失效安全

失效安全（fail-safe）嘛叫做故障保險、失效導向安全，是講一个裝置抑是實務，就算講是有特定失效落去，嘛袂造成對人員抑是裝置的傷害（抑是共傷害上細化），失效安全是安全系統的一部份。

fail-secure 的中文也是失效安全，但是佮 fail-safe 的概念略仔有無仝款。fail-safe 是講裝置無效的時陣袂造成對人員抑是其他裝置的威脅，fail-secure 是講裝置無效的時陣袂共資料抑是提權落入歹人之手。有時 fail-secure 和 fail-safe 結果會完全無仝。譬如講大樓著火，fail-safe 系統會自動開鎖，予人員會當快速逃出，消防人員會當趕緊進入，猶毋過 fail-secure 系統會自動上鎖，避免無授權的人員進入建築物。

失效安全的系統無表示系統袂失效抑是無可能會失效，失效安全的系統是講系統的設計佇咧其失效的時陣共減輕其實無安全的結果。失效安全系統咧失效的時陣，會佮正常運作的系統仝款安全，抑是只是略為無安全。

系統可能出現濟濟種類的失效，因此針對失效的安全，需要標示系統針對佗一種失效有失效安全的設計。比如講一系統可能佇電源的問題頂懸有失效的安全，但是針對機械性的失效無失效的安全特性。

舉例

機械 / 物理的失效安全

例包括：

做飛行機欲佇航空母艦頂懸降落的時陣，會增加油門到全速的狀態。若航空母艦頂懸停止索裝置攏無使飛行機停落來，飛行機會當重新起飛了後閣降落來，這就是「失效安全實務」的一个例。
一寡倚大樓警報系統抑是煙霧偵測器控制的防火門，若是電源有問題，無論電源是毋是存在，防火門猶原需要關起來。所以防火門本身會有一个熔斷線使防火門開啟，此訊號不存在的時，防火門會因為本身的重量抑是弓仔來關，這若火燒，熔斷線熔斷，訊號消失，防火門關起來。但是佇火燒的時陣，嘛會當佇有訊號的時陣共關起來。此設計無論敢有需要訊號，佇咧火災的時陣攏會關起來。
有的機場的行李捒車需要用手握牢咧共手閣捒捒車，捒車才會進前，若放開把手，推車的擋仔會動作，若擋仔系統正常，捒車仔會停落來。推車的耳是類似駕駛失能制馮裝置一鼻，需要繼續出力才會動作的系統。
除草機和清雪機攏有一个耳，繼續施力才會動作。若放開，除草機抑是清雪機就會停止動作，這也是類似駕駛失能制馮裝置一趨勢，需要繼續出力才會動作的系統。
有關火車頂懸用的火烌佮卡車頂懸用的火烌，平常時會靠擋仔系統產生的氣壓使擋仔維持佇無動作的狀態。若擋仔線脫落來，抑是車廂佮列車分離，氣壓會消失，因此擋仔會動作。因此無法度佇咧空氣擋車系統嚴重漏氣的情形下駕駛火車抑是卡車（毋過卡車佇咧空氣擋車系統氣壓略為不足時，會有搖擺標誌的訊號告知）。
機械化閘門：若電力異常的時，遮爾仔門會當拍開，毋免開門器抑是鎖匙。猶毋過這嘛代表此一的情形下，逐項人攏會當通過這个門，若欲避免這个情形，fail-secure 的設計方式是誠電力，閘仔著愛鎖匙才會當拍開，抑是門口需用手較會當拍開，啊若手位在較安全的一爿邊。不過若車輛需要通過這个閘門才會當入去厝內，會曉用 fail-safe 的設計，電力異常的時，閘門拍開，予消防員會當入來拍火抑是救人。
咧計劃登陸月球的阿波羅計劃內底，宇宙飛船是位佇自由倒轉軌道頂頭，若是 ia̋n-jín 失效，無法度進入踅月軌道，嘛會當轉去地球。
真濟用流體運作的裝置攏有液壓保險器抑是安全活門作為失效安全機制。
火車的臂木式號誌機設計理念是若訊號線路損害，這个臂木會轉來「會危險」的位置喔，避免火車所以無正確的訊號來到這个區域，造成傷亡。
藏水錶中用來測量藏水時間的旋轉框有一枋枋，干焦會當倒反踅。若藏水人員無意的轉到轉踅，會使藏水錶顯示的已經藏水時間加長，避免藏水的人因為低估減壓的急迫性，造成減壓症。
一寡用佇咧有危險物質系統中的隔離你的活門，會設計成佇咧無電源的時陣，會當靠弓仔之類的機構自動關起來，這號做「斷電的時失效關起來」（fail-closed upon loss of power）的機能。
電梯的擋車一般連接著電梯鋼纜的張力檢測器。若鋼纜斷去，張力消失，會啟動擋仔做電梯停止。
汽車燒氣-空調-除霜控制系統當中，除了除了霜以外的機能攏愛用著分流擋枋，所以就愛真空來裝置，若真空裝置失效，除了除了霜以下的其他的機能攏無效，但是除霜猶是有效。

電子 / 電機的失效安全

真濟電氣裝置攏會用保險絲、斷路器抑是其他限流來避免裝置短路。咧過載的時陣遮的保護電路會斷路，避免配線抑是電氣裝置因為過載來損害。
佇航空電子內底會當用傷長的系統進行三重模的組趁錢，若有兩个模組有仝款的輸出才將這輸出視為系統輸出，甚至只要其中有一个結果佮其他的無仝，即看做系統異常。
像加速踏板位置傳感器等等汽車電傳操作（drive-by-wire）佮飛行機電傳操作（fly-by-wire）的裝置，一般會有二个電位計以無仝的方向讀資料，予調整控制後一个電位計的值會變大，另外一个電位計的值會變細。若二个讀值之間無咧協調（兩者同齊變大抑是同齊變細）表示系統有各樣，愛由 ia̋n-jín 控制器決定佗一个讀值是錯誤的。
交通號誌控制器中有「衝突監控裝置」（Conflict Monitor Unit）會當監控故障抑是無一致的訊號，若佇這个情形下跤將燈號切換到全部閃爍的狀態，毋是顯示一个有潛在危險的不一致訊號狀態（比如講十字路口的各方向攏是青燈）。
電腦系統中的程式抑是處理系統有偵測硬體抑是軟體部份失效條件（譬如講意外的進入無錢迴圈）的機能，比如講看門狗仔計時辰為典型的例。參見容毋著電腦系統。
有一寡控制動作抑是機能會當避免做電路異常抑是操作無彼當陣，系統的異常動作或者是災難性失效，親像失效安全的軌道電路用來控制鐵路號誌。譬如講佇咧火車頂懸，閃爍的琥珀顏色燈號本身有失效安全的機能，比恆亮的琥珀顏色燈號閣較好。
深海藏水器若欲上昇，其鐵球團鎮流器會落落來，鐵球是由電吸石固定，因此藏水器若無電力，電吸石無吸力，鐵球會落落來，使藏水器安全上昇。
現代的 CPU 有避免因為傷過熱的機能，若冷卻風扇故障，CPU 會佇溫度到位一臨界值後停止工課，以避免元件損害。
真濟核反應爐會用電吸收的方式。若無電源，中子吸收的棍仔會因重量落到核反應爐的爐心，佇幾秒內底吸收核分裂需要的中子，停止核分裂的連鎖反應。
佇自動化技術中，警告電路是一般會定定關心來（normally closed），正常情形下是通路，開路時表示有警告號誌。若是警告電路異常斷路，嘛會當接觸警告號誌。若用較捷開接咧開關（normally open），正常情形是開路，若警告電路異常斷路的時陣，嘛會是開路，無法度提醒使用者。
類比偵測器的裝置佮配線會經過考量，予得電路各樣下的讀數無佇咧正常讀值的範圍內，比如講一个讀位置的電位器，其正常數值的範圍可能干焦落佇百分之二十至百分之八十的區域，所以若是斷線抑是短路，會讀甲百分之零佮百分之一百，攏毋是正常用的範圍，方便檢測異常。
佇咧控制系統內底，特別重要的訊號攏會用一對互補的訊號來傳輸（< signal > 佮 < not \ _ signal >），干焦二个訊號是顛倒向的時陣（一个是高電位，另外一个是低電位）伊才會是有效。若二个訊號仝為高電位抑是低電位，可能表示接線抑是感測器有問題，因此會當檢測一寡簡單的失效模式（譬如講感測器損害抑是無接線）。像控制系統會當同時量測 SPDT（單刀雙跋）開關的定定關（NC）接點佮定定開（NO）接咧，檢測其訊號是毋是一个電位，一低電位，才閣進行紲後的處理。
佇咧 HVAC 控制系統內底，控制風門佮活的致動器會當有失效安全機能，避免房間過熱抑是蒸發器蛇形管凍結。古早的氣動致動器佇咧其本質上是失效安全的，因為你若氣壓失效，內建的弓仔會將致動器轉去原點，致動器的原點自然嘛是安全的位置。新的電子式抑是電氣式致動器需要額外的元件（比如講弓仔抑是講電容器），予無電源的時陣，致動器會自動轉去原點。
有可程式控制器若欲做甲失效的安全，只要保持佇無提供能量的時陣會當停止相關的驅動器即可。一般緊急停止是定定會予人接寡（normally closed），若電源斷去，會徙除激磁線圈佮 PLC 輸入訊號攏會無電，即為緊急停止的情形，因為失效安全的系統。
若穩壓器失效，產生的電壓傷過懸，可能會傷害相關的電路，撬棍電路會當踮偵測著過電壓的時陣，予穩壓器的電壓輸出端對地短路抑是短阻抗，避免傷害相關的電路。

程式的失效安全

親像實體的裝置甲一个，程式也會當有失效安全的機制，所以若一个程式無執行抑是程式予人錯誤執行，袂有危險的效果。

例包括：

佇咧火車號誌當中，未使用的號誌需要指向「會危險」位置。所有號誌的預設位置是「會危險」，所以需要加額的清除訊號才會使號誌由「會危險」變做是「安全」，火車咧號誌顯示「安全」才會當進入。這也確保若號碼系統有問題、訊號手經驗無夠，未預期火車異常進入的情形下，火車號誌袂異常的出現「安全」。
火車駕駛嘛接受訓練，若看著予人憢疑、矛盾抑是無熟似的號誌（譬如講電力有問題，火車號誌的燈號全滅），此情形需要看做「會危險」，火車駕駛嘛是失效安全系統內底的一部份。

其他的詞

失效安全的裝置有時也會叫做「防呆」（ポカヨケ）裝置，此一詞語是由日本的品質學者新鄉重夫所創。安全的失敗（Safe to fail）是講敢若還地於河抑是 Thames Estuary 兩千一百等，以像五百年發生一擺的大水之類的嚴重事件為準，來靈活應對氣候變化，或者是減少其產生的損害。

失效安全

舉例

機械 / 物理的失效安全

電子 / 電機的失效安全

程式的失效安全

其他的詞

參考資料

相關條目