Отказоустойчивый

В инженерии отказоустойчивость - это конструктивная особенность или практика, которая в случае отказа определенного типа по своей сути реагирует таким образом, чтобы причинить минимальный или нулевой ущерб другому оборудованию, окружающей среде или людям. В отличие от неотъемлемой безопасности конкретной опасности, «отказоустойчивость» системы не означает, что отказ невозможен или маловероятен, а скорее то, что конструкция системы предотвращает или смягчает небезопасные последствия отказа системы. То есть, если и когда «отказоустойчивая» система выходит из строя, она остается, по крайней мере, такой же безопасной, как и до отказа. ^[1]^[2] Поскольку возможны многие типы отказов, анализ видов отказов и последствий используется для изучения аварийных ситуаций и рекомендаций по проектированию и процедурам обеспечения безопасности.

Некоторые системы никогда нельзя сделать отказоустойчивыми, поскольку требуется постоянная доступность. Для этих ситуаций используются резервирование , отказоустойчивость или планы действий в чрезвычайных ситуациях (например, несколько независимо управляемых двигателей с питанием от топлива). ^[3]

Примеры [ править ]

Механический или физический [ править ]

Регулирующий клапан с пневматическим диафрагменным приводом. Такой клапан может быть спроектирован так, чтобы обеспечить отказ от безопасного действия пружины при потере рабочего воздуха.

Примеры включают:

Противопожарные двери с рольставнями, которые активируются системами сигнализации здания или локальными детекторами дыма, должны автоматически закрываться при подаче сигнала независимо от мощности. В случае отключения электроэнергии спиральная противопожарная дверь не должна закрываться, но должна иметь возможность автоматического закрывания при получении сигнала от систем сигнализации здания или детекторов дыма. Термочувствительная плавкая перемычка может использоваться для удержания противопожарных дверей открытыми против силы тяжести или закрывающей пружины. В случае пожара перемычка плавится и открывает двери, и они закрываются.
Некоторые багажные тележки в аэропорту требуют, чтобы человек постоянно удерживал выключатель ручного тормоза данной тележки; если выключатель ручного тормоза отпущен, тормоз активируется, и, если все остальные части тормозной системы работают правильно, тележка остановится. Таким образом, требование удержания ручного тормоза работает в соответствии с принципами «отказоустойчивости» и способствует (но не обязательно гарантирует) отказоустойчивость системы. Это пример выключателя мертвеца .
Газонокосилки и снегоочистители имеют закрываемый вручную рычаг, который необходимо постоянно удерживать в нажатом положении. Если его отпустить, он останавливает вращение лопасти или ротора. Это также работает как выключатель мертвого человека .
Пневматические тормоза на железнодорожных поездах и воздушных тормозов на грузовиках . Тормоза удерживаются в выключенном состоянии давлением воздуха, создаваемым в тормозной системе. В случае разрыва тормозной магистрали или разъединения каретки давление воздуха будет потеряно и тормоза будут задействованы пружинами в случае грузовиков или местным резервуаром воздуха в поездах. Невозможно управлять грузовиком с серьезной утечкой в пневматической тормозной системе. (В грузовиках также могут использоваться парики, указывающие на низкое давление воздуха.)
Моторизованные ворота - в случае отключения электроэнергии ворота можно открыть вручную без использования рукоятки или ключа. Однако, поскольку это позволит практически любому пройти через ворота, используется безотказная конструкция: при отключении электроэнергии ворота можно открыть только с помощью рукоятки, которая обычно хранится в безопасном месте или под замком. . Когда такие ворота обеспечивают доступ транспортных средств в дома, используется безопасная конструкция, в которой дверь открывается, обеспечивая доступ пожарной части.
Предохранительные клапаны. Различные устройства, работающие с жидкостями, используют предохранители или предохранительные клапаны в качестве отказоустойчивых механизмов.

Железнодорожные семафорные сигналы. «Стоп» или «Осторожно» - это горизонтальный рычаг, «Готовность к работе» - под углом 45 градусов вверх, поэтому при выходе из строя тросика сигнальный рычаг возвращается в безопасное положение под действием силы тяжести.

Сигнал железнодорожного семафора специально разработан таким образом, чтобы в случае обрыва кабеля, контролирующего сигнал, рычаг возвращался в «опасное» положение, предотвращая прохождение поездом неработающего сигнала.
Запорные клапаны и регулирующие клапаны, которые используются, например, в системах, содержащих опасные вещества, могут быть спроектированы так, чтобы закрываться при потере мощности, например, силой пружины. Это называется аварийным закрытием при потере питания.
У лифта есть тормоза, которые удерживаются от тормозных колодок натяжением троса лифта. При обрыве троса теряется натяжение, и тормоза защелкиваются на рельсах в шахте, чтобы кабина лифта не упала.
Кондиционер автомобиля - для управления размораживанием требуется разрежение для работы переключающей заслонки для всех функций, кроме размораживания. Если вакуум не работает, размораживание все еще возможно.

Электрический или электронный [ править ]

Примеры включают:

Многие устройства защищены от короткого замыкания с помощью предохранителей , выключателей или токоограничивающих цепей. Электрическое прерывание в условиях перегрузки предотвратит повреждение или разрушение проводки или цепных устройств из-за перегрева.
Авионика использует резервные системы для выполнения одних и тех же вычислений с использованием трех разных систем . Различные результаты указывают на неисправность в системе. ^[4]
Электропроводное и электронное управление, такое как датчик положения акселератора, обычно имеет два потенциометра, которые показывают в противоположных направлениях, так что перемещение элемента управления приведет к тому, что одно показание станет выше, а другое, как правило, будет в равной степени ниже. Несоответствие между двумя показаниями указывает на неисправность в системе, и ЭБУ часто может определить, какое из двух показаний является ошибочным. ^[5]
Контроллеры светофора используют блок монитора конфликтов для обнаружения неисправностей или конфликтующих сигналов и переключения перекрестка на полностью мигающий сигнал ошибки вместо отображения потенциально опасных конфликтующих сигналов, например, зеленого во всех направлениях. ^[6]
Автоматическая защита программ и / или систем обработки при обнаружении аппаратного или программного сбоя в компьютерной системе . Классический пример - сторожевой таймер . См. Отказоустойчивый (компьютер) .
Операция управления или функция , которая предотвращает неправильное система функционирует или катастрофической деградации в случае цепи неисправности или ошибки оператора; например, отказоустойчивая рельсовая цепь, используемая для управления сигналами железнодорожных остановок . Тот факт, что на многих железнодорожных линиях мигающий желтый цвет более терпимый, чем сплошной желтый, является признаком отказоустойчивости, поскольку реле, если оно не работает, вернется к более строгим настройкам.
Балласт железных гранул на Батискаф сбрасывается, чтобы позволить подводной лодке подняться. Балласт удерживается на месте электромагнитами . При отключении электроэнергии балласт сбрасывается, и подводная лодка поднимается в безопасное место.
Многие конструкции ядерных реакторов имеют регулирующие стержни, поглощающие нейтроны, подвешенные на электромагнитах. При отключении питания они падают под действием силы тяжести в активную зону и в считанные секунды останавливают цепную реакцию, поглощая нейтроны, необходимые для продолжения деления.
В промышленной автоматике цепи аварийной сигнализации обычно « нормально замкнуты ». Это гарантирует, что в случае обрыва провода сработает сигнализация. Если бы цепь была нормально разомкнута, неисправность провода осталась бы незамеченной, а фактические сигналы тревоги были бы заблокированы.
Аналоговые датчики и регулирующие исполнительные механизмы обычно могут быть установлены и подключены таким образом, чтобы отказ цепи приводил к выходу за допустимые пределы - см. Токовая петля . Например, потенциометр, показывающий положение педали, может перемещаться только от 20% до 80% своего полного диапазона, так что обрыв или короткое замыкание кабеля приводит к показанию 0% или 100%.
В системах управления критически важные сигналы могут передаваться по дополнительной паре проводов (<signal> и <not_signal>). Действительны только состояния, в которых два сигнала противоположны (один высокий, другой низкий). Если оба высокие или оба низкие, система управления знает, что что-то не так с датчиком или соединительной проводкой. Таким образом обнаруживаются простые режимы отказа (мертвый датчик, обрыв или отсоединение проводов). Примером может служить система управления, считывающая нормально разомкнутые (NO) и нормально замкнутые (NC) полюса переключателя SPDT относительно общего и проверяющая их на согласованность, прежде чем реагировать на вход.
В системах управления HVAC , исполнительные механизмы , которые регулирующие клапаны и клапаны могут быть отказоустойчивыми, например, для предотвращения замораживания катушки из или комнат от перегрева. Старые пневматические приводы по своей сути были отказоустойчивыми, потому что если давление воздуха на внутреннюю диафрагму отказывалось, встроенная пружина толкала привод в его исходное положение - конечно, исходное положение должно было быть «безопасным» положением. Новые электрические и электронные приводы нуждаются в дополнительных компонентах (пружинах или конденсаторах) для автоматического перевода привода в исходное положение при потере электроэнергии. ^[7]
Программируемые логические контроллеры (ПЛК). Чтобы сделать ПЛК отказоустойчивым, система не требует подачи питания для остановки связанных приводов. Например, обычно аварийный останов - это нормально замкнутый контакт. В случае сбоя питания это отключит питание непосредственно от катушки, а также от входа ПЛК. Следовательно, безотказная система.
Если регулятор напряжения выйдет из строя, он может вывести из строя подключенное оборудование. Лом (цепь) повреждение предотвращает от короткого замыкания источника питания , как только он обнаруживает перенапряжения.

Процедурная безопасность [ править ]

Самолет включает форсажную камеру, чтобы поддерживать полную мощность во время вынужденной посадки на борт авианосца . Если задержанная посадка не удалась, самолет снова может безопасно взлететь.

Так же, как и для физических устройств и систем, могут быть созданы отказоустойчивые процедуры, чтобы в случае невыполнения процедуры или ее неправильного выполнения не возникало опасных действий. Например:

Траектория космического корабля - во время ранних миссий программы Apollo на Луну космический корабль был переведен на свободную обратную траекторию - если бы двигатели вышли из строя при выходе на лунную орбиту , корабль благополучно вернулся бы на Землю.
Пилот самолета, совершающего посадку на авианосец, увеличивает газ на полную мощность при приземлении. Если удерживающие тросы не смогут захватить самолет, он снова сможет взлететь; это пример безотказной работы . ^[8]
В железнодорожных сигнальных средствах, которые не используются активно для поезда, требуется держать в положении «опасность». Таким образом, положение по умолчанию для каждого контролируемого абсолютного сигнала является «опасным», и поэтому перед тем, как поезд может проехать, требуется положительное действие - установка сигналов на «очистить». Эта практика также гарантирует, что в случае сбоя в системе сигнализации, выхода из строя сигнальщика или неожиданного входа в поезд поезд никогда не получит ошибочный сигнал «отбоя».
Инженеры-железнодорожники проинструктированы, что железнодорожный сигнал, показывающий сбивающий с толку, противоречивый или незнакомый аспект (например, цветной световой сигнал , в котором произошел сбой в электросети и который вообще не горит), должен рассматриваться как показывающий "опасность". Таким образом водитель вносит свой вклад в отказоустойчивость системы.

Другая терминология [ править ]

Отказоустойчивые ( защищенные от неправильного обращения ) устройства также известны как устройства типа « poka-yoke» . Пока-йоке , японский термин, был придуман Шигео Синго , экспертом по качеству. ^[9]^[10] «Безопасный для отказа» относится к проектам гражданского строительства, таким как проект « Помещение для реки» в Нидерландах и План 2100 г. по устью Темзы ^[11]^[12], которые включают гибкие стратегии адаптации или адаптации к изменению климата, которые предусматривают и ограничить ущерб в случае серьезных событий, таких как 500-летние наводнения. ^[13]

Отказоустойчивый и отказоустойчивый [ править ]

Отказоустойчивость и отказоустойчивость - разные понятия. Отказоустойчивость означает, что устройство не подвергнет опасности жизнь или имущество в случае выхода из строя. Отказоустойчивый, также называемый отказоустойчивым закрытием, означает, что доступ или данные не попадут в чужие руки в случае сбоя безопасности. Иногда подходы предлагают противоположные решения. Например, при возгорании здания отказоустойчивые системы открывают двери для быстрого выхода и позволяют пожарным войти внутрь, а отказоустойчивые системы блокируют двери для предотвращения несанкционированного доступа в здание.

Противоположность закрытию при отказе называется открытием при отказе .

Не удалось активировать [ править ]

Активная эксплуатация при отказе может быть установлена в системах с высокой степенью избыточности, чтобы можно было допустить единичный отказ любой части системы (отказ активной работы) и выявить второй отказ - в этот момент система включится сама. выкл. (разъединение, пассивный отказ). Один из способов добиться этого - установить три идентичные системы и управляющую логику, обнаруживающую несоответствия. Примером этого являются многие авиационные системы, в том числе инерциальные навигационные системы и трубки Пито .

См. Также [ править ]

Поищите информацию об отказоустойчивости в Викисловаре, бесплатном словаре.

Быстро
Теория управления
Выключатель мертвеца
EIA-485
Элегантная деградация
Плохо терпит неудачу
Безотказно
Отказоустойчивость
IEC 61508
Блокировка
Безопасный дизайн
Техника безопасности

Ссылки [ править ]

^ " Отказоустойчивый ". AudioEnglich.net. Проверено 31 декабря 2009 г.
^ например , Дэвид Б. Резерфорд младший, Что вы имеете в виду, это отказоустойчивый? . Конференция по быстрому транзиту 1990 г.
^ Bornschlegl, Susanne (2012). Готов к SIL 4: Модульные компьютеры для мобильных приложений, критически важных для безопасности (pdf) . MEN Mikro Elektronik . Проверено 21 сентября 2015 .
^ Bornschlegl, Susanne (2012). Готов к SIL 4: Модульные компьютеры для мобильных приложений, критически важных для безопасности (pdf) . MEN Mikro Elektronik . Проверено 21 сентября 2015 .
^ «P2138 DTC Датчик положения дроссельной заслонки / педали / Корреляция напряжения переключателя D / E» . www.obd-codes.com .
^ Руководство по унифицированным устройствам управления движением, Федеральное управление шоссейных дорог, 2003 г.
^ «Когда отказ не вариант: эволюция отказоустойчивых приводов» . KMC Controls. Архивировано из оригинала на 1 июля 2016 года . Проверено 30 октября 2015 года .
^ Харрис, Том. «Как работают авианосцы» . HowStuffWorks, Inc . Проверено 20 октября 2007 .
^ Синго, Шигео; Эндрю П. Диллон (1989). Исследование производственной системы Toyota с точки зрения промышленного проектирования. Портленд, Орегон: Пресса о продуктивности. п. 22. ISBN 0-915299-17-8 . OCLC 19740349
^ Джон Р. Гроут, Брайан Т. Даунс. "Краткое руководство по защите от ошибок, Poka -Yoke и ZQC", MistakeProofing.com
^ "План 2100 устья Темзы" (PDF) . Агентство по окружающей среде Великобритании. Ноябрь 2012. Архивировано из оригинального (PDF) 10 декабря 2012 года . Проверено 20 марта 2013 года .
^ "Устье Темзы 2100 (TE2100)" . Агентство по окружающей среде Великобритании . Проверено 20 марта 2013 года .
↑ Дженнифер Уикс (20 марта 2013 г.). «Эксперт по адаптации Пол Киршен предлагает новую парадигму для инженеров-строителей:« безопасный отказ », а не« отказоустойчивый » » . Ежедневный климат . Архивировано из оригинального 13 мая 2013 года . Проверено 20 марта 2013 года .

[1] " Отказоустойчивый ". AudioEnglich.net. Проверено 31 декабря 2009 г.

[2] например , Дэвид Б. Резерфорд младший, Что вы имеете в виду, это отказоустойчивый? . Конференция по быстрому транзиту 1990 г.

[3] Bornschlegl, Susanne (2012). Готов к SIL 4: Модульные компьютеры для мобильных приложений, критически важных для безопасности (pdf) . MEN Mikro Elektronik . Проверено 21 сентября 2015 .

[4] Bornschlegl, Susanne (2012). Готов к SIL 4: Модульные компьютеры для мобильных приложений, критически важных для безопасности (pdf) . MEN Mikro Elektronik . Проверено 21 сентября 2015 .

[5] «P2138 DTC Датчик положения дроссельной заслонки / педали / Корреляция напряжения переключателя D / E» . www.obd-codes.com .

[6] Руководство по унифицированным устройствам управления движением, Федеральное управление шоссейных дорог, 2003 г.

[7] «Когда отказ не вариант: эволюция отказоустойчивых приводов» . KMC Controls. Архивировано из оригинала на 1 июля 2016 года . Проверено 30 октября 2015 года .

[8] Харрис, Том. «Как работают авианосцы» . HowStuffWorks, Inc . Проверено 20 октября 2007 .

[9] Синго, Шигео; Эндрю П. Диллон (1989). Исследование производственной системы Toyota с точки зрения промышленного проектирования. Портленд, Орегон: Пресса о продуктивности. п. 22. ISBN 0-915299-17-8 . OCLC 19740349

[10] Джон Р. Гроут, Брайан Т. Даунс. "Краткое руководство по защите от ошибок, Poka -Yoke и ZQC", MistakeProofing.com

[TE2100-11] "План 2100 устья Темзы" (PDF) . Агентство по окружающей среде Великобритании. Ноябрь 2012. Архивировано из оригинального (PDF) 10 декабря 2012 года . Проверено 20 марта 2013 года .

[TE21-12] "Устье Темзы 2100 (TE2100)" . Агентство по окружающей среде Великобритании . Проверено 20 марта 2013 года .

[TDC032013-13] Дженнифер Уикс (20 марта 2013 г.). «Эксперт по адаптации Пол Киршен предлагает новую парадигму для инженеров-строителей:« безопасный отказ », а не« отказоустойчивый » » . Ежедневный климат . Архивировано из оригинального 13 мая 2013 года . Проверено 20 марта 2013 года .

[1]