Vad är skillnaden mellan felsäker och felsjuk?

Navigera dina svar
16

Jag har hört följande termer relaterade till säker systemdesign men jag kan inte riktigt se skillnaden mellan felsäker och felmjuk (graciös nedbrytning).

För att få en gemensam förståelse ska jag bara skriva ut de villkor som jag har hört. Snälla rätta mig om jag inte förklarar något ordentligt:

  • Säkert liv : Ett system visar inga fel under sin livscykel
  • Felaktigt : Ett system går till ett säkert driftläge med reducerad funktionalitet efter ett misslyckande
  • Fail-Soft : Ett system går till ett försämrat läge efter ett misslyckande
  • Felaktigt : Ett system har fortfarande full funktionalitet efter ett misslyckande

Av dessa förklaringar verkar det som om Felaktigt och Fail-Soft faktiskt är samma begrepp. Jag skulle vara glad om någon kunde förklara för mig skillnaden mellan begreppen genom att använda några exempel från luftfart.

    
uppsättning MrYouMath 18.09.2017 14:48

1 svar

27

Felaktigt innebär inte nödvändigtvis att systemet fortsätter att fungera efter ett misslyckande. Om systemet slutar fungera men inte skapar en farlig situation är den fortfarande felsäker. En icke-nödvändig tjänst ombord på ett flygplan som underhållningssystemet kan vara felfria om det bara slutar fungera eftersom en säkring blåser. Om säkringen inte blåser och som ett resultat får systemet eld efter en kortslutning, är det inte felsäkert.

Felmjuk betyder verkligen att efter ett misslyckande är väsentliga tjänster fortfarande funktionella, men i luftfartssammanhang härledas det mest som graciös nedbrytning. Ett fly-by-wire system som ombord på A320 är felmjuk:

  • Om alla funktioner flyger systemet med normalt lag aktiv, vilket ger skydd mot att komma in i osäkra områden i flygkuvertet.
  • Vid vissa upptäckta misslyckanden växlar systemet till alternativ lag, fortfarande med några skydd på plats.
  • Vid ytterligare misslyckanden växlar systemet till direkt lag: inget skydd för flygkuvert, bara ytadeböjning proportionell mot stickböjning.

Så det här systemet är felmjuk och felaktigt. Det elektroniska flygstyrsystemet som helhet är felaktigt: om alla flygdatorer är förlorade, har systemet hydro-mekaniska anslutningar från pedaler till roder och från trimhjulet till stabilisatorn.

Hydrauliksystem kräver särskild uppmärksamhet när det gäller felsäkerhet, eftersom en fast servoventil kan styra konstant hastighet: manöverdonet går in i ett av sina stopp och har ett överhettningsfel. En hiss som är fast i full uppböjning är inte säker, så pitchkontrollsystemet behöver göra bestämmelser om felsäkerhet om detta fel uppstår. Till exempel genom att låta vänster och höger hissar normalt fungera i samklang, men koppla bort dem efter detektering av ett svårt misslyckande. Arbetshissen kan då beordras till full motsatt position, vilket gör hissystemet felsäkert men inte felmjuk: Höjdkommando måste nu göras med stabilisatorns trim. En hiss fast i mittläge skulle vara felfria, och kontrollen med den andra hissen ger graciös försämring.

Flygkontrollsystemet ombord på en F-16 är felaktigt: vid systemfel fortsätter hela systemfunktionen, ingen nedbrytning. Det är fyrdubbla redundant, vilket betyder att det finns fyra system ombord som utför samma funktion, medan endast en är nödvändig. De fyra systemen fungerar oberoende, och ett övervakningssystem bestämmer om alla fyra utgångarna ligger inom ett förutbestämt intervall. Om tre är och en inte är det här systemet avstängt och de andra tre fortsätter. Detta kan hända en gång till, men om det bara finns två system som fungerar, skulle röstsystemet inte veta vilket av de två som misslyckades.

    
svaret ges 18.09.2017 17:09

Läs andra frågor om taggar Kärlek och kompatibilitet Skor Gear 12 Stjärntecken Grunderna

Varför sprängde besättningen stugan innan den tog sig av? Fantasy roman med mördare och föräldralösa barn