失效安全

失效安全(fail-safe)[1][2]也稱為故障保險[3]失效導向安全,是指一個裝置或是實務,即使有特定失效下,也不會造成對人員或其他裝置的傷害(或者將傷害最小化),失效安全是安全系統的一部份。

fail-secure的中文也是失效安全,但和fail-safe的概念略有不同。fail-safe是指裝置失效時不會造成對人員或其他裝置的威脅,fail-secure是指裝置失效時不會將資料或是存取權落入壞人之手。有時fail-secure和fail-safe的實作結果會完全不同。例如大樓失火,fail-safe系統會自動開鎖,讓人員可以快速逃出,消防人員可以儘快進入,但fail-secure系統會自動上鎖,避免沒授權的人員進入建築物。

失效安全的系統不表示系統不會失效或是不可能失效,失效安全的系統是指系統的設計在其失效時避免或減輕其不安全的結果。因此失效安全系統在失效時,會和正常運作的系統一樣安全,或者只是略為不安全[4][5]

系統可能出現許多種類的失效,因此針對失效安全,需標示系統針對哪一種失效有失效安全的設計。例如一系統可能在電源問題上有失效安全,但針對機械性的失效沒有失效安全特性。

舉例

機械/物理的失效安全

例子包括:

 
飛機在航空母艦上降落時會啟動後燃器,若航空母艦上的停止索裝置英語arresting wire失效,飛機可以安全地重新起飛
  • 當飛機要在航空母艦上降落時,會增加油門到全速的狀態。若航空母艦上的停止索裝置英語arresting wire沒有使飛機停下,飛機可以重新起飛之後再降落,這就是「失效安全實務」的一個例子[6]
  • 一些依大樓警報系統或是煙霧偵測器控制的防火門,若是電源有問題,不論電源是否存在,防火門仍需關閉。因此防火門本身會有一個熔斷線英語fusible link使防火門開啟,在此訊號不存在時,防火門會因本身的重量或是彈簧而關閉,一旦失火,熔斷線熔斷,此訊號消失,防火門關閉。但在失火時,也可以在有訊號時關閉。此設計無論有沒有需要訊號,在有火災時都能關閉。
  • 有些機場行李推車英語Baggage cart需要用手握住把手且推動推車,推車才會前進,若放開把手,推車的剎車會動作,若剎車系統正常的話,推車會停下。推車的把手是類似駕駛失知制動裝置一様,需持續出力才會動作的系統。
  • 除草機清雪機英語snow blower都有一個把手,持續施力才會動作。若一放開,除草機或清雪機就會停止動作,這也是類似駕駛失知制動裝置一様,需持續出力才會動作的系統。
  • 有關火車上用的空氣制動卡車上用的空氣制動英語Air brake (road vehicle),平常會靠剎車系統產生的氣壓使剎車維持在不動作的狀態。若剎車線脫落,或是車廂和列車分離,氣壓會消失,因此剎車會動作。因此無法在空氣剎車系統嚴重漏氣的情形下駕駛火車或是卡車(不過卡車在空氣剎車系統氣壓略為不足時,會有搖擺標誌英語Wig wag (truck braking systems)的訊號告知)。
  • 機械化閘門:若電力異常時,此閘門可以徒手開啟,不需開門器或是鎖匙。不過這也代表此一情形下,任何人都可以通過此一閘門,若要避免此一情形,fail-secure的設計方式是電力異常時,閘門需鎖匙才能打開,或者閘門需用把手才能打開,而把手位在較安全的一側。不過若車輛需通過此一閘門才能進到家中,會用fail-safe的設計,電力異常時,閘門打開,讓消防員可以進來滅火或救人。
  • 在計劃登陸月球的阿波羅計劃中,宇宙飛船是位在自由返回軌道英語free return trajectory上,若引擎失效,無法進入繞月軌道,也可以安全的回到地球。
  • 許多用流體運作的裝置都有液壓保險器或是安全閥英語safety valves作為失效安全機制。
  • 火車臂木式號誌機設計理念是若訊號線路損壞,臂木會回到「危險」的位置,避免火車因不正確的訊號進入此區域,造成傷亡。
  • 潛水錶中用來測量潛水時間的旋轉框有一棘輪,只能逆時針旋轉。若潛水人員無意的轉到旋轉框,會使潛水錶顯示的已潛水時間加長[7],避免潛水者因低估減壓英語decompression (diving)的急迫性,而造成減壓症
  • 一些用在有危險物質系統中的隔離閥英語Isolation valve,會設計成在沒有電源時,可以靠彈簧之類的機構自動關閉,這稱為「斷電時失效關閉」(fail-closed upon loss of power)的機能。
  • 升降機的剎車一般連接到升降機鋼纜的張力檢測器。若鋼纜斷裂,張力消失,會啟動剎車使升降機停止。
  • 汽車暖氣-空調-除霜控制系統中,除了除霜以外的機能都要用到分流擋板,因此需要真空裝置,若真空裝置失效,除了除霜以下的其他機能都無效,但除霜仍有效。

電子/電機的失效安全

  • 許多電氣裝置都會用保險絲斷路器或其他限流來避免裝置短路。在過載時這些保護電路會斷路,避免配線或是電氣裝置因過載而損壞。
  • 航空電子中會使用冗餘系統進行三重模組冗餘,若有二個模組有相同的輸出才將此輸出視為系統輸出,甚至只要其中有一個結果和其他的不同,即視為系統異常[8]
  • 像加速踏板位置感測器等汽車電傳操作英語drive-by-wire(drive-by-wire)及飛機電傳操作(fly-by-wire)的裝置,一般會有二個電位計以不同的方向讀取資料,讓調整控制後一個電位計的值會變大,另一個電位計的值會變小。若二個讀值之間不協調(兩者同時變大或是同時變小)表示系統有異常,需由引擎控制器決定哪一個讀值是錯誤的[9]
  • 交通燈控制器中有「衝突監控裝置」(Conflict Monitor Unit)可以監控故障或是不一致的訊號,若此情形下將燈號切換到全部閃爍的狀態,而不是顯示一個有潛在危險的不一致訊號狀態(例如十字路口的各方向都是綠燈)[10]
  • 電腦系統中的程式或是處理系統有偵測硬件軟件部份失效條件(例如意外的進入無窮迴圈)的機能,例如看門狗計時器即為典型的例子。參見容錯電腦系統
  • 有些控制動作或是機能可以避免當電路異常或是操作不當時,系統的異常動作或是災難性失效英語catastrophic failure,例如失效安全的軌道電路用來控制鐵路訊號。例如在火車訊號上,閃爍的琥珀色燈號本身有失效安全的機能,比恆亮的琥珀色燈號更好。
  • 深海潛水器英語Bathyscaphe若要上昇,其鐵球團鎮流器會掉落,鐵球是由電磁鐵固定,因此潛水器若沒有電力,電磁鐵沒有磁力,鐵球會掉落,使潛水器安全上昇。
  • 現代的CPU有避免因過熱而損壞的機能,若冷卻風扇故障,CPU會在溫度到達一臨界值後停止工作,以避免元件損壞。
  • 許多核反應堆會有用電磁鐵固定的中子吸收棒。若沒有電源,中子吸收棒會因重量掉到核反應堆的爐心,在幾秒內吸收核分裂需要的中子,停止核分裂的連鎖反應。
  • 自動化技術中,警告電路一般會是常閉接點(normally closed),正常情形下是通路,開路時表示有警告訊號。若是警告電路異常斷路,也會觸發警告訊號。若用常開接點的開關(normally open),正常情形是開路,若警告電路異常斷路時,也會是開路,無法提醒用戶。
  • 模擬偵測器的裝置及配線會經過考量,使得電路異常下的讀數不在正常讀值的範圍內,例如一個讀位置的電位器,其正常數值的範圍可能只落在20%至80%的區域,因此若是斷線或是短路,會讀到0%及100%,都不是正常讀值的範圍,方便檢測異常。
  • 在控制系統中,特別重要的訊號都會用一對互補的訊號來傳輸(<signal>及<not_signal>),只有二個訊號是反向時(一個是高電位,另一個是低電位)才會有效。若二個訊號同為高電位或同為低電位,可能表示接線或是感測器有問題,因此可以檢測一些簡單的失效模式(例如感測器損壞或是未接線)。像控制系統可以同時量測SPDT(單刀雙擲)開關的常閉(NC)接點及常開(NO)接點,檢測其訊號是否一高電位,一低電位,再進行後續的處理。
  • HVAC控制系統英語HVAC control system中,控制風門及閥的致動器可以有失效安全機能,以避免房間過熱或是蒸發器蛇形管凍結。早期的氣動致動器英語Pneumatic actuator在其本質上是失效安全的,因為若氣壓失效,內建的彈簧會將致動器回到原點,而致動器的原點自然也是安全的位置。新的電子式或是電氣式致動器需要額外的元件(例如彈簧或是電容器),讓沒有電源時,致動器會自動回到原點[11]
  • 可程式控制器若要做到失效安全,只要保持在不提供能量時可以停止相關驅動器即可。一般緊急停止是常閉接點(normally closed),若電源中斷,會移除激磁線圈及PLC輸入訊號都會沒有電,即為緊急停止的情形,因此為失效安全的系統。
  • 穩壓器失效,產生的電壓過高,可能會傷害相關的電路,撬棍電路英語crowbar (circuit)可以在偵測到過電壓時,讓穩壓器的電壓輸出端對地短路或是短阻抗,避免傷害相關的電路。

程式的失效安全

如同實體的裝置一様,程式上也可以有失效安全的機制,因此若一個程式沒有執行或程式被錯誤執行,不會有危險的效果。

例子包括:

  • 火車訊號英語railway signalling中,未使用的訊號需指向「危險」位置。所有訊號的預設位置是「危險」,因此需要額外的清除訊號才會使訊號由「危險」變為「安全」,而火車在訊號顯示「安全」時才能進入。這也確保若號碼系統有問題、訊號手經驗不足,未預期火車異常進入的情形下,火車訊號不會異常的出現「安全」。
  • 火車駕駛也接受訓練,若看到令人困惑、矛盾或是不熟悉的訊號(例如電力有問題,火車訊號的燈號全滅),此情形需視為「危險」,因此火車駕駛也是失效安全系統中的一部份。

其他詞語

失效安全的裝置有時也會稱為「防呆」(ポカヨケ)裝置,此一詞語是由日本的品質學者新鄉重夫所創[12][13]。安全的失敗(Safe to fail)是指像還地於河英語Room for the River (Netherlands)或是Thames Estuary 2100等,以像五百年發生一次的洪水之類的的嚴重事件為準,來靈活應對氣候變化,或者 減少其產生的損害[14]

參考資料

  1. ^ Wragg, David W. A Dictionary of Aviation first. Osprey. 1973: 127. ISBN 9780850451634. 
  2. ^ 預防失效、故障容許. [2020-10-06]. (原始內容存檔於2018-11-13). 
  3. ^ 故障保險 fail-safety. [2017-01-26]. (原始內容存檔於2017-02-02). 
  4. ^ "Fail-safe頁面存檔備份,存於互聯網檔案館)". AudioEnglich.net. Accessed 2009.12.31
  5. ^ e.g., David B. Rutherford, Jr., "What Do You Mean — It's Fail-Safe?": Evaluating Fail-Safety in Processor-Based Vital Control Systems頁面存檔備份,存於互聯網檔案館). 1990 Rapid Transit Conference
  6. ^ Harris, Tom. How Aircraft Carriers Work. HowStuffWorks, Inc. [2007-10-20]. (原始內容存檔於2007-11-01). 
  7. ^ What is a Unidirectional Rotating Bezel. [9 May 2013]. (原始內容存檔於2012年11月28日). 
  8. ^ Bornschlegl, Susanne. Ready for SIL 4: Modular Computers for Safety-Critical Mobile Applications. MEN Mikro Elektronik. 2012 [2015-09-21]. (原始內容 (pdf)存檔於2019-06-09). 
  9. ^ 存档副本. [2016-06-21]. (原始內容存檔於2016-06-30). 
  10. ^ Manual on Uniform Traffic Control Devices, Federal Highway Administration, 2003
  11. ^ When Failure Is Not an Option: The Evolution of Fail-Safe Actuators. KMC Controls. [30 October 2015]. (原始內容存檔於2016年7月1日). 
  12. ^ Shingo, Shigeo; Andrew P. Dillon (1989). A study of the Toyota production system from an industrial engineering viewpoint. Portland, Oregon: Productivity Press. p. 22. ISBN 0-915299-17-8. OCLC 19740349
  13. ^ John R. Grout, Brian T. Downs. "A Brief Tutorial on Mistake-proofing, Poka-Yoke, and ZQC", MistakeProofing.com頁面存檔備份,存於互聯網檔案館
  14. ^ Jennifer Weeks. Adaptation expert Paul Kirshen proposes a new paradigm for civil engineers: 'safe to fail,' not 'fail safe'. The Daily Climate. March 20, 2013 [March 20, 2013]. (原始內容存檔於2013年5月13日). 

相關條目