Ausfallsicheres Design

Hidden Champions: ausfallsicheres Internet für starke Seile aus Memmingen (Juni 2019).

$config[ads_text] not found
Anonim

Ausfallsicheres Design

Kapitel 6 - Kontaktplanlogik


Logikschaltungen, ob sie aus elektromechanischen Relais oder Festkörper-Gates bestehen, können auf viele verschiedene Arten gebaut werden, um die gleichen Funktionen auszuführen. Es gibt normalerweise keinen "richtigen" Weg, eine komplexe Logikschaltung zu entwerfen, aber es gibt normalerweise Wege, die besser sind als andere.

In Steuerungssystemen ist Sicherheit (oder sollte es zumindest sein) eine wichtige Design-Priorität. Wenn es mehrere Möglichkeiten gibt, auf denen eine digitale Steuerschaltung zur Ausführung einer Aufgabe entworfen werden kann, und eine dieser Möglichkeiten gewisse Sicherheitsvorteile gegenüber den anderen aufweist, dann ist dieses Design das bessere zu wählen.

Sehen wir uns ein einfaches System an und überlegen Sie, wie es in der Relay-Logik implementiert werden könnte. Angenommen, ein großes Labor- oder Industriegebäude soll mit einem Brandmeldesystem ausgestattet werden, das durch einen der mehreren in der Anlage installierten Verriegelungsschalter aktiviert wird. Das System sollte so funktionieren, dass die Alarmsirene aktiviert wird, wenn einer der Schalter betätigt wird. Auf den ersten Blick scheint es, als sollte die Relay-Logik unglaublich einfach sein: Verwenden Sie einfach normal offene Schalterkontakte und verbinden Sie sie alle parallel miteinander:

Im Wesentlichen ist dies die ODER-Logikfunktion, die mit vier Schalteingängen implementiert ist. Wir könnten diese Schaltung um eine beliebige Anzahl von Switch-Eingängen erweitern, wobei jeder neue Switch dem parallelen Netzwerk hinzugefügt wird, aber ich werde ihn in diesem Beispiel auf vier beschränken, um die Dinge einfach zu halten. Auf jeden Fall ist es ein elementares System und es scheint wenig Möglichkeit von Schwierigkeiten zu geben.

Außer im Falle eines Verdrahtungsfehlers. Die Art der elektrischen Schaltungen ist derart, dass "offene" Fehler (offene Schaltkontakte, unterbrochene Kabelverbindungen, offene Relaisspulen, durchgebrannte Sicherungen usw.) statistisch wahrscheinlicher auftreten als jede andere Art von Fehler. In diesem Sinne ist es sinnvoll, eine Schaltung so zu tolerieren, dass sie so tolerant wie möglich ist. Nehmen wir an, dass eine Kabelverbindung für Switch # 2 fehlgeschlagen ist:

Wenn dieser Fehler auftreten würde, würde das Ergebnis sein, dass Schalter Nr. 2 die Sirene nicht länger erregen würde, wenn er betätigt wird. Dies ist offensichtlich in einem Feueralarmsystem nicht gut. Wenn das System nicht regelmäßig getestet wurde (jedenfalls keine gute Idee), würde niemand wissen, dass es ein Problem gab, bis jemand versuchte, diesen Schalter im Notfall zu benutzen.

Was ist, wenn das System überarbeitet wurde, um im Falle eines offenen Fehlers den Alarm auszulösen "// www.beautycrew.com.au//sub.allaboutcircuits.com/images/04067.png">

Wenn alle Schalter nicht betätigt sind (der normale Betriebszustand dieses Systems), wird das Relais CR1 erregt, wodurch der Kontakt CR1 geöffnet bleibt, wodurch verhindert wird, dass die Sirene mit Strom versorgt wird. Wenn jedoch einer der Schalter betätigt wird, fällt das Relais CR1 ab, der Kontakt CR1 wird geschlossen und der Alarm ertönt. Wenn es irgendwo im oberen Stromkreis der Schaltung eine Unterbrechung gibt, ertönt der Alarm. Wenn festgestellt wird, dass der Alarm falsch ist, werden die Mitarbeiter in der Einrichtung wissen, dass etwas im Alarmsystem fehlgeschlagen ist und dass es repariert werden muss.

Zugegeben, die Schaltung ist komplexer als vor dem Hinzufügen des Steuerrelais, und das System könnte immer noch im "stillen" Modus mit einer unterbrochenen Verbindung im unteren Strompfad versagen, aber es ist immer noch ein sichereres Design als die ursprüngliche Schaltung, und somit vom Standpunkt der Sicherheit aus vorzuziehen.

Diese Schaltung wird als ausfallsicher bezeichnet, da sie im Falle eines häufigen Fehlers wie einer unterbrochenen Verbindung in der Schalterverdrahtung auf den sichersten Modus voreingestellt ist. Ausfallsicheres Design beginnt immer mit einer Annahme hinsichtlich der wahrscheinlichsten Art von Verdrahtungs- oder Komponentenfehlern und versucht dann, die Dinge so zu konfigurieren, dass ein solcher Fehler bewirkt, dass die Schaltung auf die sicherste Art und Weise arbeitet, wobei der "sicherste Weg" bestimmt wird die physikalischen Eigenschaften des Prozesses.

Zum Beispiel ein elektrisch betätigtes (Magnet-) Ventil zum Einschalten von Kühlwasser zu einer Maschine. Die Erregung der Solenoidspule bewegt einen Anker, der dann den Ventilmechanismus entweder öffnet oder schließt, abhängig davon, welche Art von Ventil wir spezifizieren. Eine Feder wird das Ventil in seine "normale" Position bringen, wenn der Elektromagnet stromlos ist. Wir wissen bereits, dass ein offener Fehler in der Verdrahtung oder der Magnetspule wahrscheinlicher ist als ein Kurzschluss oder eine andere Art von Ausfall, daher sollten wir dieses System so konzipieren, dass es bei stromlosem Magneten in seiner sichersten Betriebsart ist.

Wenn es Kühlwasser ist, das wir mit diesem Ventil steuern, ist es wahrscheinlich sicherer, dass das Kühlwasser im Falle eines Versagens eingeschaltet wird, als dass es abgeschaltet wird, wobei die Folgen einer Maschine, die ohne Kühlmittel läuft, normalerweise schwerwiegend sind. Dies bedeutet, dass wir ein Ventil angeben sollten, das sich im stromlosen Zustand einschaltet (öffnet) und im erregten Zustand ausschaltet (schließt). Dies mag "rückwärts" erscheinen, um das Ventil auf diese Weise einzurichten, aber es wird letztendlich zu einem sichereren System führen.

Eine interessante Anwendung der fehlersicheren Konstruktion ist in der Energieerzeugungs- und Verteilungsindustrie, wo große Leistungsschalter durch elektrische Steuersignale von Schutzrelais geöffnet und geschlossen werden müssen. Wenn ein 50/51-Relais (unverzögerter und zeitlicher Überstrom) einen Leistungsschalter dazu veranlassen soll, bei Überstrom auszulösen (offen), sollten wir es so konstruieren, dass das Relais einen Schaltkontakt schließt, um ein "Auslösesignal" zu senden zum Unterbrecher oder öffnet einen Schaltkontakt, um ein regelmäßig "Ein" -Signal zu unterbrechen, um eine Unterbrecherauslösung zu initiieren? Wir wissen, dass eine offene Verbindung am wahrscheinlichsten auftritt, aber was ist der sicherste Zustand des Systems: Unterbrecher offen oder Unterbrecher geschlossen?

Zunächst scheint es, dass es im Falle eines offenen Fehlers im Steuerkreis des Schutzrelais sicherer wäre, einen großen Schutzschalter auszulösen (öffnen und ausschalten), wie wir es bei der Feueralarmanlage gewohnt waren ein Alarmzustand bei jedem Schalter oder Verdrahtungsfehler. In der Welt der High Power ist es jedoch nicht so einfach. Es ist keine Kleinigkeit, einen großen Leistungsschalter wahllos auslösen zu lassen, vor allem, wenn die Kunden auf die kontinuierliche Stromversorgung angewiesen sind, um Krankenhäuser, Telekommunikationssysteme, Wasseraufbereitungssysteme und andere wichtige Infrastrukturen zu versorgen. Aus diesem Grund haben die Ingenieure des Stromsystems im Allgemeinen zugestimmt, Schutzrelais zu entwerfen, die ein geschlossenes Kontaktsignal (zugeführte Energie) ausgeben, um große Leistungsschalter zu öffnen, was bedeutet, dass jeder offene Fehler in der Steuerverdrahtung unbemerkt bleibt und den Leistungsschalter einfach in der Status Quo Position.

Ist das eine ideale Situation? Natürlich nicht. Wenn ein Schutzrelais einen Überstromzustand feststellt, während die Steuerverkabelung defekt ist, kann es den Leistungsschalter nicht auslösen. Wie bei der ersten Brandmeldeanlage wird der "stille" Ausfall nur dann sichtbar, wenn das System benötigt wird. Um jedoch die Steuerschaltung anders zu konstruieren - so dass jeder offene Fehler den Leistungsschalter sofort abschalten würde, was möglicherweise große Tränke des Stromnetzes ausschaltet - ist es wirklich keine bessere Alternative.

Ein ganzes Buch könnte über die Prinzipien und Praktiken eines guten ausfallsicheren Systemdesigns geschrieben werden. Zumindest hier sind einige Grundlagen bekannt: Die Verdrahtung neigt häufiger zum Öffnen als zum Kurzschluss, und der (offene) Fehler eines elektrischen Steuerungssystems sollte so sein, dass er den realen Prozess anzeigt und / oder aktiviert der sicherste alternative Modus. Diese grundlegenden Prinzipien gelten auch für nicht-elektrische Systeme: Identifizieren Sie die häufigste Fehlerart, und konstruieren Sie das System so, dass der wahrscheinliche Fehlermodus das System in den sichersten Zustand versetzt.

  • REZENSION:
  • Das Ziel des fehlersicheren Designs besteht darin, ein Steuerungssystem so anfällig wie möglich zu machen für mögliche Verdrahtungs- oder Komponentenfehler.
  • Der häufigste Typ von Verdrahtungs- und Komponentenfehlern ist eine "offene" Schaltung oder eine unterbrochene Verbindung. Daher sollte ein ausfallsicheres System so ausgelegt sein, dass es im Falle eines offenen Stromkreises auf seinen sichersten Betriebsmodus voreingestellt ist.