Fail-safe ontwerp

Logische circuits, of ze nu bestaan ​​uit elektromechanische relais of solid-state poorten, kunnen op veel verschillende manieren worden gebouwd om dezelfde functies uit te voeren.

Er is meestal geen "juiste" manier om een ​​complexe logische schakeling te ontwerpen, maar er zijn meestal manieren die beter zijn dan andere.

In besturingssystemen is veiligheid een belangrijke ontwerpprioriteit (of zou dat in ieder geval moeten zijn).

Als er meerdere manieren zijn waarop een digitaal regelcircuit kan worden ontworpen om een ​​taak uit te voeren, en een van die manieren heeft bepaalde voordelen in veiligheid ten opzichte van de andere, dan is dat ontwerp de betere keuze.

Relaislogica implementeren in besturingssystemen

Laten we eens kijken naar een eenvoudig systeem en bekijken hoe het kan worden geïmplementeerd in relaislogica.

Stel dat een groot laboratorium of industrieel gebouw moet worden uitgerust met een brandalarmsysteem dat wordt geactiveerd door een van de verschillende vergrendelingsschakelaars die in de hele faciliteit zijn geïnstalleerd.

Het systeem zou zo moeten werken dat de alarmsirene afgaat als een van de schakelaars wordt bediend.

Op het eerste gezicht lijkt het alsof de relaislogica ongelooflijk eenvoudig zou moeten zijn:gebruik gewoon normaal open schakelcontacten en sluit ze allemaal parallel aan elkaar aan:

In wezen is dit de logische OF-functie die is geïmplementeerd met vier schakelingangen.

We zouden dit circuit kunnen uitbreiden met een willekeurig aantal switch-ingangen, waarbij elke nieuwe switch wordt toegevoegd aan het parallelle netwerk, maar ik zal het in dit voorbeeld beperken tot vier om het simpel te houden.

Het is in ieder geval een elementair systeem en er lijkt weinig kans op problemen.

Behalve in het geval van een bedradingsstoring, d.w.z. de aard van elektrische circuits is zodanig dat "open" storingen (open schakelcontacten, verbroken draadverbindingen, open relaisspoelen, doorgebrande zekeringen, enz.) statistisch gezien waarschijnlijker zijn dan elk ander type storing.

Met dat in gedachten is het logisch om een ​​circuit zo tolerant mogelijk te maken voor een dergelijke storing. Laten we aannemen dat een draadverbinding voor Switch #2 niet open zou gaan:

Als deze storing zich zou voordoen, zou het resultaat zijn dat schakelaar 2 de sirene niet langer activeert als deze wordt geactiveerd.

Dit is natuurlijk niet goed in een brandmeldinstallatie. Tenzij het systeem regelmatig werd getest (in ieder geval een goed idee), zou niemand weten dat er een probleem was totdat iemand die schakelaar in een noodgeval probeerde te gebruiken.

Wat als het systeem opnieuw werd ontworpen om alarm te slaan in het geval van een open storing?

Op die manier zou een storing in de bedrading resulteren in een vals alarm, een scenario dat veel meer de voorkeur heeft dan dat een schakelaar stil faalt en niet functioneert wanneer dat nodig is.

Om dit ontwerpdoel te bereiken, zouden we de schakelaars opnieuw moeten bedraden zodat een open contact sloeg alarm, in plaats van een gesloten contact.

Als dat het geval is, moeten de schakelaars normaal gesloten en in serie met elkaar zijn, waardoor een relaisspoel wordt gevoed die vervolgens een normaal gesloten contact voor de sirene activeert:

Wanneer alle schakelaars niet bediend zijn (de normale bedrijfstoestand van dit systeem), relais CR₁ zal worden geactiveerd, waardoor contact CR₁ . wordt gehouden open, waardoor de sirene niet wordt ingeschakeld.

Als echter een van de schakelaars wordt bediend, wordt relais CR₁ valt af, sluit contact CR₁ en alarm slaan.

Als er ergens in de bovenste sport van het circuit een breuk in de bedrading is, gaat het alarm af.

Wanneer wordt ontdekt dat het alarm vals is, weten de werknemers in de faciliteit dat er iets is mislukt in het alarmsysteem en dat het moet worden gerepareerd.

Toegegeven, het circuit is complexer dan het was vóór de toevoeging van het besturingsrelais, en het systeem kan nog steeds falen in de "stille" modus met een verbroken verbinding in de onderste sport, maar het is nog steeds een veiliger ontwerp dan het originele circuit, en dus de voorkeur vanuit het oogpunt van veiligheid.

Toepassing van faalveilige ontwerpen in besturingssystemen

Dit ontwerp van het circuit wordt fail-safe genoemd , vanwege het beoogde ontwerp om standaard naar de veiligste modus te gaan in het geval van een veelvoorkomende storing, zoals een verbroken verbinding in de bedrading van de schakelaar.

Fail-safe ontwerp begint altijd met een aanname over de meest waarschijnlijke soort bedrading of componentstoring en probeert vervolgens dingen zo te configureren dat een dergelijke storing ervoor zorgt dat het circuit op de veiligste manier werkt, waarbij de "veiligste manier" wordt bepaald door de fysieke kenmerken van het proces.

Neem bijvoorbeeld een elektrisch bediende (magneet)klep voor het aanzetten van koelwater naar een machine.

Als de magneetspoel wordt bekrachtigd, wordt een anker verplaatst dat vervolgens het klepmechanisme opent of sluit, afhankelijk van het soort klep dat we specificeren.

Een veer zal de klep terugbrengen naar zijn "normale" positie wanneer de solenoïde spanningsloos is.

We weten al dat een open storing in de bedrading of solenoïde spoel waarschijnlijker is dan een kortsluiting of een ander type storing, dus we moeten dit systeem zo ontwerpen dat het in de veiligste modus staat met de solenoïde spanningsloos.

Als het koelwater is dat we met deze klep regelen, is de kans groot dat het veiliger is om het koelwater aan te zetten in geval van storing dan om het af te sluiten. De gevolgen van een machine die zonder koelvloeistof draait, zijn meestal ernstig.

Dit betekent dat we een klep moeten specificeren die inschakelt (opent) wanneer deze spanningsloos is en uitschakelt (sluit) wanneer deze wordt geactiveerd. Dit lijkt misschien "achterlijk" om de klep op deze manier te hebben ingesteld, maar het zal uiteindelijk zorgen voor een veiliger systeem.

Een interessante toepassing van een faalveilig ontwerp is in de energieopwekkings- en distributie-industrie, waar grote stroomonderbrekers moeten worden geopend en gesloten door elektrische stuursignalen van beveiligingsrelais.

Als een 50/51 relais (onmiddellijke en tijdoverstroom) een stroomonderbreker opdracht geeft om te trippen (openen) in het geval van overmatige stroom, moeten we het dan zo ontwerpen dat het relais sluit een schakelcontact om een ​​"trip"-signaal naar de stroomonderbreker te sturen, of opent een schakelcontact om een ​​regelmatig "aan"-signaal te onderbreken om een ​​uitschakeling van de stroomonderbreker te starten?

We weten dat de kans het grootst is dat een open verbinding optreedt, maar wat is de veiligste toestand van het systeem:stroomonderbreker open of stroomonderbreker gesloten?

In eerste instantie lijkt het veiliger om een ​​grote stroomonderbreker uit te schakelen (openen en uitschakelen) in het geval van een open fout in het beveiligingsrelaisbesturingscircuit, net zoals we het brandalarmsysteem standaard hadden ingesteld een alarmstatus met een schakelaar of bedradingsfout.

De dingen zijn echter niet zo eenvoudig in de wereld van hoge macht. Het is geen sinecure om een ​​grote stroomonderbreker willekeurig open te laten schakelen, vooral wanneer klanten afhankelijk zijn van de voortdurende levering van elektrische stroom om ziekenhuizen, telecommunicatiesystemen, waterbehandelingssystemen en andere belangrijke infrastructuren te bevoorraden.

Om deze reden zijn energiesysteemingenieurs over het algemeen overeengekomen om beschermende relaiscircuits te ontwerpen om een ​​gesloten . uit te voeren contactsignaal (stroom toegepast) om grote stroomonderbrekers te openen, wat betekent dat elke open storing in de besturingsbedrading onopgemerkt blijft, waardoor de stroomonderbreker gewoon in de status-quo-positie blijft.

Is dit een ideale situatie? Natuurlijk niet. Als een beveiligingsrelais een overstroom detecteert terwijl de besturingsbedrading niet open is, kan het de stroomonderbreker niet activeren.

Net als bij het eerste ontwerp van het brandalarmsysteem, zal de "stille" storing alleen duidelijk worden wanneer het systeem nodig is.

Het is echter geen beter alternatief om het besturingscircuit andersom te ontwerpen, zodat een open storing de stroomonderbreker onmiddellijk zou uitschakelen, waardoor grote delen van het elektriciteitsnet mogelijk zouden worden uitgeschakeld.

Er zou een heel boek kunnen worden geschreven over de principes en praktijken van een goed faalveilig systeemontwerp.

Hier kent u in ieder geval een paar basisprincipes:dat bedrading de neiging heeft om vaker open te gaan dan kortgesloten, en dat de (open) storingsmodus van een elektrisch regelsysteem zodanig moet zijn dat het het werkelijke proces in de veiligste alternatieve modus.

Deze fundamentele principes gelden ook voor niet-elektrische systemen:identificeer de meest voorkomende storingsmodus en ontwerp vervolgens het systeem zodat de waarschijnlijke storingsmodus het systeem in de veiligste toestand plaatst.

BEOORDELING:

• Het doel van fail-safe ontwerp is om een ​​besturingssysteem zo tolerant mogelijk te maken voor mogelijke bedradings- of componentstoringen.
• Het meest voorkomende type bedrading en defecte componenten is een "open" circuit of verbroken verbinding. Daarom moet een faalveilig systeem zo worden ontworpen dat het in het geval van een open circuit standaard naar de veiligste bedrijfsmodus gaat.

GERELATEERDE WERKBLAD:

• Werkblad voor zeer betrouwbare circuits