A prueba de fallos

Característica o práctica de diseño.

En ingeniería , un mecanismo de seguridad es una característica o práctica de diseño que, en caso de falla de la característica de diseño, responde inherentemente de una manera que causará un daño mínimo o nulo a otros equipos, al medio ambiente o a las personas. A diferencia de la seguridad inherente a un peligro particular, que un sistema sea "a prueba de fallas" no significa que la falla sea imposible o improbable, sino más bien que el diseño del sistema previene o mitiga las consecuencias inseguras de la falla del sistema. Es decir, si un sistema "a prueba de fallos" falla, sigue siendo al menos tan seguro como lo era antes del fallo. ^{[1] [2]} Dado que son posibles muchos tipos de fallas, el análisis del modo de falla y sus efectos se utiliza para examinar situaciones de falla y recomendar diseños y procedimientos de seguridad.

Algunos sistemas nunca pueden ser a prueba de fallas, ya que se necesita disponibilidad continua. Para estas situaciones se utilizan planes de redundancia , tolerancia a fallos o contingencia (por ejemplo, múltiples motores alimentados con combustible y controlados independientemente). ^[3]

Ejemplos

Mecanico o fisico

Válvula de control de globo con actuador neumático de diafragma. Una válvula de este tipo puede diseñarse para que falle en forma segura utilizando la presión del resorte si se pierde el aire de accionamiento.

Ejemplos incluyen:

• Las puertas contra incendios con contraventanas enrollables que se activan mediante sistemas de alarma de edificios o detectores de humo locales deben cerrarse automáticamente cuando se les indique, independientemente de la energía. En caso de un corte de energía, no es necesario cerrar la puerta enrollable contra incendios, pero debe poder cerrarse automáticamente cuando recibe una señal de los sistemas de alarma del edificio o de los detectores de humo. Se puede emplear un eslabón fusible sensible a la temperatura para mantener las puertas cortafuegos abiertas contra la gravedad o un resorte de cierre. En caso de incendio, el eslabón se derrite y libera las puertas, que se cierran.
• Algunos carros de equipaje de aeropuerto requieren que la persona mantenga presionado el interruptor del freno de mano de un carro determinado en todo momento; Si se suelta el interruptor del freno de mano, el freno se activará y, suponiendo que todas las demás partes del sistema de frenado estén funcionando correctamente, el carro se detendrá. Por tanto, el requisito de mantener el freno de mano funciona según los principios de "seguridad contra fallos" y contribuye (pero no necesariamente garantiza) a la seguridad contra fallos del sistema. Este es un ejemplo de interruptor de hombre muerto .
• Las cortadoras de césped y los quitanieves tienen una palanca que se cierra manualmente y que debe mantenerse presionada en todo momento. Si se suelta, detiene la rotación de la pala o del rotor. Esto también funciona como un interruptor de hombre muerto .
• Frenos de aire en trenes y frenos de aire en camiones . Los frenos se mantienen en la posición "apagado" mediante la presión de aire creada en el sistema de frenos. Si una línea de freno se rompe o un vagón se desacopla, la presión del aire se perderá y se aplicarán los frenos, mediante resortes en el caso de camiones o mediante un depósito de aire local en los trenes. Es imposible conducir un camión con una fuga grave en el sistema de frenos de aire. (Los camiones también pueden emplear movimientos de peluca para indicar baja presión de aire).
• Portones motorizados: en caso de un corte de energía, el portón se puede abrir manualmente sin necesidad de manivela ni llave. Sin embargo, como esto permitiría que prácticamente cualquier persona atravesara la puerta, se utiliza un diseño a prueba de fallas : en caso de un corte de energía, la puerta solo se puede abrir con una manivela que generalmente se guarda en un área segura o bajo llave. . Cuando una puerta de este tipo proporciona acceso de vehículos a las casas, se utiliza un diseño a prueba de fallos, en el que la puerta se abre para permitir el acceso del departamento de bomberos.
• Válvulas de seguridad: varios dispositivos que funcionan con fluidos utilizan fusibles o válvulas de seguridad como mecanismos a prueba de fallas.

Señales de semáforo ferroviario. "Detener" o "precaución" es un brazo horizontal, "Listo para continuar" es 45 grados hacia arriba, por lo que la falla del cable de accionamiento libera el brazo de señal a un lugar seguro bajo la gravedad.

• Una señal de semáforo ferroviario está especialmente diseñada para que, en caso de romperse el cable que controla la señal, el brazo vuelva a la posición de "peligro", impidiendo que los trenes pasen la señal inoperante.
• Las válvulas de aislamiento y las válvulas de control que se utilizan, por ejemplo, en sistemas que contienen sustancias peligrosas, pueden diseñarse para cerrarse ante una pérdida de energía, por ejemplo, mediante la fuerza del resorte. Esto se conoce como cierre por falla ante la pérdida de energía.
• Un ascensor tiene frenos que se mantienen alejados de las pastillas de freno mediante la tensión del cable del ascensor. Si el cable se rompe, se pierde tensión y los frenos se enganchan en los carriles del hueco, de modo que la cabina del ascensor no cae.
• Aire acondicionado del vehículo: los controles de descongelamiento requieren vacío para el funcionamiento de la compuerta desviadora para todas las funciones excepto el descongelamiento. Si falla el vacío, el descongelamiento aún está disponible.

Eléctrico o electrónico

Ejemplos incluyen:

• Muchos dispositivos están protegidos contra cortocircuitos mediante fusibles , disyuntores o circuitos limitadores de corriente . La interrupción eléctrica bajo condiciones de sobrecarga evitará daños o destrucción del cableado o dispositivos del circuito debido al sobrecalentamiento.
• Aviónica ^[4] utiliza sistemas redundantes para realizar el mismo cálculo utilizando tres sistemas diferentes . Diferentes resultados indican una falla en el sistema. ^[5]
• Los controles de conducción por cable y de vuelo por cable, como un sensor de posición del acelerador, generalmente tienen dos potenciómetros que leen en direcciones opuestas, de modo que al mover el control, una lectura será más alta y la otra generalmente igualmente más baja. Las discrepancias entre las dos lecturas indican una falla en el sistema y la ECU a menudo puede deducir cuál de las dos lecturas es defectuosa. ^[6]
• Los controladores de semáforo utilizan una Unidad de Monitoreo de Conflictos para detectar fallas o señales conflictivas y cambiar una intersección a una señal de error intermitente, en lugar de mostrar señales conflictivas potencialmente peligrosas, por ejemplo, que se muestran en verde en todas las direcciones. ^[7]
• La protección automática de programas y/o sistemas de procesamiento cuando se detecta una falla de hardware o software en un sistema informático . Un ejemplo clásico es un temporizador de vigilancia . Consulte A prueba de fallos (computadora) .
• Una operación o función de control que evita el funcionamiento inadecuado del sistema o una degradación catastrófica en caso de mal funcionamiento del circuito o error del operador; por ejemplo, el circuito de vía a prueba de fallos utilizado para controlar las señales de bloqueo ferroviario . El hecho de que un ámbar intermitente sea más permisivo que un ámbar fijo en muchas líneas ferroviarias es una señal de seguridad, ya que el relé, si no funciona, volverá a una configuración más restrictiva.
• El lastre de pellets de hierro del Batiscafo se deja caer para permitir que el submarino ascienda. El balastro se mantiene en su lugar mediante electroimanes . Si falla la energía eléctrica, se libera el lastre y el submarino asciende a un lugar seguro.
• Muchos diseños de reactores nucleares tienen barras de control que absorben neutrones suspendidas por electroimanes. Si falla la energía, caen bajo la gravedad hacia el núcleo y detienen la reacción en cadena en segundos al absorber los neutrones necesarios para que continúe la fisión.
• En la automatización industrial , los circuitos de alarma suelen estar " normalmente cerrados ". Esto garantiza que, en caso de rotura de un cable, se activará la alarma. Si el circuito estuviera normalmente abierto, una falla en el cable pasaría desapercibida y bloquearía las señales de alarma reales.
• Los sensores analógicos y los actuadores de modulación generalmente se pueden instalar y cablear de manera que la falla del circuito provoque una lectura fuera de límites; consulte bucle de corriente . Por ejemplo, un potenciómetro que indica la posición del pedal puede viajar solo del 20% al 80% de su rango completo, de modo que una rotura o un cortocircuito en un cable da como resultado una lectura de 0% o 100%.
• En los sistemas de control, las señales de importancia crítica pueden transportarse mediante un par de cables complementarios (<señal> y <no_señal>). Sólo son válidos los estados en los que las dos señales son opuestas (una es alta y la otra baja). Si ambos están altos o bajos, el sistema de control sabe que algo anda mal con el sensor o el cableado de conexión. De este modo se detectan modos de fallo simples (sensor muerto, cables cortados o desconectados). Un ejemplo sería un sistema de control que lea los polos normalmente abierto (NO) y normalmente cerrado (NC) de un interruptor selector SPDT contra el común y verifique su coherencia antes de reaccionar a la entrada.
• En los sistemas de control HVAC , los actuadores que controlan las compuertas y las válvulas pueden ser a prueba de fallas, por ejemplo, para evitar que los serpentines se congelen o que las habitaciones se sobrecalienten. Los actuadores neumáticos más antiguos eran inherentemente a prueba de fallas porque si fallaba la presión del aire contra el diafragma interno, el resorte incorporado empujaría el actuador a su posición inicial; por supuesto, la posición inicial tenía que ser la posición "segura". Los actuadores eléctricos y electrónicos más nuevos necesitan componentes adicionales (resortes o condensadores) para llevar automáticamente el actuador a la posición inicial ante una pérdida de energía eléctrica. ^[8]
• Controladores lógicos programables (PLC). Para que un PLC sea a prueba de fallos, el sistema no requiere energización para detener los variadores asociados. Por ejemplo, normalmente una parada de emergencia es un contacto normalmente cerrado. En caso de un corte de energía, esto eliminaría la energía directamente de la bobina y también de la entrada del PLC. Por tanto, un sistema a prueba de fallos.
• Si falla un regulador de voltaje , puede destruir el equipo conectado. Una palanca (circuito) evita daños al cortocircuitar la fuente de alimentación tan pronto como detecta una sobretensión.

Seguridad procesal

Un avión enciende sus postquemadores para mantener plena potencia durante un aterrizaje detenido a bordo de un portaaviones . Si el aterrizaje detenido falla, el avión podrá volver a despegar con seguridad.

Además de dispositivos y sistemas físicos, se pueden crear procedimientos a prueba de fallos para que, si un procedimiento no se lleva a cabo o se lleva a cabo incorrectamente, no se produzca ninguna acción peligrosa. Por ejemplo:

• Trayectoria de la nave espacial - Durante las primeras misiones del programa Apolo a la Luna, la nave espacial se colocó en una trayectoria de retorno libre  ; si los motores hubieran fallado en la inserción en la órbita lunar , la nave habría regresado a la Tierra de manera segura.
• El piloto de un avión que aterriza en un portaaviones aumenta el acelerador a máxima potencia en el momento del aterrizaje. Si los cables de detención no logran capturar la aeronave, ésta podrá despegar nuevamente; Este es un ejemplo de práctica a prueba de fallos . ^[9]
• En la señalización ferroviaria, las señales que no están en uso activo para un tren deben mantenerse en la posición de "peligro". Por lo tanto, la posición predeterminada de cada señal absoluta controlada es "peligro" y, por lo tanto, se requiere una acción positiva (configurar las señales en "borrar") antes de que pueda pasar un tren. Esta práctica también garantiza que, en caso de una falla en el sistema de señalización, un señalizador incapacitado o la entrada inesperada de un tren, nunca se le mostrará a un tren una señal "clara" errónea.
• Los ingenieros ferroviarios reciben instrucciones de que una señal ferroviaria que muestre un aspecto confuso, contradictorio o desconocido (por ejemplo, una señal luminosa de color que ha sufrido un fallo eléctrico y no muestra ninguna luz) debe tratarse como si mostrara "peligro". De esta manera, el conductor contribuye a la seguridad del sistema.

Otra terminología

Los dispositivos a prueba de fallos ( infalibles ) también se conocen como dispositivos poka-yoke . Poka-yoke , término japonés , fue acuñado por Shigeo Shingo , un experto en calidad. ^{[10] [11]} "Seguro para fallar" se refiere a diseños de ingeniería civil como el proyecto Room for the River en Países Bajos y el Plan 2100 del Estuario del Támesis ^{[12] [13]} que incorporan estrategias de adaptación flexibles o adaptación al cambio climático que prevén y limitar los daños en caso de que se produjeran fenómenos graves como inundaciones cada 500 años. ^[14]

A prueba de fallos y a prueba de fallos

A prueba de fallos y a prueba de fallos son conceptos distintos. A prueba de fallos significa que un dispositivo no pondrá en peligro vidas ni propiedades cuando falle. A prueba de fallos, también llamado a prueba de fallos, significa que el acceso o los datos no caerán en las manos equivocadas en caso de un fallo de seguridad. A veces los enfoques sugieren soluciones opuestas. Por ejemplo, si un edificio se incendia, los sistemas a prueba de fallas desbloquearían las puertas para garantizar un escape rápido y permitir el ingreso de los bomberos, mientras que los sistemas a prueba de fallas bloquearían las puertas para evitar el acceso no autorizado al edificio.

Lo opuesto a falla cerrada se llama falla abierta .

Fallo activo operativo

El funcionamiento activo ante fallos se puede instalar en sistemas que tienen un alto grado de redundancia, de modo que se pueda tolerar un único fallo de cualquier parte del sistema (operativo activo ante fallos) y se pueda detectar un segundo fallo, momento en el que el sistema se activará solo. apagado (desacoplar, fallar pasivo). Una forma de lograrlo es tener instalados tres sistemas idénticos y una lógica de control que detecte discrepancias. Un ejemplo de ello son muchos sistemas aeronáuticos, entre ellos los sistemas de navegación inercial y los tubos de Pitot .

Punto de seguridad

Durante la Guerra Fría , "punto de seguridad" era el término utilizado para designar el punto sin retorno de los bombarderos nucleares del Comando Aéreo Estratégico estadounidense , justo en las afueras del espacio aéreo soviético. En caso de recibir una orden de ataque, los bombarderos debían permanecer en el punto de seguridad y esperar una segunda orden de confirmación; hasta que no recibieran uno, no armarían sus bombas ni seguirían adelante. ^[15] El diseño era evitar que cualquier falla del sistema de comando estadounidense causara una guerra nuclear. Este sentido del término entró en el léxico popular estadounidense con la publicación de la novela Fail-Safe de 1962 .

(Otros sistemas de control de comando de guerra nuclear han utilizado el esquema opuesto, fallido-mortal , que requiere pruebas continuas o periódicas de que no se ha producido un primer ataque enemigo para evitar el lanzamiento de un ataque nuclear).

Ver también

• Sistema a prueba de fallos
• Teoría del control
• El interruptor del hombre muerto
• EIA-485
• Degradación elegante
• Fallando mal
• Fallo-mortal
• Tolerancia a fallos
• CEI 61508
• Entrelazar
• Diseño de vida segura
• Ingeniería de Seguridad

Referencias

1. "A prueba de fallos". AudioEnglich.net. Consultado el 31 de diciembre de 2009.
2. por ejemplo , David B. Rutherford Jr., ¿Qué quiere decir con que es a prueba de fallos? . Conferencia de tránsito rápido de 1990
3. Bornschlegl, Susanne (2012). Listo para SIL 4: Computadoras modulares para aplicaciones móviles críticas para la seguridad (pdf) . HOMBRES Mikro Elektronik . Consultado el 21 de septiembre de 2015 .
4. Wragg, David W. (1973). Un diccionario de aviación (primera ed.). Águila pescadora. pag. 127.ISBN _ 9780850451634.
5. Bornschlegl, Susanne (2012). Listo para SIL 4: Computadoras modulares para aplicaciones móviles críticas para la seguridad (pdf) . HOMBRES Mikro Elektronik . Consultado el 21 de septiembre de 2015 .
6. "P2138 DTC Sensor de posición del acelerador/pedal/correlación de voltaje del interruptor D/E". www.obd-codes.com .
7. Manual sobre dispositivos uniformes de control de tráfico, Administración Federal de Carreteras, 2003
8. "Cuando el fallo no es una opción: la evolución de los actuadores a prueba de fallos". Controles KMC. 29 de octubre de 2015 . Consultado el 12 de abril de 2021 .
9. Harris, Tom (29 de agosto de 2002). "Cómo funcionan los portaaviones". HowStuffWorks, Inc. Consultado el 20 de octubre de 2007 .
10. Shingo, Shigeo; Andrew P. Dillon (1989). Un estudio del sistema de producción Toyota desde el punto de vista de la ingeniería industrial. Portland, Oregón: Productivity Press. pag. 22. ISBN 0-915299-17-8 . OCLC  19740349 
11. John R. Grout, Brian T. Downs. "Un breve tutorial sobre corrección de errores, Poka-Yoke y ZQC", MistakeProofing.com
12. "Plan 2100 del estuario del Támesis" (PDF) . Agencia de Medio Ambiente del Reino Unido. Noviembre de 2012. Archivado desde el original (PDF) el 10 de diciembre de 2012 . Consultado el 20 de marzo de 2013 .
13. "Estuario del Támesis 2100 (TE2100)". Agencia de Medio Ambiente del Reino Unido . Consultado el 20 de marzo de 2013 .
14. Jennifer Weeks (20 de marzo de 2013). "El experto en adaptación Paul Kirshen propone un nuevo paradigma para los ingenieros civiles: 'seguro para fallar', no 'a prueba de fallas'". El clima diario . Archivado desde el original el 13 de mayo de 2013 . Consultado el 20 de marzo de 2013 .
15. "a prueba de fallos". Diccionario.com . Consultado el 7 de noviembre de 2021 .