В инженерии отказоустойчивый - это конструктивная особенность или методика, которая в случае отказа определенного типа по своей сути реагирует таким образом, чтобы причинить минимальный или нулевой вред другому оборудованию, окружающей среде или людям. В отличие от неотъемлемой безопасности для конкретной опасности, «отказоустойчивость» системы не означает, что отказ невозможен или маловероятен, а скорее то, что конструкция системы предотвращает или смягчает небезопасные последствия отказа системы. То есть, если и когда «отказоустойчивая» система выходит из строя, она остается по крайней мере такой же безопасной, как и до отказа. Поскольку возможны многие типы отказов, анализ видов отказов и последствий используется для изучения аварийных ситуаций и рекомендаций по проектированию и процедурам обеспечения безопасности.
Некоторые системы никогда нельзя сделать отказоустойчивыми, так как требуется постоянная доступность. Резервирование, отказоустойчивость или планы действий в чрезвычайных ситуациях используются для этих ситуаций (например, несколько независимо управляемых двигателей с питанием от топлива).
Содержание
- 1 Примеры
- 1.1 Механический или физический
- 1.2 Электрический или электронный
- 1.3 Процедурная безопасность
- 2 Другая терминология
- 2.1 Отказоустойчивый и отказоустойчивый
- 2.2 Отказ активный рабочий
- 3 См. Также
- 4 Ссылки
Примеры
Механический или физический
Проходной регулирующий клапан с пневматическим мембранным приводом. Такой клапан может быть спроектирован таким образом, чтобы обеспечить отказ от давления пружины в случае потери рабочего воздуха.
Примеры включают:
- Противопожарные двери с рольставнями, которые активируются системами сигнализации здания или локальными детекторами дыма, должны автоматически закрываться при получении сигнала независимо от мощности. В случае отключения электроэнергии спиральная противопожарная дверь не должна закрываться, но должна иметь возможность автоматического закрывания при получении сигнала от систем сигнализации здания или датчиков дыма. Чувствительная к температуре плавкая вставка может использоваться для удержания противопожарных дверей открытыми против силы тяжести или закрывающей пружины. В случае пожара перемычка плавится и открывает двери, и они закрываются.
- В некоторых аэропортах багаж тележки требуют, чтобы человек удерживал выключатель ручного тормоза данной тележки всегда; если выключатель ручного тормоза отпущен, тормоз активируется, и если все остальные части тормозной системы работают правильно, тележка остановится. Таким образом, требование удержания ручного тормоза работает в соответствии с принципами «отказоустойчивости» и способствует (но не обязательно гарантирует) отказоустойчивость системы. Это пример выключателя на случай смерти.
- Газонокосилки и снегоуборочные машины имеют закрываемый вручную рычаг, который необходимо постоянно удерживать в нажатом положении. Если его отпустить, он останавливает вращение лопасти или ротора. Это также работает как выключатель мертвого человека.
- Пневматические тормоза на железных дорогах поездах и пневматические тормоза на грузовиках. Тормоза удерживаются в положении «выключено» за счет давления воздуха , создаваемого в тормозной системе. В случае разрыва тормозной магистрали или разъединения каретки давление воздуха будет потеряно и тормоза будут задействованы пружинами в случае грузовиков или местным резервуаром воздуха в поездах. Невозможно управлять грузовиком с серьезной утечкой в пневматической тормозной системе. (В грузовиках также можно использовать парики для индикации низкого давления воздуха.)
- Ворота с электроприводом - в случае отключения электроэнергии ворота можно открыть вручную без использования рукоятки или ключа. Однако, поскольку это позволит практически любому пройти через ворота, используется безотказная конструкция: при отключении электроэнергии ворота можно открыть только с помощью рукоятки, которая обычно хранится в безопасном месте или под замком.. Когда такие ворота обеспечивают доступ транспортных средств в дома, используется отказоустойчивая конструкция, в которой дверь открывается для доступа пожарной части.
- Предохранительные клапаны - используются различные устройства, работающие с жидкостями предохранители или предохранительные клапаны в качестве отказоустойчивых механизмов.
железнодорожные семафорные сигналы. «Стоп» или «Осторожно» - это горизонтальный рычаг, «Разрешить движение» - под углом 45 градусов вверх, поэтому выход из строя приводного троса освобождает сигнальный рычаг под действием силы тяжести. что в случае обрыва кабеля, управляющего сигналом, рычаг возвращается в «опасное» положение, предотвращая прохождение поездами неработающего сигнала.
Запорные клапаны и регулирующие клапаны, которые используются, например, в системах, содержащих опасные вещества, могут быть предназначены для закрытия при потере мощности, например, под действием силы пружины. Это известно как аварийное закрытие при потере мощности.Лифт имеет тормоза, которые удерживаются на тормозных колодках за счет натяжения троса лифта. Если трос обрывается, натяжение теряется, и тормоза защелкиваются на рельсах в шахте, чтобы кабина лифта не упала.Кондиционер автомобиля - для управления размораживанием требуется разрежение для работы заслонки переключателя для всех функций, кроме разморозить. Если вакуум не работает, размораживание все еще доступно.Электрические или электронные
Примеры включают:
- Многие устройства защищены от короткого замыкания с помощью предохранителей, автоматические выключатели или токоограничивающие цепи. Электрическое прерывание в условиях перегрузки предотвратит повреждение или разрушение проводки или схемных устройств из-за перегрева.
- Авионика, использующая избыточные системы для выполнения тех же вычислений с использованием трех разных систем. Различные результаты указывают на неисправность в системе.
- Электропроводное управление и электронное управление, такое как датчик положения акселератора, обычно имеют два потенциометра, которые показывают показания в противоположных направлениях, например что перемещение элемента управления приведет к тому, что одно показание станет выше, а другое, как правило, будет ниже. Несоответствие между двумя показаниями указывает на неисправность в системе, и ECU часто может определить, какое из двух показаний неисправно.
- Контроллеры светофора используют блок монитора конфликтов для обнаружения неисправностей или конфликтующие сигналы и переключите перекресток на полностью мигающий сигнал ошибки вместо отображения потенциально опасных конфликтующих сигналов, например отображение зеленым во всех направлениях.
- Автоматическая защита программ и / или систем обработки при обнаружении аппаратного обеспечения компьютера или программного обеспечения в компьютерная система. Классическим примером является сторожевой таймер. См. Отказоустойчивое (компьютер).
- A управление операцией или функцией, предотвращающей неправильное функционирование системы или катастрофическое ухудшение характеристик в случае неисправности цепи или ошибки оператора; например, отказоустойчивая рельсовая цепь, используемая для управления сигналами железнодорожных блоков. Тот факт, что на многих железнодорожных путях мигающий желтый цвет более допустим, чем сплошной желтый, является признаком отказоустойчивости, поскольку реле, если оно не работает, вернется к более строгим настройкам.
- Балласт железных гранул на батискаф сбрасывается, чтобы позволить подводной лодке подняться. Балласт удерживается на месте с помощью электромагнитов. В случае отключения электроэнергии балласт сбрасывается, и подводная лодка затем возвращается в безопасное состояние.
- Многие конструкции ядерных реакторов имеют регулирующие стержни, поглощающие нейтроны, подвешенные на электромагнитах. При отключении питания они падают под действием силы тяжести в активную зону и останавливают цепную реакцию за секунды, поглощая нейтроны, необходимые для продолжения деления.
- В промышленной автоматизации цепи аварийной сигнализации обычно срабатывают. «нормально закрытый ». Это гарантирует, что в случае обрыва провода сработает сигнализация. Если бы цепь была нормально разомкнута, неисправность провода осталась бы незамеченной, а фактические сигналы тревоги были бы заблокированы.
- Аналоговые датчики и регулирующие исполнительные механизмы обычно могут быть установлены и подключены таким образом, что отказ цепи приводит к выходу за пределы чтение - см. токовая петля. Например, потенциометр, показывающий положение педали, может перемещаться только от 20% до 80% от своего полного диапазона, так что обрыв или короткое замыкание кабеля приведет к показанию 0% или 100%.
- В системах управления критично. важные сигналы могут передаваться по дополнительной паре проводов (и ). Действительны только состояния, в которых два сигнала противоположны (один высокий, другой низкий). Если оба высокие или оба низкие, система управления знает, что что-то не так с датчиком или соединительной проводкой. Таким образом обнаруживаются простые режимы отказа (неработающий датчик, обрыв или отсоединение проводов). Примером может служить система управления, считывающая оба полюса нормально открытый (NO) и нормально закрытый (NC) селекторного переключателя SPDT относительно общего, и проверяющая их для согласованности перед реагированием на ввод.
- В системах управления HVAC, приводы, которые управляют заслонками и клапанами, могут быть отказоустойчивыми, например, для предотвращения образования катушек от замерзания или помещения от перегрева. Старые пневматические приводы по своей сути были отказоустойчивыми, потому что, если давление воздуха на внутреннюю диафрагму отказывалось, встроенная пружина толкала привод в исходное положение - конечно, исходное положение должно было быть «безопасным». " позиция. Новые электрические и электронные приводы нуждаются в дополнительных компонентах (пружинах или конденсаторах) для автоматического перевода привода в исходное положение при потере электропитания.
- Программируемые логические контроллеры (ПЛК). Чтобы сделать ПЛК отказоустойчивым, система не требует подачи питания для остановки связанных приводов. Например, обычно аварийный останов - это нормально замкнутый контакт. В случае сбоя питания это отключит питание непосредственно от катушки, а также от входа ПЛК. Следовательно, система повышенной безопасности.
- В случае отказа регулятора напряжения он может вывести из строя подключенное оборудование. лом (цепь) предотвращает повреждение из-за короткого замыкания источника питания, как только он обнаруживает перенапряжение.
Процедурная безопасность
Самолет зажигает свои
форсажные камеры для поддержания полной мощности во время
арестованной посадки на борт авианосца . Если задержанная посадка не удалась, самолет снова может безопасно взлететь.
Помимо физических устройств и систем, могут быть созданы отказоустойчивые процедуры, так что, если процедура не выполняется или выполняется неправильно, никаких опасных действий не возникает. Например:
- Траектория космического корабля - Во время ранних миссий программы Apollo на Луну космический корабль был переведен на траекторию свободного возврата - если двигатели отказали на лунном при выходе на орбиту корабль благополучно вернулся бы на Землю.
- Пилот самолета, совершающего посадку на авианосец , увеличивает газ до полной мощности при приземлении. Если фиксирующие тросы не удерживают самолет, он снова может взлететь; это пример отказоустойчивой практики.
- В железнодорожной сигнализации сигналы, которые не используются активно для поезда, необходимо держать в «опасном» положении. Таким образом, положение по умолчанию каждого контролируемого абсолютного сигнала является «опасным», и, следовательно, перед тем, как поезд может проехать, требуется положительное действие - установка сигналов «очистить». Эта практика также гарантирует, что в случае сбоя в системе сигнализации, выхода из строя сигнальщика или неожиданного входа поезда в поезд никогда не будет показан ошибочный "четкий" сигнал.
- Инженеры-железнодорожники проинструктированы, что железнодорожный сигнал, показывающий сбивающий с толку, противоречивый или незнакомый аспект (например, цветной световой сигнал, в котором произошел сбой в электросети и который вообще не светится), должен рассматриваться как показывающий "опасность". Таким образом, драйвер способствует отказоустойчивости системы.
Другая терминология
Отказоустойчивые (защищенные от ошибок ) устройства также известны как poka-yoke устройства. Poka-yoke, японский термин, был придуман Шигео Синго, экспертом по качеству. «Безопасный для отказа» относится к проектам гражданского строительства, таким как проект «Комната для реки» в Нидерландах и План 2100 по устью Темзы, которые включают гибкие стратегии адаптации или адаптацию к изменению климата, которые предусматривают и ограничение ущерба в случае серьезных событий, таких как 500-летние наводнения.
Отказоустойчивый и отказоустойчивый
Отказоустойчивый и отказоустойчивый - разные понятия. Отказоустойчивость означает, что устройство не подвергнет опасности жизнь или имущество в случае выхода из строя. Отказоустойчивый, также называемый отказоустойчивым закрытием, означает, что доступ или данные не попадут в чужие руки в случае нарушения защиты. Иногда подходы предлагают противоположные решения. Например, при возгорании здания отказоустойчивые системы разблокируют двери, чтобы обеспечить быстрый выход и пропустить пожарных внутрь, а отказоустойчивые системы заблокируют двери, чтобы предотвратить несанкционированный доступ в здание.
Противоположность закрытию при отказе называется открытием при отказе.
Fail Active Operational
Fail Active Operational может быть установлен в системах с высокой степенью избыточности, чтобы можно было допустить единичный отказ любой части системы (активный отказ в работе) и может быть обнаружен второй сбой - в этот момент система отключится (отсоединение, пассивный отказ). Один из способов добиться этого - установить три идентичные системы и логику управления, которая обнаруживает несоответствия. Примером этого являются многие авиационные системы, среди них инерциальные навигационные системы и трубки Пито.
См. Также
Ссылки
Проходной регулирующий клапан с пневматическим мембранным приводом. Такой клапан может быть спроектирован таким образом, чтобы обеспечить отказ от давления пружины в случае потери рабочего воздуха. 
железнодорожные семафорные сигналы. «Стоп» или «Осторожно» - это горизонтальный рычаг, «Разрешить движение» - под углом 45 градусов вверх, поэтому выход из строя приводного троса освобождает сигнальный рычаг под действием силы тяжести. что в случае обрыва кабеля, управляющего сигналом, рычаг возвращается в «опасное» положение, предотвращая прохождение поездами неработающего сигнала.
Самолет зажигает свои форсажные камеры для поддержания полной мощности во время арестованной посадки на борт авианосца . Если задержанная посадка не удалась, самолет снова может безопасно взлететь. 
