五千年(敝帚自珍)

主题:【原创】这个动车调查报告开了一个极其恶劣的先河 -- TrueSam

共:💬147 🌺968 🌵6
全看分页树展 · 主题 跟帖
家园 你把“故障导向安全”的概念说的很精辟。俺再加个例子

你在什么是'故障导向安全'?中,对“故障导向安全”的解释很精辟。“故障导向安全”的基本含义,不是“一旦出故障了,我已经给出故障信号,这时一定要人工干预,否则就会发生事故”,而是说“一旦发生故障,即使没有人工干预,我也一定能保障不出事故”,代价是运行效率低或者发生浪费等较小的损失。

“故障导向安全”是工业和调度系统的基本功能。拿化工的反应塔做例子。生产过程需要一定的压力(比如5),控制系统靠反应塔内的压力传感器知道塔内的压力,压力过大(比如到10)会引起反应塔的爆炸,是大事故。好,有一天加压时你的传感器坏了(故障出现了),控制系统不知道塔里的压力,但是判断出传感器故障,你也要能保证:即使值班人员睡着了(没有人工干预),不能再给塔里加压,避免压力过高引起爆炸。这可能会打断正常的生产过程,造成这锅料的浪费,但是以较小的代价避免了大的损失。这才是 “故障导向安全”。这个只是原理,事实上,一个装置会有多个传感器互相参照,根据不同的工艺和设备,判断故障的方法也有很多种,这方面晨枫是老大。

那么,是不是控制系统出问题,就一定会导致事故呢?还是以反应塔为例。为了避免控制系统失控,还要加个不受控制系统控制的泄放阀门,设定在8。一旦压力到了8,不管控制器是不是在正常工作,都把阀门打开,避免压力过高。再保险一点,设置一个防爆片,就是一块金属片,额定的压力是9。一旦所有的有源装置都失效了,压力到了9,不管你控制系统或者泄放阀门是怎么回事不动作,这个金属片自动破碎,把反应塔内的压力卸掉,从而保护反应塔的安全。反应炉有三层安全保障:第一控制系统(必须具有故障导向安全的功能),第二泄放阀门,第三防爆片。这就是俺理解的忘情说的,系统安全不是单独依赖于某个子系统的,这句话的真实含义。

从控制设备来说,如果仅仅做到:虽然给出报警信号,但还是依赖于人工干预才能停止加压过程,那就没有做到“故障导向安全”。这种系统是不合格的,而甬温线的设备恰恰如此。

俺之所以认为调度站的工作人员责任较小,就是因为“故障导致安全”是铁路调度系统的基本功能。无论是司机还是调度人员,本能地认为设备一定具备这项功能。否则的话,每次司机或调度看到绿灯,都要琢磨:这是正常的绿灯呢,还是设备坏了随机给出的绿灯呢?这火车就没法开了。

还有一个,一般来说,能接触设备的人员也是分档的,用户方面设备操作人员是最底层的,上面是工程师,至少有这么两层。再上面才是设备制造商。各层权限是不同的。而操作人员只能做最外层,最基本的东西,好多东西是动不了的。换句话说,一个低权限的操作或维修人员,他有心把设备信号弄乱,把红灯改成绿灯,人为制造故障,他都做不到。他最多能做到的,是扛把大锤把控制系统的主机砸了。这个时候,应当是什么效果呢?“故障导致安全”被触发,主机控制的路段全线红灯,所有列车停驶。操作层面的例子还有,一个火车司机,在限速200公里的线路上,他都不可能把速度提高到220公里(当然可以降到0)。

“故障导向安全”,操作权限分级,还有一个,操作有记录(log file),都是控制系统的最最基本的要求。

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河