Cart
Continue shopping
Go to cart

KIẾN TRÚC CHỊU LỖI

Vì sao một hệ thống cứu người phải tiếp tục nói được ngay cả khi chính nó đang hỏng

 

Có một nghịch lý nằm ở trung tâm của mọi hệ thống an toàn cháy. Cái thời điểm hệ thống được cần đến nhất cũng chính là thời điểm đang phá hủy nó. Ngọn lửa đòi hỏi một thông báo sơ tán cũng là ngọn lửa đang đốt cáp, cắt nguồn và làm chết từng phần của chính hệ thống đó.


Phần lớn thiết bị trên đời được thiết kế để chạy tốt trong điều kiện bình thường. Một hệ thống âm thanh thông báo và sơ tán thì ngược lại: lý do tồn tại của nó nằm ở điều kiện bất thường, lúc có khói, có nhiệt, nguồn điện chập chờn và dây dẫn đang cháy. Vì thế, câu nói hệ thống hoạt động tốt vào ngày thường không chứng minh được điều gì cả. Câu hỏi thật sự là: khi một sợi cáp cháy đứt ở tầng ba đúng vào lúc thông báo cần tới được tầng năm, chuyện gì xảy ra?

Một dàn âm thanh giải trí được phép câm lặng trong tình huống đó. Một hệ thống an toàn sinh mạng thì không. Toàn bộ khoảng cách giữa hai điều này được gọi bằng một cái tên: kiến trúc chịu lỗi. Đây là bài viết về cách dựng một hệ thống vẫn nói được khi từng bộ phận của nó đã hỏng.

 

 

Nguyên tắc nền tảng: một lỗi đơn không được kéo sập cả hệ thống

Tinh thần xuyên suốt của bộ tiêu chuẩn EN 54 nằm gọn trong một câu: một lỗi đơn lẻ không được phép làm tê liệt nhiều hơn một phần giới hạn của hệ thống. Một sợi cáp bị hư hỏng chỉ được phép làm mất tối đa một vùng loa hoặc một khoang cháy, tuyệt đối không được làm mất cả một tầng hay cả tòa nhà. Nghe đơn giản, nhưng chính nguyên tắc duy nhất này sinh ra gần như toàn bộ các lựa chọn kỹ thuật trình bày bên dưới. Mỗi lớp dự phòng, mỗi cách đi dây, mỗi quyết định về nguồn điện đều là một câu trả lời cho câu hỏi: nếu chỗ này hỏng, phần còn lại có sống không?

Hệ thống phải tự biết chính nó đang hỏng

Điều đầu tiên mà một hệ thống chịu lỗi phải làm là tự giám sát. Tiêu chuẩn EN 54-16 buộc thiết bị điều khiển và hiển thị phải liên tục theo dõi tình trạng của chính nó và chuyển sang trạng thái cảnh báo lỗi ngay khi phát hiện sự cố. Nó giám sát các bộ khuếch đại, các đường dây loa, cáp dẫn, ắc quy, micro khẩn cấp, và cả đường tín hiệu nối với trung tâm báo cháy. Khi một đường loa bị đứt hoặc chập, hệ thống chỉ thị đúng vùng bị ảnh hưởng, để nhân viên biết chính xác khu vực nào đã mất khả năng phát thông báo, và biết điều đó trước khi đám cháy xảy ra, chứ không phải giữa lúc nó đang diễn ra.

Một hệ thống hỏng trong im lặng còn nguy hiểm hơn việc không có hệ thống, bởi nó bán cho người ta một cảm giác an toàn không có thật. Khả năng tự phát hiện và báo lỗi chính là ranh giới phân biệt một thiết bị an toàn sinh mạng với một dàn loa thương mại trông giống nó.

Dự phòng ở từng lớp

Tự biết mình hỏng mới là bước nhận thức. Bước hành động là bảo đảm rằng khi một bộ phận hỏng thật, luôn có một con đường khác để giọng nói đi tới tai người nghe. Sự dự phòng này được cài vào nhiều lớp khác nhau của hệ thống.

Ở lớp khuếch đại, một bộ khuếch đại dự phòng luôn sẵn sàng tự động tiếp quản vùng loa bị ảnh hưởng khi bộ khuếch đại chính hỏng, không cần ai bấm nút. Ở lớp đường dây tới loa, kỹ thuật đi dây kép A và B chia số loa trong một vùng thành hai tuyến cấp nguồn và đi theo hai đường riêng biệt, để một lỗi cáp đơn chỉ làm mất một nửa số loa của vùng đó thay vì toàn bộ. Người trong vùng vẫn nghe được thông báo, dù với mật độ loa thưa hơn.

Ở lớp xương sống truyền dẫn, kiến trúc hiện đại của đối tác công nghệ G7 mà Bá Hùng lựa chọn dùng mạng dạng vòng kín, nơi các nút thiết bị nối với nhau thành một vòng tròn. Khi một điểm trên vòng bị cắt đứt, dữ liệu lập tức chạy theo chiều ngược lại để tới mọi nút còn lại, nên không nút nào bị cô lập chỉ vì một vết cắt. Ở lớp tổ chức tổng thể, kiến trúc phân tán đặt các bộ khuếch đại và bộ điều khiển rải ra nhiều vị trí trong tòa nhà thay vì dồn vào một phòng kỹ thuật duy nhất, để sự phá hủy một vị trí không kéo theo cái chết của cả hệ thống.

Nguồn điện không được phép tắt

Cháy thường đi kèm mất điện lưới, đôi khi do chính đám cháy, đôi khi do lực lượng chữa cháy chủ động ngắt. Một hệ thống sơ tán phụ thuộc hoàn toàn vào điện lưới là một hệ thống sẽ im lặng đúng vào lúc cần lên tiếng. Vì vậy nó phải mang theo nguồn điện thứ cấp của riêng mình, thường là ắc quy, được tính dung lượng để duy trì toàn hệ thống ở chế độ chờ trong nhiều giờ sau khi mất điện lưới, rồi vẫn còn đủ để phát báo động ở đầy tải thêm một khoảng thời gian xác định.

Thiết bị cấp nguồn cho hệ thống an toàn cháy được quy định riêng trong tiêu chuẩn EN 54-4. Theo thông lệ của các quy phạm như BS 5839, dung lượng ắc quy thường được tính để chờ khoảng hai mươi bốn giờ rồi vẫn phát được báo động đầy tải thêm khoảng nửa giờ, nhưng con số chính xác tùy thuộc quy chuẩn áp dụng và chiến lược sơ tán của từng công trình. Bản thân ắc quy cũng phải được giám sát, để hệ thống báo lỗi khi nguồn dự phòng suy yếu, chứ không để nó âm thầm cạn kiệt.

Dây phải sống lâu hơn ngọn lửa

Bộ điều khiển tinh vi nhất cũng vô dụng nếu sợi cáp nuôi nó cháy đứt trong hai phút đầu. Đây là lý do các mạch an toàn sinh mạng dùng cáp chống cháy, loại cáp được chế tạo để giữ toàn vẹn mạch điện trong một khoảng thời gian định trước ngay cả khi bản thân nó đang bị đốt. Cáp được phân cấp theo số phút sống sót dưới lửa, thử nghiệm trong ngọn lửa trực tiếp ở khoảng 830 độ C trở lên, theo các tiêu chuẩn quốc tế như EN 50200 và IEC 60331, mà Việt Nam tiếp nhận qua họ tiêu chuẩn TCVN 9618 về tính toàn vẹn mạch điện của cáp trong điều kiện cháy.

 Việc chọn cấp cáp không phải mặc định, mà là một quyết định thiết kế gắn chặt với thời gian sơ tán. Một tòa nhà cao tầng áp dụng sơ tán theo giai đoạn, nơi các tầng được di tản lần lượt chứ không đồng loạt, cần cáp sống đủ lâu để tầng cuối cùng kịp thoát. Chọn sai cấp cáp nghĩa là đặt cược tính mạng vào giả định rằng đám cháy sẽ lịch sự dừng lại đúng lúc.

 

 

Dây phải sống lâu hơn ngọn lửa

Vai trò của Bá Hùng

Kiến trúc chịu lỗi không phải một tính năng có thể mua rời, nó là một thiết kế phải được tính toán và kiểm chứng. Vai trò của Bá Hùng là thiết kế đúng mức độ dự phòng cho từng cấp rủi ro của công trình, chỉ định đúng cấp cáp chống cháy theo chiến lược sơ tán, cấu hình hệ thống tự giám sát, rồi ghi lại toàn bộ thiết kế chịu lỗi này thành hồ sơ có thể kiểm tra khi nghiệm thu và truy vết về sau. Đây là chỗ hệ thống quản lý chất lượng ISO 9001, duy trì liên tục từ năm 2011, biến một tập hợp dự phòng kỹ thuật thành một sự an toàn được chứng minh trên giấy tờ.

Thiết bị nền tảng đến từ đối tác công nghệ G7, sản xuất tại G7, với thiết bị điều khiển và loa đạt chứng nhận EN 54, cùng một xương sống mạng vốn đã chịu lỗi từ trong thiết kế. Nhưng phần cứng tốt chỉ là điểm khởi đầu. Dự phòng nào không bao giờ được kiểm tra thì theo thời gian sẽ mục đi mà không ai hay, một bộ khuếch đại dự phòng đã chết âm thầm thì không còn là dự phòng. Đó là lý do bảo trì và kiểm tra định kỳ suốt vòng đời là một phần không tách rời của kiến trúc chịu lỗi, và là chủ đề của một bài riêng trong tuyến này.

Kết: thiết kế cho lúc hỏng, không phải cho lúc lành

Một hệ thống an toàn không được đánh giá bằng việc nó chạy tốt ra sao khi mọi thứ đều ổn. Khi mọi thứ đều ổn thì cái gì cũng chạy tốt. Nó được đánh giá bằng những gì còn sót lại khi một sợi cáp đã cháy, một bộ khuếch đại đã chết, điện lưới đã mất, mà một giọng nói vẫn kịp tới được mọi tầng.

Đó là tiêu chuẩn thật của một thiết kế cứu người. Đây là kiến trúc được dựng cho cái ngày hỏng hóc, không phải cho những ngày bình yên. Thiết kế cho lúc hỏng, không phải cho lúc lành.