя".
  • Инженеры-железнодорожники проинструктированы, что железнодорожный сигнал демонстрирует сбивающий с толку, противоречивый или незнакомый аспект (например, цветной световой сигнал в котором произошел сбой в электросети и который вообще не горит) должен рассматриваться как показывающий "опасность". Таким образом, водитель вносит свой вклад в отказоустойчивость системы.

Другая терминология

Безотказный (надежный ) устройства также известны как пока-иго устройств. Пока-иго, а Японский термин, был придуман Шигео Синго, эксперт по качеству.[9][10] «Безопасный для отказа» относится к проектам гражданского строительства, таким как Помещение для проекта River в Нидерландах и план 2100 устья Темзы[11][12] которые включают гибкие стратегии адаптации или адаптация к изменению климата которые предусматривают и ограничивают ущерб в случае серьезных событий, таких как 500-летние наводнения.[13]

Отказоустойчивый и отказоустойчивый

Безотказный и безотказный разные понятия. Безотказный означает, что устройство не подвергнет опасности жизнь или имущество в случае выхода из строя. Отказоустойчивый, также называемый закрытый при отказе, означает, что доступ или данные не попадут в чужие руки в случае нарушения безопасности. Иногда подходы предлагают противоположные решения. Например, при возгорании здания отказоустойчивые системы разблокируют двери, чтобы обеспечить быстрый выход и пропустить пожарных внутрь, а отказоустойчивые системы заблокируют двери, чтобы предотвратить несанкционированный доступ в здание.

Противоположно закрытый при отказе называется безотказный.

Не работает активный рабочий

Активная эксплуатация при отказе может быть установлена ​​в системах с высокой степенью избыточности, чтобы можно было допустить единичный отказ любой части системы (отказ активной работы) и выявить второй отказ - в этот момент система сама включится. выкл. (разъединение, пассивный отказ). Один из способов добиться этого - установить три идентичные системы и логику управления, которая обнаруживает несоответствия. Примером этого являются многие авиационные системы, среди которых инерциальные навигационные системы и трубки Пито.

Смотрите также

Рекомендации

  1. ^ "Безотказный ". AudioEnglich.net. Проверено 31 декабря 2009 г.
  2. ^ например, Дэвид Б. Резерфорд младший, Что значит "отказоустойчивый"? . Конференция по быстрому транзиту 1990 г.
  3. ^ Борншлегль, Сюзанна (2012). Готовность к SIL 4: модульные компьютеры для мобильных приложений, критически важных для безопасности (pdf). MEN Mikro Elektronik. Получено 2015-09-21.
  4. ^ Борншлегль, Сюзанна (2012). Готовность к SIL 4: модульные компьютеры для мобильных приложений, критически важных для безопасности (pdf). MEN Mikro Elektronik. Получено 2015-09-21.
  5. ^ «P2138 DTC Датчик положения дроссельной заслонки / педали / Корреляция напряжения переключателя D / E». www.obd-codes.com.
  6. ^ Руководство по унифицированным устройствам управления движением, Федеральное управление шоссейных дорог, 2003 г.
  7. ^ «Когда отказ невозможен: эволюция отказоустойчивых приводов». KMC Controls. Архивировано из оригинал 1 июля 2016 г.. Получено 30 октября 2015.
  8. ^ Харрис, Том. «Как работают авианосцы». HowStuffWorks, Inc. Получено 2007-10-20.
  9. ^ Синго, Шигео; Эндрю П. Диллон (1989). Исследование производственной системы Toyota с точки зрения промышленного проектирования. Портленд, Орегон: Пресса о производительности. п. 22. ISBN  0-915299-17-8. OCLC  19740349
  10. ^ Джон Р. Гроут, Брайан Т. Даунс. "Краткое руководство по проверке ошибок, Poka-Yoke и ZQC", MistakeProofing.com
  11. ^ «План 2100 устья Темзы» (PDF). Агентство по окружающей среде Великобритании. Ноябрь 2012. Архивировано с оригинал (PDF) на 2012-12-10. Получено 20 марта, 2013.
  12. ^ «Устье Темзы 2100 (TE2100)». Агентство окружающей среды Великобритании. Получено 20 марта, 2013.
  13. ^ Дженнифер Уикс (20 марта 2013 г.). "Эксперт по адаптации Пол Киршен предлагает новую парадигму для инженеров-строителей:« безопасно для отказа », а не« без сбоев »'". Ежедневный климат. Архивировано из оригинал 13 мая 2013 г.. Получено 20 марта, 2013.