Fail-Safe

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Dieser Artikel behandelt die Konstruktionsmethodik. Für die Filme gleichen (Original-)Titels siehe Angriffsziel Moskau (1964) und Fail Safe – Befehl ohne Ausweg (2000).

Fail-safe oder dt. Ausfallsicher (englisch für trotz Fehler sicher; zusammengesetzt aus engl. fail ‚ausfallen‘ und safe ‚gefahrlos‘) bezeichnet jede Eigenschaft eines Systems, die im Fall eines Fehlers zu möglichst geringem Schaden führt. Bei einer Maschine oder Anlage werden systematisch Fehler unterstellt und danach versucht, die zugehörigen Auswirkungen so ungefährlich wie möglich zu gestalten. Dieses Prinzip wird in allen technischen Bereichen angewendet. In vielen Fällen gibt es hierfür branchenspezifische Sicherheitsvorschriften. Im übertragenem Sinn werden neben Bauteil- oder Energieausfall auch Bedienungsfehler betrachtet.

Beispiel: Der Lokführer überfährt ein Haltsignal und erhält eine Zwangsbremsung.

Manchmal wird im Deutschen in diesem Zusammenhang auch der Begriff Fehlertoleranz benutzt. Bei diesem Begriff geht es aber eher um das Thema "Bedienerfreundlichkeit". Jedenfalls ist mit diesem Begriff selten die Betrachtung einer Gefährdung für Gesundheit und Umwelt verbunden.

Auch der Begriff Ausfallsicherheit bezieht sich nicht auf eine damit verbundene Gefährdung, sondern auf die Zuverlässigkeit einer Anlage.

Fehlerbetrachtung[Bearbeiten]

Die Standardfragen lauten, was passiert wenn,

Diese Fragen werden üblicherweise in einer FMEA (Failure Mode and Effects Analysis - „Fehlermöglichkeits- und Einflussanalyse“) untersucht und bewertet.

Komplexere Fragen ergeben sich, wenn

  • mehrere Probleme zusammenwirken,
  • absichtlich Probleme erzeugt werden.

Solche komplexe systemtechnischen Fragestellungen werden z. B. mit den Methoden der Zuverlässigkeitstechnik, wie Fehlerbaum- oder Ereignisbaumanalyse untersucht.

Im Einzelfall können weitere Fragen sinnvoll oder notwendig sein. Es ist unzulässig, die Fehlerbetrachtung auf die Steuerung oder Elektrik zu beschränken. Ebenso darf eine Betrachtung nicht durch Einschätzungen wie "selten" oder "unwahrscheinlich" unterdrückt werden. Ebenfalls darf die Unterstellung eines Ausfalls nicht einfach durch eine "Überdimensionierung" eines konstruktiven Details ausgeschlossen werden. Beispiel: die Rohrleitung bricht (auch bei doppelter oder dreifacher Wandstärke). Die Folgen eines solchen Bruchs müssen analysiert werden.

Dem Bediener wird Fehlverhalten unterstellt. Dann kann man im Umkehrschluss den Bediener nicht als Garant für den sicheren Zustand betrachten.

Kommt man zu keinem befriedigendem Ergebnis, dann kann die Planung von redundanten Bauteilen ein Ausweg sein. Bezogen auf das Thema Sicherheit sind dann solche Bauteile notwendig und nicht überflüssig.

Beispiele[Bearbeiten]

Eisenbahnbau[Bearbeiten]

Beide Formsignale zeigen Halt, die Vorsignale "Halt erwarten".

Signale im Eisenbahnbetrieb zeigen grundsätzlich zwei Begriffe an: Halt und Fahrt. Sie haben die Aufgabe, in einem Streckenabschnitt nur einen Zug fahren zu lassen. Ein Signal wird so konstruiert, dass es im Fehlerfall nicht Fahrt anzeigt, sondern Halt. Zudem sind inzwischen wirksame Zugbeeinflussungssysteme an die Signale gekoppelt, was bei Überfahren eines haltzeigenden Signals automatisch zu einer Schnellbremsung führt. Im Fehlerfall fährt also kein Zug in den gesperrten Streckenabschnitt.

Mechanische Signale wurden so konstruiert, dass der Signalflügel in waagerechter Stellung Halt signalisiert, und ein schräg nach oben zeigender Flügel Fahrt. Reißt ein Seilzug, oder treten andere mechanische Störungen an dem Signal auf, so fällt der Flügel selbsttätig in die Haltstellung. Das ist die Konstruktion in der Fail-Safe-Methode.

Auch bei der Eisenbahnbremse kommt dieses Prinzip zum Tragen: Während der Fahrt muss sie unter Druck stehen, um nicht zu bremsen. Reißt eine Kupplung und damit auch die Bremsleitung, werden die Bremsen an beiden Zugteilen entlüftet, es kommt zur Schnellbremsung.

Einsatz im Flugzeugbau[Bearbeiten]

Die Fail-safe-Methode wird in vielen Bereichen des Flugzeugbaus eingesetzt. Sie geht davon aus, dass die Bauteile aufgrund der ständig wechselnden Lasten im Laufe der Zeit versagen. Um ein Versagen des Systems zu verhindern, setzt diese Philosophie auf die so genannte ausfallsichere Konstruktion. Die Konstruktion ist mehrfach statisch unbestimmt, so dass bei Ausfall eines Bauteils ein anderes Bauteil dessen Aufgabe übernehmen kann. Mindestens die sichere Last (max. Betriebslast) muss durch das Nachbarteil aufgenommen werden. Ein Beispiel aus dem Flugzeugbau sind Rissstopper, die ein Größerwerden von Rissen verhindern sollen oder die Bolzen, welche zur Befestigung der Triebwerke eingesetzt werden. Diese sind doppelt vorhanden (Bolzen in Bolzen) und jeweils auf die maximale Last ausgelegt.

Eine regelmäßige Inspektion zur rechtzeitigen Feststellung von Rissen ist bei dieser Methode unerlässlich. Deshalb muss der Schaden bei regelmäßigen Routineuntersuchungen erkennbar sein. Das ausgefallene Bauteil muss dann schnellstmöglich ersetzt werden. Ein einfacher Austausch ist dabei Voraussetzung der Konstruktion nach Fail-Safe.

Modellbau[Bearbeiten]

Ein Fail-Safe Modul stellt eine Baugruppe dar, die bei unzuverlässigen Signalen des Empfängers, ausgelöst durch schwachen Funkempfang oder unzureichende Batterieleistung, eine bestimmte Aktion im Modell ausführt, zum Beispiel die Bremsanlage betätigt. Die Aktion im Fail-Safe-Fall kann bei guten Baugruppen eingestellt werden.

Dies soll verhindern, dass das Modell sich unkontrolliert weiter bewegt und gegebenenfalls zerstört wird oder Zerstörungen verursacht.

Dies wird meist bei Auto- oder Flugzeug-Modellen angewendet.

Maschinenbau[Bearbeiten]

Fail-safe ist eine Konstruktionsmethode, um das Auftreten von Fehlern in Systemen zu erkennen und eine Maschine in einen sicheren Zustand zu bringen.

Beim statischen Fail-safe werden Komponenten so angebaut und an eine Steuerung angeschlossen, dass die Komponente bei Ausfall einen sicheren Zustand herstellt. So wird zum Beispiel ein Sensor so an eine Überwachung angebracht, dass er im Normalzustand betätigt ist und so verdrahtet, dass er dabei Spannung an das auswertende Gerät anlegt. Wird nun die Betätigung abgebaut oder entsteht Drahtbruch, erkennt das auswertende Gerät den gleichen Zustand wie im Fehlerfall des Sensors und stoppt die Maschine. Das statische Fail-safe ist nicht überlistungssicher, da es durch Manipulationen möglich ist, die Komponente so zu beeinflussen, dass dem auswertenden Gerät ein sicherer Zustand vorgetäuscht wird (zum Beispiel über eine Drahtbrücke, ein den Sensor auf andere Weise betätigendes Element). Statisches Fail-safe ist sowohl für Sensorik und für Aktorik möglich.

Das dynamische Fail-safe überwacht Zustandsänderungen einer angeschlossenen Komponente. So werden Reaktionen auf einen Sensor nicht durch den Zustand des Sensors selbst, sondern durch einen Wechsel des Zustands ausgelöst. Bei Sensoren, die regelmäßig eine Zustandsänderung (zum Beispiel in jedem Maschinentakt) durchführen, wird zusätzlich eine Plausibilitätskontrolle durchgeführt. Abhängig von der Maschinenposition muss der Sensor an einer vorher bestimmten Position einen bestimmten Zustand einnehmen. Dynamisches Fail-safe ist nur für Sensorik möglich.

Der Umfang der Sensorik und Aktorik mit Fail-safe Logik in einer Maschine wird anhand einer Risikoanalyse bestimmt.

Siehe auch[Bearbeiten]

Weitere Konstruktionsphilosophien sind die Fail-safe-Methode Safe-life und die Damage-Tolerance-Methode. Die Fail-Safe-Methodik stellt einen wirtschaftlich vernünftigen Kompromiss zwischen oben genannten Methoden dar.