Felsäker

För annan användning, se Fail-safe (disambiguation) .

Inom teknik är en felsäker en designfunktion eller praxis som, i händelse av en specifik typ av fel , i sig reagerar på ett sätt som kommer att orsaka minimal eller ingen skada på annan utrustning, miljön eller människor. Till skillnad från den inneboende säkerheten för en viss fara, betyder ett system som är "felsäkert" inte att fel är omöjligt eller osannolikt, utan snarare att systemets design förhindrar eller mildrar osäkra konsekvenser av systemets fel. Det vill säga, om och när ett "felsäkert" system misslyckas, förblir det minst lika säkert som det var innan felet. Eftersom många typer av fel är möjliga analys av felläge och effekt för att undersöka felsituationer och rekommendera säkerhetsdesign och -procedurer.

Vissa system kan aldrig göras felsäkra, eftersom kontinuerlig tillgänglighet krävs. Redundans , feltolerans eller beredskapsplaner används för dessa situationer (t.ex. flera oberoende styrda och bränslematade motorer).

Exempel

Mekanisk eller fysisk

Globkontrollventil med pneumatiskt membranställdon. En sådan ventil kan utformas så att den inte blir säker med hjälp av fjädertryck om manöverluften går förlorad.

Exempel inkluderar:

  • Rullluckor branddörrar som aktiveras av byggnadslarmsystem eller lokala rökdetektorer ska stängas automatiskt vid signalering oavsett effekt. Vid strömavbrott behöver den spiralformade branddörren inte stängas, utan den måste kunna stängas automatiskt när det ges en signal från byggnadens larmsystem eller rökdetektorer. En temperaturkänslig smältlänk kan användas för att hålla branddörrarna öppna mot tyngdkraften eller en stängningsfjäder. Vid brand smälter länken och släpper dörrarna och de stängs.
  • Vissa flygplatsbagagevagnar kräver att personen håller ned en given vagns handbromsbrytare hela tiden ; om handbromsbrytaren släpps, kommer bromsen att aktiveras, och förutsatt att alla andra delar av bromssystemet fungerar som det ska, kommer vagnen att stanna. Kravet på handbromshållning fungerar alltså både enligt principerna om "felsäkerhet" och bidrar till (men säkerställer inte nödvändigtvis) systemets felsäkerhet. Det här är ett exempel på en dödmansbrytare .
  • Gräsklippare och snöslungor har en handstängd spak som måste hållas nere hela tiden. Om den släpps stoppar den bladets eller rotorns rotation. Detta fungerar också som en dödmansbrytare .
  • Luftbromsar järnvägståg och luftbromsar lastbilar . Bromsarna hålls i "av"-läget av lufttryck som skapas i bromssystemet. Skulle en bromsledning splittras, eller en vagn skulle lossna, kommer lufttrycket att gå förlorat och bromsarna ansätts, av fjädrar för lastbilar, eller av en lokal luftbehållare i tåg. Det är omöjligt att köra en lastbil med ett allvarligt läckage i luftbromssystemet. (Lastbilar kan också använda perukviftar för att indikera lågt lufttryck.)
  • Motoriserade grindar – Vid strömavbrott kan grinden skjutas upp för hand utan att vev eller nyckel krävs. Men eftersom detta skulle tillåta praktiskt taget vem som helst att gå igenom porten, används en felsäker design: Vid ett strömavbrott kan porten endast öppnas med en vev som vanligtvis förvaras i ett säkert område eller under lås och nyckel . När en sådan grind ger fordon åtkomst till bostäder, används en felsäker design, där dörren öppnas för att tillåta brandkåren tillträde.
  • Säkerhetsventiler – Olika enheter som arbetar med vätskor använder säkringar eller säkerhetsventiler som felsäkra mekanismer.
Järnvägs semaforsignaler. "Stopp" eller "varning" är en horisontell arm, "Clear to Proceed" är 45 grader uppåt, så fel på manöverkabeln släpper signalarmen till säkerhet under tyngdkraften.
  • En järnvägssemaforsignal är speciellt utformad så att om kabeln som styr signalen går sönder, återgår armen till "fara"-läget, vilket förhindrar att tåg passerar den inoperativa signalen.
  • Isoleringsventiler och reglerventiler, som används till exempel i system som innehåller farliga ämnen, kan utformas så att de stängs vid effektbortfall, till exempel genom fjäderkraft. Detta kallas fail-closed vid strömavbrott.
  • En hiss har bromsar som hålls borta från bromsbelägg av hissvajerns spänning. Om vajern går sönder tappas spänningen och bromsarna hakar på skenorna i schaktet, så att hisshytten inte faller.
  • Fordonsluftkonditionering – Avfrostningskontroller kräver vakuum för avledningsspjälldrift för alla funktioner utom avfrostning. Om vakuumet misslyckas är avfrostning fortfarande tillgänglig.

Elektrisk eller elektronisk

Exempel inkluderar:

  • Många enheter är skyddade från kortslutning av säkringar , strömbrytare eller strömbegränsande kretsar. Det elektriska avbrottet under överbelastningsförhållanden kommer att förhindra skada eller förstörelse av ledningar eller kretsenheter på grund av överhettning.
  • Avionik använder redundanta system för att utföra samma beräkning med tre olika system . Olika resultat indikerar ett fel i systemet.
  • Drive-by-wire- och fly-by-wire- kontroller såsom en acceleratorpositionssensor har vanligtvis två potentiometrar som läser i motsatta riktningar, så att om du flyttar kontrollen kommer en avläsning att bli högre och den andra i allmänhet lika lägre. Felmatchningar mellan de två avläsningarna indikerar ett fel i systemet, och ECU:n kan ofta härleda vilken av de två avläsningarna som är felaktiga.
  • Trafikljuskontrollanter använder en konfliktövervakningsenhet för att upptäcka fel eller motstridiga signaler och växla en korsning till en helt blinkande felsignal, snarare än att visa potentiellt farliga konfliktsignaler, t.ex. grönt i alla riktningar.
  • Det automatiska skyddet av program och/eller bearbetningssystem när ett maskin- eller mjukvarufel upptäcks i ett datorsystem . Ett klassiskt exempel är en vakthundstimer . Se Felsäker (dator) .
  • En kontrollfunktion eller funktion som förhindrar felaktig systemfunktion eller katastrofal försämring i händelse av kretsfel eller operatörsfel; till exempel den felsäkra spårkretsen som används för att styra järnvägsblocksignaler . Det faktum att en blinkande bärnsten är mer tillåtande än en fast bärnsten på många järnvägslinjer är ett tecken på en felsäker, eftersom reläet, om det inte fungerar, återgår till en mer restriktiv inställning.
  • Järnpelletsbarlasten på Bathyscaphe släpps för att tillåta ubåten att stiga upp. Ballasten hålls på plats av elektromagneter . Om strömförsörjningen avbryts frigörs ballasten, och ubåten går sedan upp i säkerhet.
  • Många kärnreaktorkonstruktioner har neutronabsorberande styrstavar upphängda av elektromagneter. Om strömmen sviker faller de under gravitationen in i kärnan och stänger av kedjereaktionen på några sekunder genom att absorbera de neutroner som behövs för att fission ska fortsätta.
  • Inom industriell automation är larmkretsar vanligtvis " normalt slutna ". Detta säkerställer att larmet utlöses vid ett kabelbrott. Om kretsen normalt var öppen, skulle ett kabelfel förbli oupptäckt, samtidigt som faktiska larmsignaler blockerades.
  • Analoga sensorer och modulerande ställdon kan vanligtvis installeras och kopplas så att kretsfelet resulterar i en out-of-bound avläsning – se strömslinga . Till exempel kan en potentiometer som indikerar pedalens läge bara färdas från 20 % till 80 % av hela räckvidden, så att ett kabelbrott eller kortslutning resulterar i en avläsning på 0 % eller 100 %.
  • I styrsystem kan kritiskt viktiga signaler bäras av ett komplementärt par av ledningar (<signal> och <not_signal>). Endast tillstånd där de två signalerna är motsatta (den ena är hög, den andra låg) är giltiga. Om båda är höga eller båda är låga vet styrsystemet att något är fel med sensorn eller anslutningskablarna. Enkla fellägen (död sensor, avskurna eller urkopplade ledningar) upptäcks därmed. Ett exempel skulle vara ett styrsystem som läser både de normalt öppna (NO) och de normalt stängda (NC) polerna hos en SPDT- väljare mot gemensam, och kontrollerar dem för koherens innan de reagerar på ingången.
  • I VVS-styrsystem kan ställdon som styr spjäll och ventiler vara felsäkra, till exempel för att förhindra att spolar fryser eller att rummen överhettas . Äldre pneumatiska ställdon var till sin natur felsäkra eftersom om lufttrycket mot det inre membranet misslyckades, skulle den inbyggda fjädern trycka ställdonet till sitt utgångsläge – naturligtvis behövde utgångsläget vara det "säkra" läget. Nyare elektriska och elektroniska ställdon behöver ytterligare komponenter (fjädrar eller kondensatorer) för att automatiskt driva ställdonet till utgångsläget vid förlust av elektrisk kraft.
  • Programmerbara logiska styrenheter (PLC). För att göra en PLC felsäker behöver systemet inte spänningssättas för att stoppa frekvensomriktarna. Till exempel är vanligtvis ett nödstopp en normalt sluten kontakt. I händelse av ett strömavbrott skulle detta ta bort strömmen direkt från spolen och även PLC-ingången. Alltså ett felsäkert system.
  • Om en spänningsregulator går sönder kan den förstöra ansluten utrustning. En kofot (krets) förhindrar skador genom att kortsluta strömförsörjningen så snart den upptäcker överspänning.

Procedursäkerhet

Ett flygplan tänder sina efterbrännare för att behålla full effekt under en arresterad landning ombord på ett hangarfartyg . Om den arresterade landningen misslyckas kan flygplanet säkert lyfta igen.

Såväl som fysiska anordningar och system kan felsäkra procedurer skapas så att om en procedur inte utförs eller utförs felaktigt ingen farlig åtgärd uppstår. Till exempel:

  • Rymdfarkostbanan - Under tidiga Apollo- programuppdrag till månen sattes rymdfarkosten på en fri returbana - om motorerna hade misslyckats vid insättning av månens omloppsbana , skulle farkosten säkert ha seglat tillbaka till jorden.
  • Piloten på ett flygplan som landar på ett hangarfartyg ökar gasen till full effekt vid landning. Om stopptrådarna inte lyckas fånga flygplanet kan det lyfta igen; detta är ett exempel på felsäker praxis .
  • I järnvägssignaler måste signaler som inte används aktivt för ett tåg hållas i "farlig" position. Standardpositionen för varje kontrollerad absolut signal är därför "fara", och därför krävs en positiv åtgärd - att ställa in signaler till "clear" - innan ett tåg får passera. Denna praxis säkerställer också att, i händelse av ett fel i signaleringssystemet, en invalidiserad tågklarerare, eller ett oväntat inträde av ett tåg, att ett tåg aldrig kommer att visas en felaktig "klar" signal.
  • Järnvägsingenjörer instrueras att en järnvägssignal som visar en förvirrande, motsägelsefull eller obekant aspekt (till exempel en färgljussignal som har drabbats av ett elektriskt fel och inte visar något ljus alls) ska behandlas som att den visar "fara". På så sätt bidrar föraren till systemets felsäkerhet.

Annan terminologi

Felsäkra ( idiotsäkra ) enheter är också kända som poka-yoke- enheter. Poka-yoke , en japansk term, myntades av Shigeo Shingo , en kvalitetsexpert. "Safe to fail" hänvisar till anläggningskonstruktioner som Room for the River-projektet i Nederländerna och Thames Estuary 2100-plan som innehåller flexibla anpassningsstrategier eller klimatanpassning som tillhandahåller och begränsar skador om allvarliga händelser som 500 -år översvämningar inträffar.

Fail safe och fail safe

Fail-safe och fail-secure är distinkta begrepp. Felsäker innebär att en enhet inte kommer att äventyra liv eller egendom när den går sönder. Fail-secure, även kallat fail-closed, innebär att åtkomst eller data inte hamnar i fel händer vid ett säkerhetsfel. Ibland föreslår tillvägagångssätten motsatta lösningar. Till exempel, om en byggnad brinner, skulle felsäkra system låsa upp dörrar för att säkerställa snabb flykt och tillåta brandmän inuti, medan fail-secure skulle låsa dörrar för att förhindra obehörig åtkomst till byggnaden.

Motsatsen till fail-closed kallas fail-open .

Misslyckad aktiv drift

Fail active operational kan installeras på system som har en hög grad av redundans så att ett enstaka fel i någon del av systemet kan tolereras (fail active operational) och ett andra fel kan upptäckas – då kommer systemet att vända sig själv av (koppla från, misslyckas passiv). Ett sätt att åstadkomma detta är att ha tre identiska system installerade och en styrlogik som upptäcker avvikelser. Ett exempel på detta är många flygplanssystem, bland dem tröghetsnavigeringssystem och pitotrör .

Felsäker punkt

Under det kalla kriget var "failsafe point" termen som användes för point of no return för American Strategic Air Command kärnvapenbombplan, strax utanför det sovjetiska luftrummet. I händelse av att de mottog en attackorder, var bombplanen tvungna att dröja kvar vid felsäker punkt och vänta på en andra bekräftande order; tills en togs emot, skulle de inte beväpna sina bomber eller gå vidare. Konstruktionen var att förhindra att ett enda fel i det amerikanska kommandosystemet orsakade kärnvapenkrig. Denna betydelse av termen kom in i det amerikanska populära lexikonet med publiceringen av 1962 års roman Fail-Safe .

(Andra ledningssystem för kärnvapenkrig har använt det motsatta schemat, fail-deadly , som kräver kontinuerliga eller regelbundna bevis på att en fiendes första anfallsattack inte har inträffat för att förhindra lanseringen av ett kärnvapenangrepp.)

Se även

Hämtad från " https://en.wikipedia.org/w/index.php?title=Fail-safe&oldid=1136018307 "