شکست امن

در مهندسی ، شکست امن یک ویژگی یا روش طراحی است که در صورت بروز یک نوع علل شکست خاص، ذاتاً به گونه‌ای پاسخ می‌دهد که کمترین آسیب را به سایر تجهیزات، محیط زیست یا افراد وارد می‌کند. برخلاف ایمنی ذاتی برای یک خطر خاص، "ایمن بودن سیستم" به این معنی نیست که خرابی غیرممکن یا غیرمحتمل است، بلکه به این معنی است که طراحی سیستم از عواقب ناایمن خرابی سیستم جلوگیری می کند یا آن را کاهش می دهد. یعنی اگر زمانی که یک سیستم "شکست امن" از کار بیفتد، حداقل به همان اندازه سالم باقی می ماند که قبل از شکست وجود داشت. ^[۱] ^[۲] از آنجایی که بسیاری از انواع خرابی امکان پذیر است، آنالیز حالت و اثرات شکست برای بررسی حالت های خرابی و توصیه طراحی و روش های ایمنی استفاده می شود.

برخی از سیستم‌ها را هرگز نمی‌توان در برابر خرابی ایمن کرد، زیرا در دسترس بودن مداوم مورد نیاز است. افزونگی ، تاب‌آوری خطا ، یا برنامه احتیاطی برای این حالت ها استفاده می‌شود (مثلاً چندین موتور مستقل با کنترل و تغذیه سوخت).

مثال ها ویرایش

مکانیکی یا فیزیکی ویرایش

شیر کنترل کروی با محرک دیافراگم پنوماتیک. چنین دریچه ای را می توان طوری طراحی کرد که در صورت از بین رفتن هوای فعال، با استفاده از فشار فنر از کار بیفتد.

مثال ها عبارتند از:

درهای ضد حریق کرکره‌ای که توسط سیستم‌های هشدار ساختمان یا آشکارسازهای دود محلی فعال می‌شوند، باید بدون توجه به قدرت، به‌طور خودکار بسته شوند. در صورت قطع برق، درب ضد حریق سیم پیچی نیازی به بسته شدن ندارد، اما باید در صورت دریافت سیگنال از سیستم های هشدار ساختمان یا آشکارسازهای دود، قابلیت بسته شدن خودکار را داشته باشد.ممکن است از یک پیوند قابل ذوب حساس به دما برای باز نگه داشتن درهای آتش‌نشانی در برابر جاذبه یا فنر بسته‌کننده استفاده شود. در صورت آتش سوزی، پیوند ذوب می شود و درها را آزاد می کند و آنها بسته می شوند.
برخی از ارابه های بار فرودگاه نیاز دارند که فرد سوئیچ ترمز دستی یک سبد را همیشه نگه دارد. اگر سوئیچ ترمز دستی آزاد شود، ترمز فعال می شود و با فرض اینکه تمام قسمت های دیگر سیستم ترمز به درستی کار می کنند، گاری متوقف می شود. بنابراین، الزامات نگه داشتن ترمز دستی هم مطابق با اصول "ایمنی خرابی" عمل می کند و هم به خرابی ایمن سیستم کمک می کند (اما لزوماً تضمین نمی کند). این نمونه ای از کلید مرد مرده است.
چمن زن ها و برف خور ها دارای یک اهرم دستی هستند که باید همیشه پایین نگه داشته شود. اگر آزاد شود، چرخش تیغه یا چرخنده را متوقف می کند. این همچنین به عنوان کلید مرد مرده عمل می کند .
ترمزهای بادی در قطارهای راه آهن و ترمزهای هوایی در کامیون ها وجود دارند. ترمزها با فشار هوای ایجاد شده در سیستم ترمز در موقعیت خاموش نگه داشته می شوند. در مورد کامیون ها اگر خط ترمز شکافته شود، یا واگنی جدا شود، فشار هوا از بین می رود و ترمزها اعمال می شود، یا در قطارها توسط یک مخزن هوای داخلی اعمال می شود. رانندگی با کامیون با نشتی جدی در سیستم ترمز هوا غیرممکن است. (کامیون ها همچنین ممکن است از کلاه گیس برای نشان دادن فشار کم هوا استفاده کنند. )
درب های موتوری - در صورت قطع برق می توان دروازه را با دست و بدون نیاز به میل لنگ یا کلید باز کرد. با این حال، از آنجایی که عملاً به هر کسی اجازه می‌دهد از دروازه عبور کند، از طراحی خرابی ایمن استفاده می‌شود: در قطع برق، دروازه را فقط می‌توان با یک لنگ دستی باز کرد که معمولاً در یک منطقه امن یا زیر قفل و کلید قرار می‌گیرد. . هنگامی که چنین دروازه ای دسترسی وسایل نقلیه به خانه ها را فراهم می کند، از یک طرح ایمن استفاده می شود، جایی که در باز می شود تا امکان دسترسی آتش نشانی فراهم شود.
شیرهای ایمنی - دستگاه‌های مختلفی هستند که با سیالات کار می‌کنند از فیوزها یا شیرهای ایمنی به عنوان مکانیزم‌های شکست امن استفاده می‌کنند.

سیگنال های سمافور راه آهن "توقف" یا "احتیاط" یک بازوی افقی است، "تخلیه برای ادامه" 45 درجه به سمت بالا است، بنابراین خرابی کابل محرک بازوی سیگنال را تحت فشار جاذبه آزاد می کند.

یک سیگنال سمافور راه‌آهن به‌طور ویژه طراحی شده است که در صورت شکسته شدن کابل کنترل کننده سیگنال، بازو به موقعیت "خطر" باز می‌گردد و سیگنال غیرفعال از عبور قطار جلوگیری می‌کند.
سوپاپ های ایزوله سازی و شیرهای کنترلی که به عنوان مثال در سیستم‌های حاوی مواد خطرناک استفاده می‌شوند، می‌توانند به گونه‌ای طراحی شوند که در صورت از دست دادن نیرو، به عنوان مثال با نیروی فنر، بسته شوند. این به عنوان شکست بسته شده در صورت از دست دادن قدرت شناخته می شود.
یک آسانسور دارای ترمزهایی است که از لنت ترمز، توسط کشش کابل آسانسور جلوگیری می کند. اگر کابل پاره شود، کشش از بین می‌رود و ترمزها روی ریل‌های شفت می‌چسبند تا کابین آسانسور سقوط نکند.
تهویه مطبوع خودرو – کنترل های یخ زدایی برای عملکرد دمپر دیورتر و برای همه عملکردها به جز یخ زدایی نیاز به خلاء دارند. اگر خلاء از کار بیفتد، یخ زدایی همچنان در دسترس است.

برقی یا الکترونیکی ویرایش

مثال ها عبارتند از:

بسیاری از دستگاه ها توسط فیوزها ، مدارشکن های قدرت یا مدارهای محدود کننده جریان از اتصال کوتاه محافظت می شوند. قطع برق در شرایط اضافه بار از آسیب یا تخریب سیم کشی یا دستگاه های مدار به دلیل گرمای بیش از حد جلوگیری می کند.
اویونیک با استفاده از افزونگی برای انجام محاسبات مشابه از افزونگی ماجولار سه‌گانه استفاده می کند. نتایج متفاوت نشان دهنده یک نقص در سیستم است.
کنترل های درایو به سیم و هدایت پرواز برقی مانند سنسور موقعیت شتاب‌دهنده معمولاً دارای دو پتانسیومتر هستند که در جهت مخالف خوانده می‌شوند، به طوری که حرکت کنترل باعث می‌شود که یکی بالاتر و دیگری معمولاً به همان اندازه پایین‌تر شود. عدم تطابق بین دو قرائت نشان دهنده ایراد در سیستم است و واحد فرمان موتور اغلب می تواند استنباط کند که کدام یک از دو قرائت معیوب است. ^[۳]
کنترل کننده های چراغ راهنمایی به جای نمایش سیگنال های متعارض بالقوه خطرناک، مثلاً نشان دادن سبز در همه جهات، از یک واحد نظارت بر تضاد برای شناسایی خطاها یا سیگنال‌های متضاد استفاده می‌کنند و یک تقاطع را به سیگنال خطای تمام چشمک‌زن تغییر می‌دهند. ^[۴]
حفاظت خودکار از برنامه‌ها یا سیستم‌های پردازشی در هنگام شناسایی خرابی سخت‌افزار رایانه یا نرم‌افزار رایانه در یک سیستم رایانه ای. یک مثال کلاسیک تایمر سگ نگهباناست . شکست امن (رایانه) را ببینید.
عملیات کنترل یا عملکرد کنترلی که از عملکرد نامناسب سیستم یا شکست فاجعه بار در صورت نقص مدار الکترونیکی یا خطای اپراتور جلوگیری می کند. به عنوان مثال، مدار مسیر ایمن که برای کنترل سیگنال های بلوک راه آهناستفاده می شود. این واقعیت که یک کهربای چشمک‌زن در بسیاری از خطوط راه‌آهن نسبت به کهربای جامد راحت‌تر است، نشانه‌ای از خرابی است، زیرا رله، در صورت کار نکردن، به تنظیمات محدودتری برمی‌گردد.
بالاست گلوله آهن روی بثی‌سکف رها می شود تا زیردریایی بتواند به سمت بالا حرکت کند. بالاست توسط آهنرباهای الکتریکی در جای خود نگه داشته می شود. اگر برق قطع شود، بالاست آزاد می شود و زیردریایی سپس به محل امن صعود می کند.
بسیاری از طرح های واکنشگاه های هسته‌ای دارای میله‌های کنترل جذب نوترون هستند که توسط آهن‌رباهای الکتریکی معلق هستند. اگر قدرت قطع شود، تحت گرانش به درون هسته می‌افتند و با جذب نوترون‌های مورد نیاز برای ادامه شکافت، واکنش زنجیره‌ای را در چند ثانیه متوقف می‌کنند.
در خودکارسازی صنعتی، مدارهای دزدگیر معمولاً " معمولاً بسته " هستند. این تضمین می کند که در صورت قطع شدن سیم، زنگ هشدار فعال می شود. اگر مدار به طور معمول باز بود، خرابی سیم تشخیص داده نمی‌شد و سیگنال‌های هشدار واقعی را مسدود می‌کرد.
معمولاً می‌توان سنسورهای آنالوگ و محرک‌های مدوله‌کننده را نصب کرد و سیم‌کشی کرد که خرابی مدار منجر به خواندن خارج از محدوده شود - به حلقه فعلی مراجعه کنید. به عنوان مثال، یک پتانسیومتری که موقعیت پدال را نشان می دهد ممکن است فقط از 20٪ تا 80٪ از محدوده کامل خود حرکت کند، به طوری که قطع یا کوتاه شدن کابل منجر به خواندن 0٪ یا 100٪ شود.
در سیستم های کنترل، سیگنال های بسیار مهم را می توان توسط یک جفت سیم مکمل (<سیگنال> و <بدون سیگنال>) حمل کرد. فقط حالت هایی که دو سیگنال مخالف هستند (یکی زیاد و دیگری کم) معتبر هستند. اگر هر دو بالا یا پایین باشند، سیستم کنترل می‌داند که مشکلی در سنسور یا سیم‌کشی اتصال وجود دارد. حالت‌های خرابی ساده (سنسور مرده، سیم‌های قطع یا قطع شده) به این ترتیب شناسایی می‌شوند. یک مثال می تواند یک سیستم کنترلی باشد که هر دو کلید (مدار) معمولاً باز (NO) و کلید (مدار) معمولاً بسته (NC) یک کلید (مدار) انتخابگر SPDTرا در برابر مشترک می خواند و قبل از واکنش به ورودی آنها را از نظر انسجام بررسی می کند.
در سیستم‌های کنترل تهویه مطبوع ، عملگر های مکانیکی که دمپرها و شیرها را کنترل می‌کنند، ممکن است برای جلوگیری از یخ زدن کویل‌ها یا گرم شدن بیش از حد اتاق‌ها، ایمن باشند. محرک‌های پنوماتیکی قدیمی‌تر ذاتاً در برابر خرابی ایمن بودند، زیرا اگر فشار هوا در مقابل دیافراگم داخلی از کار بیفتد، فنر تعبیه‌شده محرک را به موقعیت اصلی خود می‌برد – البته موقعیت خانه باید موقعیت «امن» باشد. محرک‌های الکتریکی و الکترونیکی جدیدتر به اجزای اضافی (فنجره‌ها یا خازن‌ها) نیاز دارند تا به‌طور خودکار محرک را در صورت از دست دادن توان الکتریکی به موقعیت اصلی هدایت کنند. ^[۵]
کنترل گرهای منطقی برنامه پذیر (PLC). برای ایجاد یک PLC ایمن در برابر خرابی، سیستم برای متوقف کردن درایوهای مرتبط نیازی به انرژی ندارد. به عنوان مثال، معمولاً توقف اضطراری یک تماس معمولاً بسته است. در صورت قطع برق، برق مستقیماً از سیم پیچ و همچنین ورودی PLC حذف می شود. از این رو، یک سیستم شکست امن است.
اگر یک تنظیم کننده ولتاژ خراب شود، می تواند تجهیزات متصل را از بین ببرد. یک اهرم (مدار) با اتصال کوتاه منبع تغذیه به محض تشخیص اضافه ولتاژ از آسیب جلوگیری می کند.

ایمنی رویه ای ویرایش

یک هواپیما پس سوز خود را روشن می کند تا در هنگام فرود متوقف شده روی یک ناو هواپیمابر ، قدرت کامل خود را حفظ کند. اگر فرود متوقف شده با شکست مواجه شود، هواپیما می تواند با خیال راحت دوباره بلند شود.

همچنین دستگاه‌ها و سیستم‌های فیزیکی می‌توانند رویه‌های بی‌خطر ایجاد کنند تا در صورت انجام نشدن یا انجام نادرست رویه، هیچ اقدام خطرناکی حاصل نشود. مثلا:

مسیر فضاپیما - در طی ماموریت های اولیه برنامه فضایی آپولو به ماه، فضاپیما در مسیر بازگشت آزاد قرار گرفت.- اگر موتورها در قرار گرفتن در مدار ماه از کار می افتادند، سفینه با خیال راحت به زمین باز می گشت.
خلبان هواپیمایی که بر روی یک ناو هواپیمابر فرود می آید، در هنگام تاچ داون، دریچه گاز را به قدرت کامل افزایش می دهد. اگر سیم های مهار کننده نتوانند هواپیما را بگیرند، می تواند دوباره بلند شود. این نمونه ای از تمرین شکست امن است. ^[۶]
در سیگنال‌دهی راه‌آهن، سیگنال‌هایی که برای قطار مورد استفاده فعال نیستند، باید در موقعیت «خطر» قرار گیرند. موقعیت پیش فرض هر سیگنال مطلق کنترل شده "خطر" است و بنابراین یک اقدام مثبت است - تنظیم سیگنال ها برای "تخلیه" - قبل از عبور قطار لازم است. این عمل همچنین تضمین می کند که در صورت نقص در سیستم سیگنال دهی، سیگنال دهنده ناتوان، یا ورود غیرمنتظره قطار، هرگز سیگنال "واضح" اشتباه به قطار نشان داده نخواهد شد.
به مهندسان راه‌آهن دستور داده می‌شود که سیگنال راه‌آهنی که جنبه گیج‌کننده، متناقض یا ناآشنا را نشان می‌دهد (مثلاً یک سیگنال نور رنگی که دچار خرابی الکتریکی شده است و اصلاً نوری را نشان نمی‌دهد) باید به‌عنوان «خطر» تلقی شود. به این ترتیب راننده به شکست ایمنی سیستم کمک می کند.

اصطلاحات دیگر ویرایش

دستگاه های شکست امن (ضدخطا ) به عنوان دستگاه های پوکا یوکه نیز شناخته می شود. پوکا یوکه ، یک اصطلاح زبان ژاپنی ، توسط شینگئو شینگو ، یک متخصص کیفیت ابداع شد. ^[۷] ^[۸] "ایمن برای شکست" به طرح های مهندسی عمران مانند پروژه اتاق برای رودخانه در هلند و طرح رودخانه تیمز 2100 ^[۹] ^[۱۰] که استراتژی های سازگاری انعطاف پذیر یا سازگاری با تغییرات اقلیم را در بر می گیرد که آسیب را فراهم می کند و آن را محدود می کند. اگر حوادث شدیدی مانند سیل های 500 ساله رخ دهد. ^[۱۱]

شکست امن و شکست امنیت ویرایش

شکست و شکست امنیت مفاهیم متمایز هستند. شکست امن به این معنی است که یک دستگاه در صورت از کار افتادن جان یا دارایی خود را به خطر نمی اندازد. شکست امنیت، همچنین شکست بسته نامیده می‌شود، به این معنی که دسترسی یا داده‌ها در یک نقص امنیتی به دست اشتباه نمی‌افتد. گاهی اوقات رویکردها راه حل های متضادی را پیشنهاد می کنند. به عنوان مثال، اگر ساختمانی آتش بگیرد، سیستم‌های شکست امن برای اطمینان از فرار سریع قفل درها را باز می‌کنند و به آتش‌نشانان اجازه می‌دهند داخل شوند، در حالی که شکست امنیت درها را برای جلوگیری از دسترسی غیرمجاز به ساختمان قفل می‌کند.

نقطه مقابل شکست بسته، شکست باز نامیده می شود.

شکست فعال عملکردی ویرایش

شکست فعال عملکرد را می‌توان بر روی سیستم‌هایی نصب کرد که دارای درجه افزونگی بالایی هستند، به طوری که می‌توان یک شکست واحد از هر قسمت از سیستم را تحمل کرد (شکست فعال عملکردی) و می‌توان خرابی دوم را تشخیص داد - در این مرحله سیستم خودش را تغییر می‌دهد. خاموش (جدا کردن، شکست منفعل). یکی از راه های انجام این کار نصب سه سیستم یکسان و یک منطق کنترل است که مغایرت ها را تشخیص می دهد. نمونه ای برای این امر بسیاری از سیستم های هواپیما، از جمله سیستم های ناوبری اینرسی و لوله های پیتوت هستند .

نقطه شکست امن ویرایش

در طول جنگ سرد ، "نقطه شکست امن" اصطلاحی بود که برای بمب افکن های هسته ای فرماندهی استراتژیک هوایی آمریکا ، درست خارج از حریم هوایی شوروی، بدون بازگشت استفاده می‌شد. در صورت دریافت دستور حمله، بمب افکن ها موظف بودند در نقطه ایمن مانده و منتظر دستور تایید دوم بمانند. تا زمانی که یکی از آنها دریافت نشد، آنها بمب های خود را مسلح نمی کردند یا ادامه نمی دادند. ^[۱۲] طرح این بود که از هر گونه شکست واحد فرماندهی آمریکا که باعث جنگ هسته ای شود جلوگیری کند.این مفهوم از واژه با انتشار رمان Fail-Safe در سال 1962 وارد فرهنگ لغت عمومی آمریکایی شد.

(دیگر سیستم های کنترل فرمان جنگ هسته ای طرح در مقابل استفاده می شود، شکست کشنده ، که نیاز به اثبات مداوم یا منظم که یک دشمن حمله اولین ضربه رخ داده است برای جلوگیری از راه اندازی یک حمله هسته ای. )

همچنین ببینید ویرایش

شکست سریع
نظریه کنترل
کلید مرد مرده
RS-485
تنزل زیبا
شکست بدی
شکست کشنده
تاب‌آوری خطا
IEC 61508
اینترلاک
طراحی عمر ایمن
مهندسی ایمنی

منابع ویرایش

↑ "Fail-safe". AudioEnglich.net. Accessed 2009.12.31
↑ e.g., David B. Rutherford Jr., What Do You Mean It\'s Fail Safe? . 1990 Rapid Transit Conference
↑ "P2138 DTC Throttle/Pedal Pos Sensor/Switch D / E Voltage Correlation". www.obd-codes.com.
↑ Manual on Uniform Traffic Control Devices, Federal Highway Administration, 2003
↑ "When Failure Is Not an Option: The Evolution of Fail-Safe Actuators". KMC Controls. Retrieved 12 April 2021.
↑ Harris, Tom. "How Aircraft Carriers Work". HowStuffWorks, Inc. Retrieved 2007-10-20.
↑ Shingo, Shigeo; Andrew P. Dillon (1989). A study of the Toyota production system from an industrial engineering viewpoint. Portland, Oregon: Productivity Press. p. 22. شابک ‎۰−۹۱۵۲۹۹−۱۷−۸. اُسی‌ال‌سی ۱۹۷۴۰۳۴۹
↑ John R. Grout, Brian T. Downs. "A Brief Tutorial on Mistake-proofing, Poka-Yoke, and ZQC", MistakeProofing.com بایگانی‌شده در ۱۹ مارس ۲۰۱۶ توسط Wayback Machine
↑ "Thames Estuary 2100 Plan" (PDF). UK Environment Agency. November 2012. Archived from the original (PDF) on 2012-12-10. Retrieved March 20, 2013.
↑ "Thames Estuary 2100 (TE2100)". UK Environment Agency. Retrieved March 20, 2013.
↑ Jennifer Weeks (March 20, 2013). "Adaptation expert Paul Kirshen proposes a new paradigm for civil engineers: 'safe to fail,' not 'fail safe'". The Daily Climate. Archived from the original on May 13, 2013. Retrieved March 20, 2013.
↑ "fail-safe". Dictionary.com. Retrieved November 7, 2021.

[1] "Fail-safe". AudioEnglich.net. Accessed 2009.12.31

[2] e.g., David B. Rutherford Jr., What Do You Mean It\'s Fail Safe? . 1990 Rapid Transit Conference

[3] "P2138 DTC Throttle/Pedal Pos Sensor/Switch D / E Voltage Correlation". www.obd-codes.com.

[4] Manual on Uniform Traffic Control Devices, Federal Highway Administration, 2003

[5] "When Failure Is Not an Option: The Evolution of Fail-Safe Actuators". KMC Controls. Retrieved 12 April 2021.

[6] Harris, Tom. "How Aircraft Carriers Work". HowStuffWorks, Inc. Retrieved 2007-10-20.

[7] Shingo, Shigeo; Andrew P. Dillon (1989). A study of the Toyota production system from an industrial engineering viewpoint. Portland, Oregon: Productivity Press. p. 22. شابک ‎۰−۹۱۵۲۹۹−۱۷−۸. اُسی‌ال‌سی ۱۹۷۴۰۳۴۹

[8] John R. Grout, Brian T. Downs. "A Brief Tutorial on Mistake-proofing, Poka-Yoke, and ZQC", MistakeProofing.com بایگانی‌شده در ۱۹ مارس ۲۰۱۶ توسط Wayback Machine

[TE2100-9] "Thames Estuary 2100 Plan" (PDF). UK Environment Agency. November 2012. Archived from the original (PDF) on 2012-12-10. Retrieved March 20, 2013.

[TE21-10] "Thames Estuary 2100 (TE2100)". UK Environment Agency. Retrieved March 20, 2013.

[TDC032013-11] Jennifer Weeks (March 20, 2013). "Adaptation expert Paul Kirshen proposes a new paradigm for civil engineers: 'safe to fail,' not 'fail safe'". The Daily Climate. Archived from the original on May 13, 2013. Retrieved March 20, 2013.

[12] "fail-safe". Dictionary.com. Retrieved November 7, 2021.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]

[۱۱]

[۱۲]