A prueba de fallos

Característica o práctica de diseño

En ingeniería , un sistema a prueba de fallos es una característica o práctica de diseño que, en caso de falla de la característica de diseño, responde inherentemente de una manera que causará un daño mínimo o nulo a otros equipos, al medio ambiente o a las personas. A diferencia de la seguridad inherente a un peligro particular, que un sistema sea "a prueba de fallos" no significa que el fallo sea naturalmente intrascendente, sino que el diseño del sistema previene o mitiga las consecuencias inseguras del fallo del sistema. Si un sistema "a prueba de fallos" falla, sigue siendo al menos tan seguro como lo era antes del fallo. ^{[1] [2]} Dado que son posibles muchos tipos de fallos, el análisis de modos de fallo y efectos se utiliza para examinar situaciones de fallo y recomendar diseños y procedimientos de seguridad. ^[3]

Algunos sistemas nunca pueden ser a prueba de fallos, ya que se necesita disponibilidad continua. Para estas situaciones se utilizan redundancia , tolerancia a fallos o planes de contingencia (por ejemplo, múltiples motores controlados independientemente y alimentados por combustible). ^[4]

Ejemplos

Mecánico o físico

Válvula de control de globo con actuador neumático de diafragma. Este tipo de válvula puede diseñarse para que falle de forma segura mediante la presión del resorte si se pierde el aire de accionamiento.

Algunos ejemplos incluyen:

• Las puertas cortafuegos enrollables que se activan mediante los sistemas de alarma del edificio o los detectores de humo locales deben cerrarse automáticamente cuando se reciba una señal, independientemente de la energía. En caso de corte de energía, la puerta cortafuegos enrollable no necesita cerrarse, pero debe poder cerrarse automáticamente cuando se reciba una señal de los sistemas de alarma del edificio o de los detectores de humo. Se puede utilizar un enlace fusible sensible a la temperatura para mantener abiertas las puertas cortafuegos contra la gravedad o un resorte de cierre. En caso de incendio, el enlace se derrite y libera las puertas, que se cierran.
• Algunos carros de equipaje de aeropuerto requieren que la persona mantenga presionado el interruptor del freno de mano de un carro determinado en todo momento; si se suelta el interruptor del freno de mano, el freno se activará y, suponiendo que todas las demás partes del sistema de frenado funcionen correctamente, el carro se detendrá. El requisito de mantener presionado el freno de mano funciona de acuerdo con los principios de "seguridad ante fallas" y contribuye a (pero no necesariamente garantiza) la seguridad ante fallas del sistema. Este es un ejemplo de un interruptor de hombre muerto .
• Las cortadoras de césped y las quitanieves tienen una palanca que se cierra con la mano y que debe mantenerse presionada en todo momento. Si se suelta, detiene la rotación de la cuchilla o del rotor. Esta también funciona como un interruptor de seguridad .
• Frenos de aire en trenes y camiones . Los frenos se mantienen en la posición "desactivada" mediante la presión de aire creada en el sistema de frenos. Si se rompe una línea de freno o se desacopla un vagón, se perderá la presión de aire y se aplicarán los frenos, mediante resortes en el caso de los camiones, o mediante un depósito de aire local en el caso de los trenes. Es imposible conducir un camión con una fuga grave en el sistema de frenos de aire. (Los camiones también pueden utilizar movimientos de balanceo para indicar baja presión de aire).
• Puertas motorizadas: en caso de corte de energía, la puerta se puede abrir empujando la puerta con la mano sin necesidad de una manivela o llave. Sin embargo, como esto permitiría que prácticamente cualquier persona pasara por la puerta, se utiliza un diseño a prueba de fallos : en caso de corte de energía, la puerta solo se puede abrir con una manivela que generalmente se guarda en un área segura o bajo llave. Cuando una puerta de este tipo proporciona acceso de vehículos a las casas, se utiliza un diseño a prueba de fallos, en el que la puerta se abre para permitir el acceso del departamento de bomberos.
• Válvulas de seguridad: Varios dispositivos que funcionan con fluidos utilizan fusibles o válvulas de seguridad como mecanismos a prueba de fallas.

Señales de semáforo de ferrocarril. "Alto" o "precaución" es un brazo horizontal, "Autorizado para continuar" es un brazo de señal que se encuentra 45 grados hacia arriba, por lo que una falla en el cable de accionamiento libera el brazo de señal y lo pone a salvo por gravedad.

• Una señal de semáforo ferroviario está especialmente diseñada para que, en caso de romperse el cable que controla la señal, el brazo vuelva a la posición de "peligro", impidiendo que cualquier tren pase por la señal inoperante.
• Las válvulas de aislamiento y las válvulas de control que se utilizan, por ejemplo, en sistemas que contienen sustancias peligrosas, pueden diseñarse para cerrarse en caso de pérdida de energía, por ejemplo, mediante la fuerza de un resorte. Esto se conoce como cierre por falla en caso de pérdida de energía.
• Un ascensor tiene frenos que se mantienen en contacto con las pastillas de freno gracias a la tensión del cable del ascensor. Si el cable se rompe, se pierde la tensión y los frenos se enganchan en los raíles del hueco, de modo que la cabina del ascensor no se cae.
• Aire acondicionado del vehículo: los controles de descongelación requieren vacío para el funcionamiento de la compuerta desviadora para todas las funciones, excepto la descongelación. Si el vacío falla, la descongelación aún está disponible.

Eléctrico o electrónico

Algunos ejemplos incluyen:

• Muchos dispositivos están protegidos contra cortocircuitos mediante fusibles , disyuntores o circuitos limitadores de corriente . La interrupción eléctrica en condiciones de sobrecarga evitará daños o destrucción del cableado o de los dispositivos del circuito debido al sobrecalentamiento.
• Aviónica ^[5] utiliza sistemas redundantes para realizar el mismo cálculo utilizando tres sistemas diferentes . Los diferentes resultados indican una falla en el sistema. ^[6]
• Los controles de accionamiento por cable y de control por cable, como el sensor de posición del acelerador, suelen tener dos potenciómetros que leen en direcciones opuestas, de modo que al mover el control, una lectura será más alta y la otra generalmente será igualmente más baja. Las discrepancias entre las dos lecturas indican una falla en el sistema y la ECU a menudo puede deducir cuál de las dos lecturas es defectuosa. ^[7]
• Los controladores de semáforos utilizan una unidad de monitorización de conflictos para detectar fallos o señales conflictivas y cambiar una intersección a una señal de error intermitente, en lugar de mostrar señales conflictivas potencialmente peligrosas, por ejemplo, mostrar verde en todas las direcciones. ^[8]
• Protección automática de programas y/o sistemas de procesamiento cuando se detecta un fallo de hardware o software en un sistema informático . Un ejemplo clásico es un temporizador de vigilancia . Véase Fail-safe (ordenador) .
• Operación o función de control que evita el funcionamiento inadecuado del sistema o una degradación catastrófica en caso de mal funcionamiento del circuito o error del operador; por ejemplo, el circuito de seguridad de vías utilizado para controlar las señales de bloqueo de las vías férreas . El hecho de que una luz ámbar intermitente sea más permisiva que una luz ámbar fija en muchas líneas ferroviarias es una señal de seguridad, ya que el relé, si no funciona, volverá a una configuración más restrictiva.
• El lastre de hierro del Batiscafo se suelta para permitir que el submarino ascienda. El lastre se mantiene en su lugar mediante electroimanes . Si falla la energía eléctrica, el lastre se libera y el submarino asciende a un lugar seguro.
• Muchos diseños de reactores nucleares tienen barras de control que absorben neutrones suspendidas por electroimanes. Si falla la energía, caen por gravedad al núcleo y detienen la reacción en cadena en segundos al absorber los neutrones necesarios para que continúe la fisión.
• En la automatización industrial , los circuitos de alarma suelen estar " normalmente cerrados ". Esto garantiza que, en caso de rotura de un cable, se activará la alarma. Si el circuito estuviera normalmente abierto, no se detectaría una rotura de cable y se bloquearían las señales de alarma reales.
• Los sensores analógicos y los actuadores moduladores se pueden instalar y cablear de manera que la falla del circuito genere una lectura fuera de los límites (consulte bucle de corriente) . Por ejemplo, un potenciómetro que indica la posición del pedal podría recorrer solo entre el 20 % y el 80 % de su rango completo, de modo que una rotura o cortocircuito del cable genere una lectura del 0 % o del 100 %.
• En los sistemas de control, las señales de importancia crítica pueden transmitirse mediante un par de cables complementarios (<señal> y <no_señal>). Solo son válidos los estados en los que las dos señales son opuestas (una es alta, la otra baja). Si ambas son altas o bajas, el sistema de control sabe que algo anda mal con el sensor o el cableado de conexión. De este modo, se detectan los modos de falla simples (sensor inactivo, cables cortados o desenchufados). Un ejemplo sería un sistema de control que lee los polos normalmente abiertos (NO) y normalmente cerrados (NC) de un interruptor selector SPDT comparándolos con el común y verificando su coherencia antes de reaccionar a la entrada.
• En los sistemas de control de HVAC , los actuadores que controlan compuertas y válvulas pueden ser a prueba de fallos, por ejemplo, para evitar que las bobinas se congelen o que las habitaciones se sobrecalienten. Los actuadores neumáticos más antiguos eran inherentemente a prueba de fallos porque si la presión de aire contra el diafragma interno fallaba, el resorte incorporado empujaba el actuador a su posición inicial; por supuesto, la posición inicial debía ser la posición "segura". Los actuadores eléctricos y electrónicos más nuevos necesitan componentes adicionales (resortes o condensadores) para impulsar automáticamente el actuador a la posición inicial en caso de pérdida de energía eléctrica. ^[9]
• Controladores lógicos programables (PLC). Para que un PLC sea a prueba de fallos, el sistema no requiere que se le dé energía para detener los accionamientos asociados. Por ejemplo, normalmente, una parada de emergencia es un contacto normalmente cerrado. En caso de un corte de energía, esto eliminaría la energía directamente de la bobina y también de la entrada del PLC. Por lo tanto, se trata de un sistema a prueba de fallos.
• Si falla un regulador de voltaje , puede destruir el equipo conectado. Un circuito de protección evita daños al cortocircuitar la fuente de alimentación tan pronto como detecta una sobretensión.

Seguridad procesal

Un avión enciende sus postcombustión para mantener la potencia máxima durante un aterrizaje detenido a bordo de un portaaviones . Si el aterrizaje detenido falla, el avión puede despegar de nuevo sin problemas.

Además de los dispositivos y sistemas físicos, se pueden crear procedimientos de seguridad para que, si un procedimiento no se lleva a cabo o se lleva a cabo de forma incorrecta, no se produzca ninguna acción peligrosa. Por ejemplo:

• Trayectoria de la nave espacial: Durante las primeras misiones del programa Apolo a la Luna, la nave espacial se puso en una trayectoria de retorno libre  : si los motores hubieran fallado en la inserción en la órbita lunar , la nave habría regresado a la Tierra de manera segura.
• El piloto de un avión que aterriza en un portaaviones aumenta el acelerador a máxima potencia al tocar tierra. Si los cables de detención no logran capturar el avión, este puede despegar nuevamente; este es un ejemplo de práctica a prueba de fallos . ^[10]
• En la señalización ferroviaria, las señales que no se utilizan activamente para un tren deben mantenerse en la posición de "peligro". Por lo tanto, la posición predeterminada de cada señal absoluta controlada es "peligro" y, por lo tanto, se requiere una acción positiva (establecer las señales en "libre") antes de que pueda pasar un tren. Esta práctica también garantiza que, en caso de un fallo en el sistema de señalización, un señalero incapacitado o la entrada inesperada de un tren, nunca se mostrará a un tren una señal de "libre" errónea.
• Los maquinistas de ferrocarriles tienen la instrucción de que una señal ferroviaria que muestre un aspecto confuso, contradictorio o desconocido (por ejemplo, una señal luminosa de color que ha sufrido un fallo eléctrico y no muestra ninguna luz) debe ser tratada como una señal de "peligro". De esta manera, el maquinista contribuye a la seguridad del sistema.

Otra terminología

Los dispositivos a prueba de fallos (a prueba de tontos ) también se conocen como dispositivos poka-yoke . Poka-yoke , un término japonés , fue acuñado por Shigeo Shingo , un experto en calidad. ^{[11] [12]} "Seguro a prueba de fallos" se refiere a diseños de ingeniería civil como el proyecto Room for the River en los Países Bajos y el Plan Thames Estuary 2100 ^{[13] [14]} que incorporan estrategias de adaptación flexibles o adaptación al cambio climático que prevén y limitan los daños en caso de que ocurran eventos graves como inundaciones de 500 años. ^[15]

A prueba de fallos y a prueba de fallos

Los conceptos de seguridad y protección frente a fallos son distintos. La seguridad frente a fallos significa que un dispositivo no pondrá en peligro vidas o propiedades cuando falle. La seguridad frente a fallos, también llamada protección frente a fallos, significa que el acceso o los datos no caerán en manos equivocadas en caso de fallo de seguridad. A veces, los enfoques sugieren soluciones opuestas. Por ejemplo, si un edificio se incendia, los sistemas de seguridad desbloquearían las puertas para garantizar una evacuación rápida y permitir el ingreso de los bomberos, mientras que los de protección frente a fallos bloquearían las puertas para evitar el acceso no autorizado al edificio.

El opuesto de fail-closed se llama fail-open .

Fallo operativo activo

El sistema de operación activa en caso de fallo puede instalarse en sistemas que tengan un alto grado de redundancia, de modo que se pueda tolerar un único fallo en cualquier parte del sistema (operación activa en caso de fallo) y se pueda detectar un segundo fallo, momento en el que el sistema se apagará automáticamente (desacoplamiento, operación pasiva en caso de fallo). Una forma de lograrlo es tener instalados tres sistemas idénticos y una lógica de control que detecte las discrepancias. Un ejemplo de esto son muchos sistemas de aeronaves, entre ellos los sistemas de navegación inercial y los tubos de Pitot .

Punto de seguridad

Durante la Guerra Fría , el término "punto de seguridad" se utilizaba para designar el punto de no retorno de los bombarderos nucleares del Mando Aéreo Estratégico estadounidense , justo fuera del espacio aéreo soviético. En caso de recibir una orden de ataque, los bombarderos debían permanecer en el punto de seguridad y esperar una segunda orden de confirmación; hasta que no recibieran una, no armarían sus bombas ni seguirían adelante. ^[16] El objetivo era evitar que un solo fallo del sistema de mando estadounidense provocara una guerra nuclear. Este sentido del término entró en el léxico popular estadounidense con la publicación de la novela Fail-Safe en 1962 .

(Otros sistemas de control de comando de guerra nuclear han utilizado el esquema opuesto, "fallo mortal" , que requiere una prueba continua o regular de que no se ha producido un primer ataque enemigo para impedir el lanzamiento de un ataque nuclear).

Véase también

• Sistema de fallo rápido
• Teoría del control
• El interruptor del hombre muerto
• EIA-485
• Degradación elegante
• Fallando gravemente
• Fallo mortal
• Tolerancia a fallos
• IEC 61508
• Entrelazar
• Diseño de vida segura
• Ingeniería de seguridad

Referencias

1. "A prueba de fallos". AudioEnglich.net. Consultado el 31 de diciembre de 2009.
2. p. ej. , David B. Rutherford Jr., ¿Qué quiere decir con que es a prueba de fallos? . Conferencia de tránsito rápido de 1990
3. Fuerza V: La historia de la disuasión aérea británica, por Andrew Brookes. Jane's Publishing Co Ltd; Primera edición 1 de enero de 1982, ISBN  0710602383 , p.144.
4. Bornschlegl, Susanne (2012). Ready for SIL 4: Modular Computers for Safety-Critical Mobile Applications [Preparados para SIL 4: ordenadores modulares para aplicaciones móviles críticas para la seguridad]. MEN Mikro Elektronik. Archivado desde el original (pdf) el 2019-06-09 . Consultado el 2015-09-21 .
5. Wragg, David W. (1973). Diccionario de aviación (primera edición). Osprey. pág. 127. ISBN 9780850451634.
6. Bornschlegl, Susanne (2012). Ready for SIL 4: Modular Computers for Safety-Critical Mobile Applications [Preparados para SIL 4: ordenadores modulares para aplicaciones móviles críticas para la seguridad]. MEN Mikro Elektronik. Archivado desde el original (pdf) el 2019-06-09 . Consultado el 2015-09-21 .
7. "P2138 DTC Correlación de voltaje D/E del sensor/interruptor de posición del acelerador/pedal". www.obd-codes.com .
8. Manual sobre dispositivos uniformes de control del tráfico, Administración Federal de Carreteras, 2003
9. "Cuando el fallo no es una opción: la evolución de los actuadores a prueba de fallos". KMC Controls. 29 de octubre de 2015. Consultado el 12 de abril de 2021 .
10. Harris, Tom (29 de agosto de 2002). "Cómo funcionan los portaaviones". HowStuffWorks, Inc. Consultado el 20 de octubre de 2007 .
11. Shingo, Shigeo; Andrew P. Dillon (1989). Un estudio del sistema de producción de Toyota desde un punto de vista de ingeniería industrial. Portland, Oregon: Productivity Press. p. 22. ISBN 0-915299-17-8 . OCLC  19740349 
12. John R. Grout, Brian T. Downs. "Un breve tutorial sobre prevención de errores, Poka-Yoke y ZQC", MistakeProofing.com Archivado el 19 de marzo de 2016 en Wayback Machine.
13. "Plan Thames Estuary 2100" (PDF) . Agencia Ambiental del Reino Unido. Noviembre de 2012. Archivado desde el original (PDF) el 2012-12-10 . Consultado el 20 de marzo de 2013 .
14. "Thames Estuary 2100 (TE2100)". Agencia Ambiental del Reino Unido . Consultado el 20 de marzo de 2013 .
15. Jennifer Weeks (20 de marzo de 2013). «El experto en adaptación Paul Kirshen propone un nuevo paradigma para los ingenieros civiles: 'seguro para fallar', no 'a prueba de fallas'». The Daily Climate . Archivado desde el original el 13 de mayo de 2013. Consultado el 20 de marzo de 2013 .
16. "a prueba de fallos". Dictionary.com . Consultado el 7 de noviembre de 2021 .