Odporny na awarie

W inżynierii odporność na awarie to cecha lub praktyka projektowa, która w przypadku określonego rodzaju awarii z natury reaguje w sposób, który powoduje minimalne lub żadne szkody dla innych urządzeń, środowiska lub ludzi. W przeciwieństwie do nieodłącznego bezpieczeństwa określonego zagrożenia, system „odporny na awarie” nie oznacza, że ​​awaria jest niemożliwa lub nieprawdopodobna, ale raczej, że konstrukcja systemu zapobiega niebezpiecznym konsekwencjom awarii systemu lub łagodzi je. Oznacza to, że jeśli i kiedy system „odporny na awarie” zawiedzie, pozostaje co najmniej tak samo bezpieczny, jak przed awarią. Ponieważ możliwych jest wiele rodzajów awarii, analiza przyczyn i skutków awarii jest wykorzystywana do badania sytuacji awaryjnych i zalecania projektów i procedur bezpieczeństwa.

Niektórych systemów nigdy nie można zabezpieczyć przed awariami, ponieważ wymagana jest ciągła dostępność. W takich sytuacjach stosuje się redundancję , odporność na awarie lub plany awaryjne (np. wiele niezależnie sterowanych i zasilanych paliwem silników).

Przykłady

Mechaniczne lub fizyczne

Zawór regulacyjny grzybkowy z pneumatycznym siłownikiem membranowym. Taki zawór może być zaprojektowany tak, aby nie działał bezpiecznie przy użyciu nacisku sprężyny w przypadku utraty powietrza uruchamiającego.

Przykłady obejmują:

• Przeciwpożarowe drzwi roletowe uruchamiane przez systemy alarmowe budynku lub lokalne czujniki dymu muszą zamykać się automatycznie po sygnale niezależnie od zasilania. W przypadku przerwy w dostawie prądu zwijane drzwi przeciwpożarowe nie muszą się zamykać, ale muszą mieć możliwość automatycznego zamknięcia na sygnał z systemów alarmowych budynku lub czujników dymu. Wrażliwy na temperaturę łącznik topliwy może być zastosowany do utrzymywania otwartych drzwi przeciwpożarowych wbrew grawitacji lub sprężynie zamykającej. W przypadku pożaru ogniwo topi się i zwalnia drzwi, które się zamykają.
• Niektóre wózki bagażowe na lotniskach wymagają, aby osoba cały czas przytrzymywała przełącznik hamulca ręcznego danego wózka; jeśli przełącznik hamulca ręcznego zostanie zwolniony, hamulec zostanie uruchomiony i zakładając, że wszystkie inne części układu hamulcowego działają prawidłowo, wózek się zatrzyma. Wymóg trzymania hamulca ręcznego działa zatem zgodnie z zasadami „bezpieczeństwa w przypadku awarii” i przyczynia się do (ale niekoniecznie zapewnia) bezpieczeństwa systemu w przypadku awarii. To jest przykład przełącznika martwego człowieka .
• Kosiarki do trawy i odśnieżarki mają ręcznie zamykaną dźwignię, którą należy zawsze trzymać wciśniętą. Zwolnienie powoduje zatrzymanie obrotów noża lub rotora. Działa to również jako wyłącznik czuwakowy .
• Hamulce pneumatyczne w pociągach kolejowych i hamulce pneumatyczne w samochodach ciężarowych . Hamulce są utrzymywane w pozycji wyłączonej przez ciśnienie powietrza wytwarzane w układzie hamulcowym. W przypadku pęknięcia przewodu hamulcowego lub odłączenia wagonu ciśnienie powietrza zostanie utracone, a hamulce zostaną uruchomione przez sprężyny w przypadku samochodów ciężarowych lub przez lokalny zbiornik powietrza w pociągach. Niemożliwe jest prowadzenie ciężarówki z poważną nieszczelnością w pneumatycznym układzie hamulcowym. (W ciężarówkach można również machać perukami , aby wskazać niskie ciśnienie powietrza).
• Bramy z napędem – w przypadku przerwy w dostawie prądu, bramę można otworzyć ręcznie bez użycia korby lub klucza. Ponieważ jednak pozwoliłoby to praktycznie każdemu przejść przez bramę, zastosowano konstrukcję odporną na awarie: w przypadku przerwy w dostawie prądu bramę można otworzyć tylko za pomocą ręcznej korby, która zwykle znajduje się w bezpiecznym miejscu lub pod zamkiem i kluczem . Gdy taka brama zapewnia pojazdom dostęp do domów, stosowana jest konstrukcja odporna na awarie, w której drzwi otwierają się, umożliwiając dostęp straży pożarnej.
• Zawory bezpieczeństwa – różne urządzenia działające z płynami wykorzystują bezpieczniki lub zawory bezpieczeństwa jako mechanizmy odporne na awarie.

Sygnały semaforów kolejowych. „Stop” lub „uwaga” to ramię poziome, „Zwolnij, aby kontynuować” jest pod kątem 45 stopni w górę, więc awaria linki uruchamiającej uwalnia ramię sygnałowe w bezpieczne miejsce pod wpływem grawitacji.

• Sygnalizator semafora kolejowego jest specjalnie zaprojektowany tak, aby w przypadku zerwania liny sterującej sygnalizatorem ramię wracało do pozycji „niebezpiecznej”, uniemożliwiając przejechanie pociągów przez niedziałający sygnalizator.
• Zawory odcinające i zawory sterujące, które są stosowane na przykład w systemach zawierających substancje niebezpieczne, mogą być zaprojektowane tak, aby zamykały się po utracie zasilania, na przykład siłą sprężyny. Jest to znane jako zamknięcie awaryjne po utracie zasilania.
• Winda ma hamulce, które są utrzymywane na klockach hamulcowych przez naprężenie linki windy. W przypadku zerwania linki następuje utrata napięcia i zatrzaśnięcie się hamulców na szynach w szybie, dzięki czemu kabina windy nie spada.
• Klimatyzacja pojazdu – Sterowanie odszranianiem wymaga podciśnienia do działania przepustnicy rozdzielczej dla wszystkich funkcji z wyjątkiem odszraniania. Jeśli próżnia zawiedzie, odszranianie jest nadal dostępne.

Elektryczne lub elektroniczne

Przykłady obejmują:

• Wiele urządzeń jest chronionych przed zwarciem za pomocą bezpieczników , wyłączników automatycznych lub obwodów ograniczających prąd . Przerwa elektryczna w warunkach przeciążenia zapobiegnie uszkodzeniu lub zniszczeniu okablowania lub urządzeń obwodu w wyniku przegrzania.
• Awionika wykorzystująca redundantne systemy do wykonywania tych samych obliczeń przy użyciu trzech różnych systemów . Różne wyniki wskazują na usterkę w systemie.
• typu drive-by-wire i fly-by-wire, takie jak czujnik położenia akceleratora, zwykle mają dwa potencjometry, które odczytują w przeciwnych kierunkach, tak że przesunięcie elementu sterującego spowoduje, że jeden odczyt będzie wyższy, a drugi ogólnie równie niższy. Niezgodność między dwoma odczytami wskazuje na usterkę w systemie, a ECU często może wywnioskować, który z dwóch odczytów jest wadliwy.
• sygnalizacji świetlnej używają jednostki monitorującej konflikty do wykrywania usterek lub sprzecznych sygnałów i przełączania skrzyżowania na cały migający sygnał błędu, zamiast wyświetlania potencjalnie niebezpiecznych sprzecznych sygnałów, np. zielonego we wszystkich kierunkach.
• Automatyczna ochrona programów i/lub systemów przetwarzania w przypadku wykrycia awarii sprzętu komputerowego lub oprogramowania w systemie komputerowym . Klasycznym przykładem jest timer typu watchdog . Zobacz Odporność na awarie (komputer) .
• Operacja lub funkcja kontrolna , która zapobiega nieprawidłowemu funkcjonowaniu systemu lub katastrofalnej degradacji w przypadku awarii obwodu lub błędu operatora; na przykład bezpieczny obwód torowy używany do sterowania sygnałami blokad kolejowych . Fakt, że migający bursztynowy kolor na wielu liniach kolejowych jest bardziej permisywny niż stały bursztynowy kolor na wielu liniach kolejowych, jest oznaką zabezpieczenia przed awarią, ponieważ przekaźnik, jeśli nie działa, powróci do bardziej restrykcyjnych ustawień.
• Żelazny balast na Batyskafie zostaje zrzucony, aby umożliwić wynurzenie się łodzi podwodnej. Balast jest utrzymywany na miejscu przez elektromagnesy . W przypadku awarii zasilania elektrycznego balast zostaje zwolniony, a łódź podwodna wynurza się w bezpieczne miejsce.
• Wiele projektów reaktorów jądrowych ma pręty kontrolne pochłaniające neutrony zawieszone na elektromagnesach. W przypadku awarii zasilania opadają pod wpływem grawitacji do rdzenia i przerywają reakcję łańcuchową w ciągu kilku sekund, pochłaniając neutrony potrzebne do kontynuacji rozszczepienia.
• W automatyce przemysłowej obwody alarmowe są zwykle „ normalnie zamknięte ”. Gwarantuje to, że w przypadku przerwania przewodu zostanie uruchomiony alarm. Gdyby obwód był normalnie otwarty, awaria przewodu pozostałaby niewykryta, blokując rzeczywiste sygnały alarmowe.
• Czujniki analogowe i siłowniki modulujące można zwykle zainstalować i okablować w taki sposób, że awaria obwodu skutkuje odczytem wykraczającym poza zakres – patrz pętla prądowa . Na przykład potencjometr wskazujący położenie pedału może poruszać się tylko od 20% do 80% swojego pełnego zakresu, tak że przerwanie kabla lub zwarcie skutkuje odczytem 0% lub 100%.
• W systemach sterowania krytyczne sygnały mogą być przenoszone przez uzupełniającą się parę przewodów (<signal> i <not_signal>). Prawidłowe są tylko stany, w których dwa sygnały są przeciwne (jeden jest wysoki, a drugi niski). Jeśli oba są wysokie lub oba są niskie, system sterowania wie, że coś jest nie tak z czujnikiem lub okablowaniem łączącym. W ten sposób wykrywane są proste tryby awarii (brak czujnika, przecięte lub odłączone przewody). Przykładem może być system sterowania, który odczytuje zarówno bieguny normalnie otwarte (NO), jak i normalnie zamknięte (NC) przełącznika wyboru SPDT względem masy i sprawdza ich spójność przed zareagowaniem na wejście.
• W systemach sterowania HVAC siłowniki sterujące przepustnicami i zaworami mogą być odporne na awarie, na przykład w celu zapobiegania zamarzaniu wężownic lub przegrzaniu pomieszczeń . Starsze siłowniki pneumatyczne były z natury odporne na awarie, ponieważ gdyby ciśnienie powietrza skierowane na wewnętrzną membranę zanikło, wbudowana sprężyna popchnęłaby siłownik do pozycji wyjściowej – oczywiście pozycja wyjściowa musiała być pozycją „bezpieczną”. Nowsze siłowniki elektryczne i elektroniczne wymagają dodatkowych elementów (sprężyny lub kondensatory), aby automatycznie ustawić siłownik w położeniu wyjściowym po utracie zasilania elektrycznego.
• Programowalne sterowniki logiczne (PLC). Aby sterownik PLC był odporny na awarie, system nie wymaga zasilania w celu zatrzymania powiązanych napędów. Na przykład zwykle wyłącznik awaryjny to normalnie zamknięty . W przypadku awarii zasilania spowoduje to odcięcie zasilania bezpośrednio od cewki, a także od wejścia PLC. A więc system odporny na awarie.
• Awaria regulatora napięcia może zniszczyć podłączony sprzęt. Łom (obwód) zapobiega uszkodzeniom poprzez zwarcie zasilacza w momencie wykrycia przepięcia.

Bezpieczeństwo proceduralne

Samolot zapala dopalacze , aby utrzymać pełną moc podczas zatrzymanego lądowania na lotniskowcu . Jeśli zatrzymane lądowanie się nie powiedzie, samolot może bezpiecznie wystartować ponownie.

Oprócz fizycznych urządzeń i systemów można stworzyć procedury odporne na awarie, tak aby w przypadku nieprzeprowadzenia lub nieprawidłowego wykonania procedury nie doszło do niebezpiecznych działań. Na przykład:

• Trajektoria statku kosmicznego - Podczas wczesnych misji programu Apollo na Księżyc statek kosmiczny został ustawiony na swobodnej trajektorii powrotnej - gdyby silniki uległy awarii podczas wchodzenia na orbitę księżycową , statek bezpiecznie powróciłby na Ziemię.
• Pilot samolotu lądującego na lotniskowcu zwiększa przepustnicę do pełnej mocy w momencie przyziemienia. Jeśli druty zatrzymujące nie złapią samolotu, może on ponownie wystartować; jest to przykład bezpiecznej praktyki .
• W sygnalizacji kolejowej sygnały, które nie są aktywnie używane przez pociąg, muszą być utrzymywane w pozycji „niebezpieczeństwo”. Domyślną pozycją każdego kontrolowanego sygnału bezwzględnego jest zatem „niebezpieczeństwo”, a zatem pozytywne działanie - ustawienie sygnałów na „oczyszczenie” - jest wymagane, zanim pociąg będzie mógł przejechać. Praktyka ta gwarantuje również, że w przypadku awarii systemu sygnalizacji, niesprawności nastawniczego lub nieoczekiwanego wjazdu pociągu pociąg nigdy nie otrzyma błędnego „wyraźnego” sygnału.
• Inżynierów kolejowych poinstruowano, że sygnał kolejowy wykazujący zagmatwany, sprzeczny lub nieznany aspekt (na przykład kolorowy sygnał świetlny , który uległ awarii elektrycznej i nie świeci w ogóle) należy traktować jako wskazujący na „niebezpieczeństwo”. W ten sposób sterownik przyczynia się do bezpieczeństwa systemu.

Inna terminologia

Bezawaryjne ( niezawodne ) urządzenia są również znane jako urządzenia poka-yoke . Poka-yoke , japoński termin, został ukuty przez Shigeo Shingo , eksperta ds. jakości. „Safe to fail” odnosi się do projektów inżynierii lądowej, takich jak projekt Room for the River w Holandii i plan ujścia Tamizy 2100, które obejmują elastyczne strategie adaptacyjne lub adaptację do zmiany klimatu , które przewidują i ograniczają szkody w przypadku poważnych zdarzeń, takich jak 500 występują powodzie.

Bezpieczny w przypadku awarii i bezpieczny w przypadku awarii

Fail-safe i fail-secure to odrębne pojęcia. Fail-safe oznacza, że ​​urządzenie nie będzie stanowić zagrożenia dla życia lub mienia w przypadku awarii. Fail-secure, zwany także fail-closed, oznacza, że ​​dostęp lub dane nie wpadną w niepowołane ręce w przypadku awarii zabezpieczeń. Czasami podejścia sugerują odwrotne rozwiązania. Na przykład, jeśli budynek zapali się, systemy odporne na awarie odblokują drzwi, aby zapewnić szybką ewakuację i pozwolą strażakom wejść do środka, podczas gdy systemy odporne na awarie zamkną drzwi, aby uniemożliwić nieautoryzowany dostęp do budynku.

Przeciwieństwo zamkniętego w przypadku awarii nazywa się otwartym w przypadku awarii .

Niepowodzenie aktywnej operacji

Fail Active Operational można zainstalować w systemach o wysokim stopniu redundancji, tak aby pojedyncza awaria dowolnej części systemu była tolerowana (fail Active Operational) i można było wykryć drugą awarię – w tym momencie system sam się włączy wyłączony (rozprzęganie, awaria pasywna). Jednym ze sposobów osiągnięcia tego celu jest zainstalowanie trzech identycznych systemów oraz logiki sterującej, która wykrywa rozbieżności. Przykładem tego są liczne systemy lotnicze, w tym systemy nawigacji bezwładnościowej i rurki Pitota .

Bezpieczny punkt

Podczas zimnej wojny „punkt bezpieczeństwa” był terminem używanym na określenie punktu bez powrotu dla bombowców atomowych Amerykańskiego Dowództwa Lotnictwa Strategicznego , tuż za sowiecką przestrzenią powietrzną. W przypadku otrzymania rozkazu ataku bombowce musiały pozostać w bezpiecznym punkcie i czekać na drugi rozkaz potwierdzający; dopóki jeden nie został otrzymany, nie uzbroili bomb ani nie poszli dalej. Projekt miał zapobiec pojedynczej awarii amerykańskiego systemu dowodzenia powodującej wojnę nuklearną. To znaczenie terminu weszło do popularnego amerykańskiego leksykonu wraz z opublikowaniem powieści Fail-Safe z 1962 roku .

(Inne systemy kontroli dowodzenia wojną nuklearną wykorzystywały odwrotny schemat, śmiertelny w przypadku awarii , który wymaga ciągłego lub regularnego dowodu, że atak pierwszego uderzenia wroga nie miał miejsca, aby zapobiec rozpoczęciu ataku nuklearnego).

Zobacz też

• Szybkość awarii
• Teoria sterowania
• Przełącznik umarlaka
• EIA-485
• Elegancka degradacja
• Porażka źle
• Zabójcze niepowodzenie
• Tolerancja błędów
• IEC61508
• Splatać
• Bezpieczna konstrukcja
• Inżynieria bezpieczeństwa