失效安全
失效安全(fail-safe)[1][2]也称为故障保险[3]、失效导向安全,是指一个设备或是实务,即使有特定失效下,也不会造成对人员或其他设备的伤害(或者将伤害最小化),失效安全是安全系统的一部份。
fail-secure的中文也是失效安全,但和fail-safe的概念略有不同。fail-safe是指设备失效时不会造成对人员或其他设备的威胁,fail-secure是指设备失效时不会将资料或是存取权落入坏人之手。有时fail-secure和fail-safe的实作结果会完全不同。例如大楼失火,fail-safe系统会自动开锁,让人员可以快速逃出,消防人员可以尽快进入,但fail-secure系统会自动上锁,避免没授权的人员进入建筑物。
失效安全的系统不表示系统不会失效或是不可能失效,失效安全的系统是指系统的设计在其失效时避免或减轻其不安全的结果。因此失效安全系统在失效时,会和正常运作的系统一样安全,或者只是略为不安全[4][5]。
系统可能出现许多种类的失效,因此针对失效安全,需标示系统针对哪一种失效有失效安全的设计。例如一系统可能在电源问题上有失效安全,但针对机械性的失效没有失效安全特性。
举例
机械/物理的失效安全
例子包括:
- 当飞机要在航空母舰上降落时,会增加油门到全速的状态。若航空母舰上的停止索装置没有使飞机停下,飞机可以重新起飞之后再降落,这就是“失效安全实务”的一个例子[6]。
- 一些依大楼警报系统或是烟雾侦测器控制的防火门,若是电源有问题,不论电源是否存在,防火门仍需关闭。因此防火门本身会有一个易熔线使防火门开启,在此信号不存在时,防火门会因本身的重量或是弹簧而关闭,一旦失火,易熔线熔断,此信号消失,防火门关闭。但在失火时,也可以在有信号时关闭。此设计无论有没有需要信号,在有火灾时都能关闭。
- 有些机场的行李推车需要用手握住把手且推动推车,推车才会前进,若放开把手,推车的刹车会动作,若刹车系统正常的话,推车会停下。推车的把手是类似驾驶失知制动装置一様,需持续出力才会动作的系统。
- 除草机及清雪机都有一个把手,持续施力才会动作。若一放开,除草机或清雪机就会停止动作,这也是类似驾驶失知制动装置一様,需持续出力才会动作的系统。
- 有关火车上用的空气制动及卡车上用的空气制动,平常会靠刹车系统产生的气压使刹车维持在不动作的状态。若刹车线脱落,或是车厢和列车分离,气压会消失,因此刹车会动作。因此无法在空气刹车系统严重漏气的情形下驾驶火车或是卡车(不过卡车在空气刹车系统气压略为不足时,会有摇摆标志的信号告知)。
- 机械化闸门:若电力异常时,此闸门可以徒手开启,不需开门器或是锁匙。不过这也代表此一情形下,任何人都可以通过此一闸门,若要避免此一情形,fail-secure的设计方式是电力异常时,闸门需锁匙才能打开,或者闸门需用把手才能打开,而把手位在较安全的一侧。不过若车辆需通过此一闸门才能进到家中,会用fail-safe的设计,电力异常时,闸门打开,让消防员可以进来灭火或救人。
- 在计划登陆月球的阿波罗计划中,宇宙飞船是位在自由返回轨道上,若引擎失效,无法进入绕月轨道,也可以安全的回到地球。
- 许多用流体运作的设备都有液压保险器或是安全阀作为失效安全机制。
- 火车的臂板信号机设计理念是若信号线路损坏,臂板会回到“危险”的位置,避免火车因不正确的信号进入此区域,造成伤亡。
- 潜水表中用来测量潜水时间的旋转框有一棘轮,只能逆时针旋转。若潜水人员无意的转到旋转框,会使潜水表显示的已潜水时间加长[7],避免潜水者因低估减压的急迫性,而造成减压症。
- 一些用在有危险物质系统中的隔离阀,会设计成在没有电源时,可以靠弹簧之类的机构自动关闭,这称为“断电时失效关闭”(fail-closed upon loss of power)的机能。
- 电梯的刹车一般连接到电梯钢缆的张力检测器。若钢缆断裂,张力消失,会启动刹车使电梯停止。
- 汽车暖气-空调-除霜控制系统中,除了除霜以外的机能都要用到分流挡板,因此需要真空设备,若真空设备失效,除了除霜以下的其他机能都无效,但除霜仍有效。
电子/电机的失效安全
- 许多电气设备都会用保险丝、断路器或其他限流来避免设备短路。在过载时这些保护电路会断路,避免配线或是电气设备因过载而损坏。
- 在航空电子中会使用冗馀系统进行三重模块冗余,若有二个模块有相同的输出才将此输出视为系统输出,甚至只要其中有一个结果和其他的不同,即视为系统异常[8]。
- 像加速踏板位置传感器等汽车电传操作(drive-by-wire)及飞机电传操作(fly-by-wire)的设备,一般会有二个电位计以不同的方向读取资料,让调整控制后一个电位计的值会变大,另一个电位计的值会变小。若二个读值之间不协调(两者同时变大或是同时变小)表示系统有异常,需由发动机控制器决定哪一个读值是错误的[9]。
- 交通号志控制器中有“冲突监控装置”(Conflict Monitor Unit)可以监控故障或是不一致的信号,若此情形下将灯号切换到全部闪烁的状态,而不是显示一个有潜在危险的不一致信号状态(例如十字路口的各方向都是绿灯)[10]。
- 电脑系统中的程式或是处理系统有侦测硬件或软件部份失效条件(例如意外的进入无穷回圈)的机能,例如看门狗计时器即为典型的例子。参见容错计算机系统。
- 有些控制动作或是机能可以避免当电路异常或是操作不当时,系统的异常动作或是灾难性失效,例如失效安全的轨道电路用来控制铁路号志。例如在火车号志上,闪烁的琥珀色灯号本身有失效安全的机能,比恒亮的琥珀色灯号更好。
- 深海潜水器若要上升,其铁球团镇流器会掉落,铁球是由电磁铁固定,因此潜水器若没有电力,电磁铁没有磁力,铁球会掉落,使潜水器安全上升。
- 现代的CPU有避免因过热而损坏的机能,若冷却风扇故障,CPU会在温度到达一临界值后停止工作,以避免元件损坏。
- 许多核反应炉会有用电磁铁固定的中子吸收棒。若没有电源,中子吸收棒会因重量掉到核反应炉的炉心,在几秒内吸收核分裂需要的中子,停止核分裂的连锁反应。
- 在自动化技术中,警告电路一般会是常闭接点(normally closed),正常情形下是通路,开路时表示有警告讯号。若是警告电路异常断路,也会触发警告讯号。若用常开接点的开关(normally open),正常情形是开路,若警告电路异常断路时,也会是开路,无法提醒使用者。
- 类比侦测器的装置及配线会经过考量,使得电路异常下的读数不在正常读值的范围内,例如一个读位置的电位器,其正常数值的范围可能只落在20%至80%的区域,因此若是断线或是短路,会读到0%及100%,都不是正常读值的范围,方便检测异常。
- 在控制系统中,特别重要的信号都会用一对互补的信号来传输(<signal>及<not_signal>),只有二个信号是反向时(一个是高电位,另一个是低电位)才会有效。若二个信号同为高电位或同为低电位,可能表示接线或是感测器有问题,因此可以检测一些简单的失效模式(例如感测器损坏或是未接线)。像控制系统可以同时量测SPDT(单刀双掷)开关的常闭(NC)接点及常开(NO)接点,检测其信号是否一高电位,一低电位,再进行后续的处理。
- 在HVAC控制系统中,控制风门及阀的致动器可以有失效安全机能,以避免房间过热或是蒸发器蛇形管冻结。早期的气动致动器在其本质上是失效安全的,因为若气压失效,内建的弹簧会将致动器回到原点,而致动器的原点自然也是安全的位置。新的电子式或是电气式致动器需要额外的元件(例如弹簧或是电容器),让没有电源时,致动器会自动回到原点[11]。
- 可程式控制器若要做到失效安全,只要保持在不提供能量时可以停止相关驱动器即可。一般紧急停止是常闭接点(normally closed),若电源中断,会移除激磁线圈及PLC输入信号都会没有电,即为紧急停止的情形,因此为失效安全的系统。
- 若稳压器失效,产生的电压过高,可能会伤害相关的电路,撬棍电路可以在侦测到过电压时,让稳压器的电压输出端对地短路或是短阻抗,避免伤害相关的电路。
程序的失效安全
如同实体的设备一様,程序上也可以有失效安全的机制,因此若一个程序没有执行或程序被错误执行,不会有危险的效果。
例子包括:
- 在火车号志中,未使用的号志需指向“危险”位置。所有号志的预设位置是“危险”,因此需要额外的清除信号才会使号志由“危险”变为“安全”,而火车在号志显示“安全”时才能进入。这也确保若号码系统有问题、信号手经验不足,未预期火车异常进入的情形下,火车号志不会异常的出现“安全”。
- 火车驾驶也接受训练,若看到令人困惑、矛盾或是不熟悉的号志(例如电力有问题,火车号志的灯号全灭),此情形需视为“危险”,因此火车驾驶也是失效安全系统中的一部份。
其他词语
失效安全的设备有时也会称为“防呆”(ポカヨケ)设备,此一词语是由日本的品质学者新乡重夫所创[12][13]。安全的失败(Safe to fail)是指像还地于河或是Thames Estuary 2100等,以像五百年发生一次的洪水之类的的严重事件为准,来灵活应对气候变化,或者 减少其产生的损害[14]。
参考资料
- ^ Wragg, David W. A Dictionary of Aviation first. Osprey. 1973: 127. ISBN 9780850451634.
- ^ 預防失效、故障容許. [2020-10-06]. (原始内容存档于2018-11-13).
- ^ 故障保險 fail-safety. [2017-01-26]. (原始内容存档于2017-02-02).
- ^ "Fail-safe (页面存档备份,存于互联网档案馆)". AudioEnglich.net. Accessed 2009.12.31
- ^ e.g., David B. Rutherford, Jr., "What Do You Mean — It's Fail-Safe?": Evaluating Fail-Safety in Processor-Based Vital Control Systems (页面存档备份,存于互联网档案馆). 1990 Rapid Transit Conference
- ^ Harris, Tom. How Aircraft Carriers Work. HowStuffWorks, Inc. [2007-10-20]. (原始内容存档于2007-11-01).
- ^ What is a Unidirectional Rotating Bezel. [9 May 2013]. (原始内容存档于2012年11月28日).
- ^ Bornschlegl, Susanne. Ready for SIL 4: Modular Computers for Safety-Critical Mobile Applications. MEN Mikro Elektronik. 2012 [2015-09-21]. (原始内容 (pdf)存档于2019-06-09).
- ^ 存档副本. [2016-06-21]. (原始内容存档于2016-06-30).
- ^ Manual on Uniform Traffic Control Devices, Federal Highway Administration, 2003
- ^ When Failure Is Not an Option: The Evolution of Fail-Safe Actuators. KMC Controls. [30 October 2015]. (原始内容存档于2016年7月1日).
- ^ Shingo, Shigeo; Andrew P. Dillon (1989). A study of the Toyota production system from an industrial engineering viewpoint. Portland, Oregon: Productivity Press. p. 22. ISBN 0-915299-17-8. OCLC 19740349
- ^ John R. Grout, Brian T. Downs. "A Brief Tutorial on Mistake-proofing, Poka-Yoke, and ZQC", MistakeProofing.com (页面存档备份,存于互联网档案馆)
- ^ Jennifer Weeks. Adaptation expert Paul Kirshen proposes a new paradigm for civil engineers: 'safe to fail,' not 'fail safe'. The Daily Climate. March 20, 2013 [March 20, 2013]. (原始内容存档于2013年5月13日).