Was ist der Unterschied zwischen ausfallsicher und ausfallsicher?

Ich habe die folgenden Begriffe im Zusammenhang mit sicherem Systemdesign gehört, kann aber keinen wirklichen Unterschied zwischen Fail-Safe und Fail-Soft (Graceful Degradation) erkennen.

Um ein gemeinsames Verständnis zu bekommen, werde ich nur die Begriffe aufschreiben, die ich gehört habe. Bitte korrigiere mich, wenn ich etwas nicht richtig erkläre:

  • Sicheres Leben : Ein System zeigt während seines Lebenszyklus keine Fehler
  • Fail-Safe : Ein System geht nach einem Ausfall in einen sicheren Betriebszustand mit eingeschränkter Funktionalität
  • Fail-Soft : Ein System wechselt nach einem Ausfall in einen herabgesetzten Modus
  • Fail-Operative : Ein System hat nach einem Ausfall noch die volle Funktionalität

Aus diesen Erklärungen geht hervor, dass Fail-Safe und Fail-Soft eigentlich die gleichen Konzepte sind. Ich würde mich freuen, wenn mir jemand anhand einiger Beispiele aus der Luftfahrt den Unterschied zwischen den Konzepten erklären könnte.

Ausfallsicher erfordert überhaupt keinen Systembetrieb.
Ein gutes Beispiel für ein ausfallsicheres System außerhalb des Luftfahrtkontexts sind Eisenbahnbremsen. Bei Personenkraftwagen wird Kraft angewendet, um die Bremsen zu betätigen, sodass Sie bei einem Ausfall des Hydrauliksystems die Bremsen nicht verwenden können, um Ihr Auto anzuhalten. In Zügen werden jedoch Bremsen im neutralen Zustand betätigt und es wird Kraft aufgebracht, um sie abzuhalten. Jeder Ausfall der Stromversorgung schaltet sie ein und stoppt den Zug, indem er ihn in einen sicheren Zustand bringt - das macht sie ausfallsicher, obwohl sie im ausgefallenen Zustand nicht "betriebsbereit" sind und keine Funktionalität haben.
Und ausfallsicher?

Antworten (1)

Ausfallsicherheit bedeutet nicht zwangsläufig, dass das System nach einem Ausfall weiterarbeitet. Wenn das System den Betrieb einstellt, aber keine gefährliche Situation verursacht, ist es immer noch ausfallsicher. Ein nicht unbedingt erforderlicher Dienst an Bord eines Flugzeugs wie das Unterhaltungssystem kann ausfallsicher sein, wenn es einfach nicht mehr funktioniert, weil eine Sicherung durchbrennt. Wenn bei einem Ausfall die Sicherung nicht durchbrennt und dadurch das System nach einem Kurzschluss Feuer fängt, ist es nicht ausfallsicher.

Fail-Soft bedeutet in der Tat, dass nach einem Ausfall wesentliche Dienste noch funktionsfähig sind, obwohl dies im Luftfahrtkontext meist als Graceful Degradation bezeichnet wird. Ein Fly-by-Wire-System wie an Bord des A320 ist ausfallsicher:

  • Wenn alle Flugcomputer funktionieren, fliegt das System mit aktivem Normalgesetz und bietet Schutz davor, in unsichere Bereiche des Flugbereichs zu gelangen.
  • Bei bestimmten erkannten Fehlern schaltet das System auf alternatives Recht um, wobei noch einige Schutzmaßnahmen vorhanden sind.
  • Bei weiteren Fehlern schaltet das System auf direktes Gesetz um: kein Flughüllenschutz mehr, nur Oberflächenauslenkung proportional zur Steuerknüppelauslenkung.

Damit ist dieses Flugcomputersystem ausfallsicher und ausfallsicher. Das gesamte elektronische Flugsteuerungssystem ist ausfallsicher: Wenn alle Flugcomputer verloren gehen, verfügt das System über hydromechanische Verbindungen von den Pedalen zum Seitenruder und vom Trimmrad zum Stabilisator.

Hydraulische Systeme erfordern besondere Aufmerksamkeit in Bezug auf die Ausfallsicherheit, da ein festsitzendes Servoventil eine konstante Geschwindigkeit befehlen kann: Der Aktuator läuft gegen einen seiner Anschläge und hat einen harten Ausfall. Ein Aufzug, der in voller Auslenkung nach oben feststeckt, ist nicht sicher, daher muss das Pitch-Steuersystem Vorkehrungen für die Ausfallsicherheit treffen, wenn dieser Fehler auftritt. Zum Beispiel, indem zugelassen wird, dass linke und rechte Aufzüge normalerweise im Einklang arbeiten, sie jedoch entkoppelt werden, nachdem ein Hard-Over-Fehler erkannt wurde. Das funktionierende Höhenruder kann dann in die vollständig entgegengesetzte Position kommandiert werden, wodurch das Höhenrudersystem ausfallsicher, aber nicht ausfallsicher wird: Der Nickbefehl muss jetzt mit der Stabilisatortrimmung erfolgen. Ein Aufzug, der in der mittleren Position feststeckt, wäre ausfallsicher, und die Steuerung mit dem anderen Aufzug sorgt für eine sanfte Verschlechterung.

Das Flugsteuerungssystem an Bord einer F-16 ist ausfallsicher: Bei einem Systemausfall wird die volle Systemfunktion fortgesetzt, keine Beeinträchtigung. Es ist dreifach redundant, d. h. es sind vier Systeme an Bord, die die gleiche Funktion erfüllen, während nur eines benötigt wird. Die vier Systeme funktionieren unabhängig, und ein Überwachungssystem bestimmt, ob alle vier Ausgänge innerhalb eines vorbestimmten Bereichs liegen. Wenn drei es sind und eines nicht, wird dieses System abgeschaltet und die anderen drei machen weiter. Dies kann noch einmal passieren, aber wenn nur zwei Systeme in Betrieb sind, würde das Abstimmungssystem nicht wissen, welches der beiden ausgefallen ist.

Gute Beschreibung und Beispiele. In meinen Diskussionen mit der FAA haben sie den Begriff Fail-Soft sehr selten verwendet. Sie beziehen sich in der Regel auf das Schlüsselverhalten eines ausfallsicheren Systems, das sie als "gnädige Degradation" in den ausfallsicheren Zustand bezeichnen.
+1 Vielen Dank für Ihre klare und ausführliche Antwort. Endlich kann ich aus diesen Terminologien einen Sinn machen.
@Gerry Tatsächlich klingt Fail-Soft in einer Militär- oder Luftfahrtumgebung nicht gut. In die Antwort aufgenommen.
Ein Ausfall der gesamten Hydraulik ist keine häufige Fehlerursache. Es ist auch definitiv nicht ausfallsicher. Weil es am A320 keine Kabelverbindung gibt. Die „mechanische“ Verbindung bedeutet eine hydraulische. Wenn Sie die gesamte Hydraulik verlieren, sind Sie in ernsthaften Schwierigkeiten.
@JanHudec habe geändert.
Ich vermute stark, dass das Verhalten einer F-16 nach Ausfall eines oder mehrerer Flugsteuerungssystem(e) sehr stark von der Ausfallursache abhängt. Einige dieser Ausfallursachen treffen möglicherweise nicht auf den typischen Linienflugzeugbetrieb zu.
Etwas OT Ich finde es seltsam, dass die F-16 4 unabhängige Systeme hat. Was ist, wenn 2 sich bei einem Wert einig sind und 2 sich bei einem anderen Wert einig sind? Zugegeben, das ist unwahrscheinlich, aber nicht unmöglich - wenn das Wetter von der rechten Seite kommt, könnte ich die Möglichkeit sehen, dass Staurohre auf dieser Seite zufrieren, während die auf der linken Seite klar bleiben. /OT-Gedanken
@FreeMan Das System ist wahrscheinlich ein ausgeklügelter Hybrid, der zwei überlappende TMRs oder einen einzelnen TMR mit Ersatz- und / oder verschiedenen Split-Breaking-Systemen entweder auf der Ebene der Stromkreiswähler oder innerhalb eines Controllers ausführt. Ich bin mit dem System nicht vertraut, aber ich verstehe Quad-N-redundante Systeme, und sie sind normalerweise so einfach wie ein R (4,0). Beispiele für das Aufbrechen von Deadlocks können das Zurückweisen der längsten Dienststunde oder die zu entfernenden Ablehnungszahlen von Wählern sein eine Schaltung, die im Wesentlichen ihre historische Leistung betrachtet, wenn kein anderes Maß verfügbar ist. Es gibt viele Möglichkeiten.
@Koyovis, sind die F-16 wirklich 4 ähnliche Systeme mit Abstimmung? Das scheint eine ziemlich schlechte Wahl zu sein, da es keinen Schutz vor Softwarefehlern bietet (Systeme, die denselben Code ausführen und dieselbe Eingabe sehen, würden wahrscheinlich alle denselben Fehler machen). Das Airbus-System stimmt eigentlich nie über irgendetwas ab – es hat (sowohl in der Hardware als auch in der Software) unterschiedliche Haupt- und Prüfplatinen, und wenn sie nicht einverstanden sind, melden sie einen Fehler und das nächste Paar übernimmt.
@JanHudec Das war ursprünglich eine analoge FBW.
@FreeMan: Die F-16 hat vier, so dass sie immer noch eine Mehrheitsabstimmung halten kann, wenn eine scheitert. Dies ist eigentlich dreifach redundant (ein System, drei weitere zur Redundanz), wird aber umgangssprachlich (und fälschlicherweise) als vierfach redundant bezeichnet.
Nach meinem Verständnis bedeutet anmutige Erniedrigung, dass Sie immer noch nach Hause hinken können. Keine Fähigkeit mehr, die Mission zu erfüllen, aber genug, um nicht sofort abzustürzen. Beispielsweise würde ein einziger Verlust einer Steuerfläche das Handling von Stufe A auf Stufe B (in der alten MIL 8587-Terminologie) mit mehr Steuerkräften und weniger Autorität verschlechtern. Oder nehmen Sie den F8F , bei dem die Flügelspitzen bei 7,5 g anstelle des vollen Flügels abbrechen würden.
@JanHudec (erster Kommentar): Ein besseres Beispiel wäre die 737, die über die alten mechanischen Kabel eine manuelle Umkehrfunktion für die Querruder und Höhenruder hat.
@ Sean, ich bin mir nicht sicher, was es ein besseres Beispiel sein soll - der Punkt war, dass eine Sicherung für einen vollständigen Hydraulikausfall nicht erforderlich ist.
Was ist der Unterschied zwischen ausfallsicher und ausfallsicher?
AntwortenHierDatenschutz-Bestimmungen1y, 0v