¿Cuál es la diferencia entre a prueba de fallas y a prueba de fallas?

Escuché los siguientes términos relacionados con el diseño de sistemas seguros, pero realmente no puedo ver la diferencia entre a prueba de fallas y falla suave (degradación elegante).

Para obtener un entendimiento común, solo escribiré los términos que he escuchado. Por favor, siéntase libre de corregirme, si no explico algo correctamente:

  • Vida segura : un sistema no muestra ninguna falla durante su ciclo de vida
  • A prueba de fallas: un sistema entra en un modo de operación seguro con funcionalidad reducida después de una falla
  • Fail-Soft : un sistema entra en un modo degradado después de una falla
  • Fail-Operative : un sistema aún tiene la funcionalidad completa después de una falla

De esas explicaciones, me parece que Fail-Safe y Fail-Soft son en realidad los mismos conceptos. Me encantaría que alguien pudiera explicarme la diferencia entre los conceptos utilizando algunos ejemplos de la aviación.

A prueba de fallas no requiere que el sistema funcione en absoluto.
Un buen ejemplo de sistema a prueba de fallas fuera del contexto de la aviación son los frenos ferroviarios. En los automóviles de pasajeros, se aplica fuerza para aplicar los frenos, por lo que cuando falla el sistema hidráulico, no puede usar los frenos para detener su automóvil. En los trenes, sin embargo, se activan los frenos en estado neutral y se aplica fuerza para detenerlos. Entonces, cualquier falla en el suministro de energía los involucra y detiene el tren empujándolo a un estado seguro; eso es lo que los hace a prueba de fallas, a pesar de que no son "operables" ni tienen ninguna funcionalidad en estado de falla.
¿Y seguro para fallar?

Respuestas (1)

A prueba de fallas no implica necesariamente que el sistema continuará funcionando después de una falla. Si el sistema deja de funcionar pero no crea una situación peligrosa, aún es a prueba de fallas. Un servicio no esencial a bordo de un avión, como el sistema de entretenimiento, puede ser seguro si deja de funcionar porque se funde un fusible. Si al fallar el fusible no se funde y como resultado el sistema se incendia después de un cortocircuito, no es a prueba de fallas.

De hecho, falla suave significa que después de una falla, los servicios esenciales siguen funcionando, aunque en el contexto de la aviación esto se conoce principalmente como degradación elegante. Un sistema fly-by-wire, como el que se encuentra a bordo del A320, falla levemente:

  • Si todas las computadoras de vuelo están funcionando, el sistema vuela con la ley normal activa, brindando protección contra el ingreso a regiones inseguras de la envolvente de vuelo.
  • Ante ciertas fallas detectadas, el sistema cambia a una ley alternativa, aún con algunas protecciones en su lugar.
  • Ante más fallas, el sistema cambia a la ley directa: no más protecciones de envolvente de vuelo, solo desviación de la superficie proporcional a la desviación de la palanca.

Por lo tanto, este sistema de computadora de vuelo es a prueba de fallas. El sistema de control de vuelo electrónico en su conjunto es a prueba de fallas: si se pierden todas las computadoras de vuelo, el sistema tiene conexiones hidromecánicas desde los pedales al timón y desde la rueda de compensación al estabilizador.

Los sistemas hidráulicos requieren una atención especial con respecto a la seguridad contra fallas, ya que una servoválvula atascada puede controlar una velocidad constante: el actuador se topa con uno de sus topes y tiene una falla total. Un ascensor que está atascado en la desviación máxima hacia arriba no es seguro, por lo que el sistema de control de cabeceo debe tomar medidas para la seguridad contra fallas si ocurre esta falla. Por ejemplo, al permitir que los elevadores izquierdo y derecho funcionen normalmente al unísono, pero desacoplarlos después de la detección de una falla total. Luego, se puede ordenar al elevador de trabajo que se coloque en la posición completamente opuesta, lo que hace que el sistema del elevador sea a prueba de fallas pero no suave: el comando de cabeceo ahora debe realizarse con el ajuste del estabilizador. Un elevador atascado en la posición media sería a prueba de fallas, y el control con el otro elevador proporciona una degradación elegante.

El sistema de control de vuelo a bordo de un F-16 funciona a prueba de fallas: ante una falla del sistema, la función completa del sistema continúa, sin degradación. Es triplemente redundante, lo que significa que hay cuatro sistemas a bordo que realizan la misma función, mientras que solo se requiere uno. Los cuatro sistemas funcionan de manera independiente y un sistema de monitoreo determina si las cuatro salidas están dentro de un rango predeterminado. Si tres lo son y uno no, este sistema se apaga y los otros tres continúan. Esto puede suceder una vez más, pero si solo hay dos sistemas operativos, el sistema de votación no sabría cuál de los dos ha fallado.

Buena descripción y ejemplos. En mis discusiones con la FAA, muy rara vez han usado el término falla suave. Por lo general, se refieren al comportamiento clave de un sistema a prueba de fallas que denominan "degradación elegante" al estado a prueba de fallas.
+1 Gracias por su clara y extensa respuesta. Finalmente, puedo dar sentido a estas terminologías.
@Gerry, de hecho, fail-soft no suena bien en un entorno militar o de aviación. Han incluido en la respuesta.
La pérdida de todo el sistema hidráulico no es un modo de falla común. Definitivamente tampoco es a prueba de fallas. Porque no hay conexión de cable en A320. La conexión “mecánica” significa hidráulica. Si pierde todo el sistema hidráulico, se encuentra en serios problemas.
@JanHudec ha modificado.
Sospecho firmemente que el comportamiento de un F-16 después de la falla de uno o más sistemas de control de vuelo depende en gran medida de la causa de la falla. Algunas de esas causas de falla pueden no aplicarse a la operación típica de un avión comercial.
Ligeramente OT Me parece extraño que el F-16 tenga 4 sistemas independientes. ¿Qué pasa si 2 están de acuerdo en un valor y 2 están de acuerdo en otro valor? De acuerdo, eso es poco probable pero no imposible: si el clima llega desde el lado derecho, podría ver la posibilidad de que los tubos de Pitot en ese lado se congelen mientras que los del lado izquierdo permanecen despejados. / Pensamientos del AT
@FreeMan Es probable que el sistema sea un híbrido sofisticado que ejecuta dos TMR superpuestos o un solo TMR con repuesto o varios sistemas de interrupción divididos, ya sea a nivel de elector de circuito o dentro de un controlador. No estoy familiarizado con el sistema, pero entiendo los sistemas redundantes cuádruple N, y por lo general son algo tan simple como un R (4,0). un circuito, básicamente observando su desempeño histórico cuando no hay otra medida disponible. Hay muchas opciones.
@Koyovis, ¿el F-16 es realmente 4 sistemas similares con votación? Parece una elección bastante mala, porque no protege contra errores de software (los sistemas que ejecutan el mismo código y ven la misma entrada probablemente cometerán el mismo error). El sistema de Airbus en realidad nunca vota sobre nada: tiene un tablero primario y de verificación diferente (tanto en hardware como en software) y, si no están de acuerdo, informan la falla y el siguiente par se hace cargo.
@JanHudec El FBW analógico original era.
@FreeMan: El F-16 tiene cuatro, por lo que aún puede tener una mayoría de votos si uno falla. Esto es en realidad triple redundancia (un sistema, tres más por redundancia) pero coloquialmente (y erróneamente) se llama cuádruple redundancia.
En mi opinión, la degradación elegante significa que todavía puedes volver a casa cojeando. No más capacidad para cumplir la misión, pero suficiente para no estrellarse inmediatamente. Por ejemplo, una sola pérdida de una superficie de control degradaría el manejo del nivel A al nivel B (en la antigua terminología MIL 8587) con más fuerzas de control y menos autoridad. O tome el F8F , donde las puntas de las alas se romperían a 7,5 g en lugar del ala completa.
@JanHudec (primer comentario de): un mejor ejemplo sería el 737, que tiene la capacidad de reversión manual para los alerones y los elevadores a través de los cables mecánicos antiguos.
@Sean, no estoy seguro de qué se supone que es un mejor ejemplo: el punto era que no se requiere respaldo para una falla hidráulica completa.
¿Cuál es la diferencia entre a prueba de fallas y a prueba de fallas?
RespuestasAquíPolítica de privacidad1y, 2v