A prueba de fallos

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar
Función o práctica del diseño

En ingeniería, un a prueba de fallas es una característica o práctica de diseño que, en caso de un tipo específico de falla, responde inherentemente de una manera que causará un daño mínimo o nulo a otros equipos., al medio ambiente o a las personas. A diferencia de la seguridad inherente a un peligro en particular, un sistema que es "a prueba de fallas" no significa que la falla sea imposible o improbable, sino que el diseño del sistema previene o mitiga las consecuencias inseguras de la falla del sistema. Es decir, si y cuando un "a prueba de fallas" el sistema falla, permanece al menos tan seguro como lo era antes de la falla. Dado que son posibles muchos tipos de fallas, el análisis de modos y efectos de fallas se utiliza para examinar situaciones de fallas y recomendar procedimientos y diseños de seguridad.

Algunos sistemas nunca se pueden hacer a prueba de fallas, ya que se necesita disponibilidad continua. Para estas situaciones se utilizan planes de contingencia, tolerancia a fallos o redundancia (por ejemplo, varios motores alimentados con combustible y controlados de forma independiente).

Ejemplos

Mecánica o física

(feminine)
Válvula de control de globo con actuador neumático de diafragma. Tal válvula se puede diseñar para no tener seguridad mediante la presión de primavera si se pierde el aire que actúa.

Los ejemplos incluyen:

  • Las puertas de incendios que se activan mediante la construcción de sistemas de alarma o detectores de humo locales deben cerrarse automáticamente cuando se señale independientemente de la potencia. En caso de salida de energía, la puerta de fuego de coiling no necesita cerrar, pero debe ser capaz de cierre automático cuando se le da una señal de los sistemas de alarma del edificio o detectores de humo. Se puede emplear un enlace fusible sensible a la temperatura para mantener las puertas de fuego abiertas contra la gravedad o una primavera de cierre. En caso de incendio, el enlace se funde y libera las puertas, y se cierran.
  • Algunos carros de equipaje del aeropuerto requieren que la persona mantenga el interruptor de freno de mano de un carrito dado en todo momento; si el interruptor de freno de mano se libera, el freno se activará, y asumiendo que todas las demás partes del sistema de frenado están funcionando correctamente, el carrito se detendrá. Por lo tanto, el requisito de retención de mano funciona de acuerdo con los principios de "seguridad de la enfermedad" y contribuye a (pero no garantiza necesariamente) la seguridad del sistema. Este es un ejemplo de un cambio de hombre muerto.
  • Las cortacéspedes y los sopladores de nieve tienen una palanca cerrada a mano que debe ser sostenida en todo momento. Si se libera, detiene la rotación de la hoja o del rotor. Esto también funciona como cambio de hombre muerto.
  • Frenos de aire en trenes ferroviarios y frenos de aire en camiones. Los frenos se mantienen en la posición "off" por presión de aire creada en el sistema de frenos. Si una línea de frenos se divide, o un carro se descompone, se perderá la presión del aire y los frenos se aplicarán, en primaveras en el caso de camiones, o por un depósito de aire local en trenes. Es imposible conducir un camión con una grave fuga en el sistema de frenos de aire. (Las garrapatas también pueden emplear pelucas para indicar la baja presión del aire.)
  • Puertas motorizadas – En caso de salida de energía la puerta se puede abrir a mano sin necesidad de manivela ni llave. Sin embargo, como esto permitiría a prácticamente cualquier persona pasar por la puerta, una Fall-secure diseño se utiliza: En una salida de energía, la puerta sólo puede ser abierta por una manivela que generalmente se mantiene en un área segura o bajo bloqueo y llave. Cuando tal puerta proporciona acceso al vehículo a los hogares, se utiliza un diseño inseguro, donde la puerta se abre para permitir el acceso al departamento de bomberos.
  • Válvulas de seguridad – Varios dispositivos que operan con fluidos utilizan fusibles o válvulas de seguridad como mecanismos de seguridad de fallos.
Semáforas ferroviarias. "Parar" o "caución" es un brazo horizontal, "Clear a Proceed" es de 45 grados hacia arriba, por lo que el fallo del cable actuado libera el brazo de señal a la seguridad bajo gravedad.
  • Una señal de semáforo ferroviario está especialmente diseñada para que, si el cable controla la rotura de señal, el brazo regrese a la posición "peligro", evitando cualquier tren que pase la señal inoperante.
  • Las válvulas de aislamiento y válvulas de control, que se utilizan por ejemplo en sistemas que contienen sustancias peligrosas, pueden diseñarse para cerrar sobre la pérdida de energía, por ejemplo por la fuerza de primavera. Esto se conoce como una pérdida de poder.
  • Un ascensor tiene frenos que se sujetan por la tensión del cable del ascensor. Si el cable se rompe, la tensión se pierde y los frenos se detienen en los carriles del eje, de modo que la cabina del ascensor no cae.
  • Aire acondicionado del vehículo – Los controles de desfrost requieren vacío para el funcionamiento del amortiguador del desvío para todas las funciones excepto desfrost. Si el vacío falla, el defrost todavía está disponible.

Eléctrica o electrónica

(feminine)

Los ejemplos incluyen:

  • Muchos dispositivos están protegidos de cortocircuito por fusibles, interruptores de circuito o circuitos de limitación actual. La interrupción eléctrica bajo condiciones de sobrecarga evitará el daño o la destrucción de dispositivos de cableado o circuito debido al sobrecalentamiento.
  • Avionics utilizando sistemas redundantes para realizar la misma computación utilizando tres sistemas diferentes. Diferentes resultados indican una falla en el sistema.
  • Controles de transmisión por cable y de vuelo por cable como un Sensor de Posición Aceleradora suelen tener dos potenciómetros que leen en direcciones opuestas, de manera que mover el control resultará en una lectura en aumento, y el otro generalmente igualmente inferior. Los defectos entre las dos lecturas indican una falla en el sistema, y el ECU a menudo puede deducir cuál de las dos lecturas es defectuoso.
  • Controladores de luz de tráfico usan un Conflict Monitor Dependencia para detectar fallas o señales conflictivas y cambiar una intersección a una señal de error de flashing, en lugar de mostrar señales potencialmente peligrosas conflictivas, por ejemplo mostrando verde en todas las direcciones.
  • La protección automática de programas y/o sistemas de procesamiento cuando se detecta un hardware informático o fallo de software en un sistema informático. Un ejemplo clásico es un relojero. Véase Fail-safe (computer).
  • Una operación de control o función que previene el funcionamiento del sistema impropio o la degradación catastrófica en caso de error de funcionamiento del circuito o del operador; por ejemplo, el circuito de pista de failsafe utilizado para controlar las señales de bloqueo ferroviario. El hecho de que un ámbar parpadeante sea más permisivo que un ámbar sólido en muchas líneas ferroviarias es un signo de una seguridad de falla, ya que el relé, si no funciona, revertirá a un entorno más restrictivo.
  • La bola de pellets de hierro en el Bathyscaphe se deja caer para que el submarino pueda ascender. El balasto es sostenido por electroimanes. Si la energía eléctrica falla, el balasto es liberado, y el submarino entonces asciende a seguridad.
  • Muchos diseños de reactores nucleares tienen barras de control de absorción de neutrones suspendidas por electroimanes. Si el poder falla, bajan bajo gravedad en el núcleo y cierran la reacción de cadena en segundos absorbiendo los neutrones necesarios para que la fisión continúe.
  • En la automatización industrial, los circuitos de alarma suelen estar "normalmente cerrados". Esto asegura que en caso de que un cable rompa la alarma se activará. Si el circuito estuviera normalmente abierto, una falla de alambre iría sin ser detectada, mientras bloqueaba señales de alarma reales.
  • Los sensores analógicos y los actuadores moduladores pueden ser instalados y cableados de tal manera que el fallo del circuito resulta en una lectura fuera de límites – vea el bucle actual. Por ejemplo, un potenciómetro que indica la posición del pedal sólo puede viajar del 20% al 80% de su gama completa, de tal manera que una rotura del cable o resultados cortos en una lectura del 0% o del 100%.
  • En los sistemas de control, las señales de importancia crítica pueden ser llevadas por un par complementario de alambres (directsignal confidencial y ■not_signal título). Sólo los estados donde las dos señales son opuestas (uno es alto, el otro bajo) son válidos. Si ambos son altos o ambos son bajos, el sistema de control sabe que algo está mal con el sensor o el cableado de conexión. Se detectan modos de falla simples (sensor de cuentas, alambres cortados o descompuestos). Un ejemplo sería un sistema de control leyendo los polos normalmente abiertos (NO) y normalmente cerrados (NC) de un selector SPDT contra el común, y comprobando para la coherencia antes de reaccionar a la entrada.
  • En los sistemas de control HVAC, los actuadores que controlan los amortiguadores y válvulas pueden ser inseguros, por ejemplo, para evitar que las bobinas se congelen o que las habitaciones se recalienten. Los actuadores neumáticos más antiguos eran intrínsecamente inseguros porque si la presión del aire contra el diafragma interno fallaba, la primavera incorporada empujaría al actuador a su posición en casa – por supuesto la posición del hogar necesitaba ser la posición "seguro". Los actuadores eléctricos y electrónicos más recientes necesitan componentes adicionales (huellas o condensadores) para conducir automáticamente el actuador a la posición del hogar sobre la pérdida de energía eléctrica.
  • Controladores lógicos programables (PLCs). Para hacer un PLC inseguro el sistema no requiere energización para detener las unidades asociadas. Por ejemplo, generalmente, una parada de emergencia es un contacto normalmente cerrado. En caso de una falla de energía esto eliminaría el poder directamente de la bobina y también la entrada PLC. Por lo tanto, un sistema inseguro.
  • Si un regulador de tensión falla, puede destruir el equipo conectado. Un crowbar (circuito) evita los daños por cortocircuito del suministro de energía tan pronto como detecta sobrevoltaje.

Seguridad procesal

An aircraft lights its afterburners to maintain full power during an arrested landing aboard an aircraft transport. Si el aterrizaje detenido falla, el avión puede retirarse de nuevo con seguridad.

Además de dispositivos físicos y sistemas, se pueden crear procedimientos a prueba de fallas para que si un procedimiento no se lleva a cabo o se realiza incorrectamente, no resulte en ninguna acción peligrosa. Por ejemplo:

  • Trayectoria de la nave espacial - Durante las misiones del programa de Apolo temprano a la Luna, la nave espacial fue puesta en una trayectoria de retorno libre - si los motores hubieran fallado en la inserción de la órbita lunar, la nave habría costado con seguridad de regreso a la Tierra.
  • El piloto de un avión aterrizando en un portaaviones aumenta el acelerador a toda la potencia en touchdown. Si los cables de detención no capturan el avión, es capaz de despegar de nuevo; este es un ejemplo de práctica insegura.
  • En señales de señalización ferroviaria que no están en uso activo para un tren se requiere que se mantenga en la posición 'peligro'. La posición predeterminada de cada señal absoluta controlada es, por tanto, "peligro", y por lo tanto, una acción positiva, estableciendo señales para "clarar" es necesaria antes de que pase un tren. Esta práctica también asegura que, en caso de falta en el sistema de señalización, un señalista incapacitado o la entrada inesperada de un tren, un tren nunca se mostrará una señal errónea "clara".
  • Los ingenieros ferroviarios reciben instrucciones de que una señal ferroviaria que muestra un aspecto confuso, contradictorio o desconocido (por ejemplo, una señal de luz de color que ha sufrido una falla eléctrica y no muestra ninguna luz) debe ser tratada como mostrando "peligro". De esta manera, el conductor contribuye a la seguridad del sistema.

Otra terminología

Los dispositivos a prueba de fallas (infalibles) también se conocen como dispositivos poka-yoke. Poka-yoke, un término japonés, fue acuñado por Shigeo Shingo, un experto en calidad. "A prueba de fallas" se refiere a diseños de ingeniería civil como el proyecto Room for the River en los Países Bajos y el Plan Thames Estuary 2100 que incorporan estrategias de adaptación flexibles o adaptación al cambio climático que contemplan y limitan los daños en caso de que ocurran eventos severos como inundaciones cada 500 años.

Fail Safe y Fail Secure

Fail-safe y fail-secure son conceptos distintos. Fail-safe significa que un dispositivo no pondrá en peligro vidas ni propiedades cuando falle. Fail-secure, también llamado fail-closed, significa que el acceso o los datos no caerán en las manos equivocadas en una falla de seguridad. A veces, los enfoques sugieren soluciones opuestas. Por ejemplo, si un edificio se incendia, los sistemas a prueba de fallas desbloquearían las puertas para garantizar un escape rápido y permitir que los bomberos entren, mientras que los sistemas a prueba de fallas bloquearían las puertas para evitar el acceso no autorizado al edificio.

Lo opuesto a fallo cerrado se llama fallo abierto.

Error activo operativo

Fail active operating puede instalarse en sistemas que tienen un alto grado de redundancia para que se pueda tolerar una sola falla de cualquier parte del sistema (fail active operating) y se pueda detectar una segunda falla, momento en el cual el sistema se apagará solo (desacoplamiento, falla pasiva). Una forma de lograr esto es tener tres sistemas idénticos instalados y una lógica de control que detecte las discrepancias. Un ejemplo de esto son muchos sistemas de aeronaves, entre ellos los sistemas de navegación inercial y los tubos de Pitot.

Punto de seguridad

Durante la Guerra Fría, el "punto a prueba de fallas" fue el término utilizado para el punto de no retorno de los bombarderos nucleares del Comando Aéreo Estratégico Estadounidense, justo fuera del espacio aéreo soviético. En caso de recibir una orden de ataque, los bombarderos debían permanecer en el punto de seguridad y esperar una segunda orden de confirmación; hasta que se recibiera uno, no armarían sus bombas ni seguirían adelante. El diseño fue para evitar que cualquier falla del sistema de comando estadounidense causara una guerra nuclear. Este sentido del término entró en el léxico popular estadounidense con la publicación de la novela de 1962 Fail-Safe.

(Otros sistemas de control de comando de guerra nuclear han utilizado el esquema opuesto, a prueba de fallas, que requiere pruebas continuas o regulares de que un ataque enemigo de primer ataque no ha ocurrido para prevenir el lanzamiento de un ataque nuclear.)

Contenido relacionado

Lubricante

Además de las aplicaciones industriales, los lubricantes se utilizan para muchos otros fines. Otros usos incluyen cocinar bioaplicaciones en humanos...

PlayStation (consola)

La PlayStation es una consola de videojuegos para el hogar desarrollada y comercializada por Sony Computer Entertainment. Fue lanzado en Japón el 3 de...

Transporte en Puerto Rico

Transporte en Puerto Rico incluye un sistema de caminos, carreteras, autopistas, aeropuertos, puertos y sistemas ferroviarios, sirviendo a una población de...
Más resultados...
Te puede interesar
Tamaño del texto:
Copiar