失效安全 - Wikiwand

失效安全（fail-safe）^[1]^[2]也稱為故障保險^[3]、失效导向安全，是指一個設備或是實務，即使有特定失效下，也不會造成對人員或其他設備的傷害（或者將傷害最小化），失效安全是安全系統的一部份。

fail-secure的中文也是失效安全，但和fail-safe的概念略有不同。fail-safe是指設備失效時不會造成對人員或其他設備的威脅，fail-secure是指設備失效時不會將資料或是存取權落入壞人之手。有時fail-secure和fail-safe的實作結果會完全不同。例如大樓失火，fail-safe系統會自動開鎖，讓人員可以快速逃出，消防人員可以儘快進入，但fail-secure系統會自動上鎖，避免沒授權的人員進入建築物。

失效安全的系統不表示系統不會失效或是不可能失效，失效安全的系統是指系統的設計在其失效時避免或減輕其不安全的結果。因此失效安全系統在失效時，會和正常運作的系統一樣安全，或者只是略為不安全^[4]^[5]。

系統可能出現許多種類的失效，因此針對失效安全，需標示系統針對哪一種失效有失效安全的設計。例如一系統可能在電源問題上有失效安全，但針對機械性的失效沒有失效安全特性。

舉例

機械/物理的失效安全

例子包括：

Thumb — 飛機在航空母舰上降落時會啟動後燃器，若航空母舰上的停止索裝置（英语：arresting wire）失效，飛機可以安全地重新起飛

當飛機要在航空母舰上降落時，會增加油門到全速的狀態。若航空母舰上的停止索裝置（英语：arresting wire）沒有使飛機停下，飛機可以重新起飛之後再降落，這就是「失效安全實務」的一個例子^[6]。
一些依大樓警報系統或是烟霧偵測器控制的防火門，若是電源有問題，不論電源是否存在，防火門仍需關閉。因此防火門本身會有一個易熔线（英语：fusible link）使防火門開啟，在此信號不存在時，防火門會因本身的重量或是彈簧而關閉，一旦失火，易熔线熔斷，此信號消失，防火門關閉。但在失火時，也可以在有信號時關閉。此設計無論有沒有需要信號，在有火災時都能關閉。
有些機場的行李推車（英语：Baggage cart）需要用手握住把手且推動推車，推車才會前進，若放開把手，推車的剎車會動作，若剎車系統正常的話，推車會停下。推車的把手是類似駕駛失知制動裝置一様，需持續出力才會動作的系統。
除草機及清雪機（英语：snow blower）都有一個把手，持續施力才會動作。若一放開，除草機或清雪機就會停止動作，這也是類似駕駛失知制動裝置一様，需持續出力才會動作的系統。
有關火車上用的空氣制動及卡車上用的空氣制動（英语：Air brake (road vehicle)），平常會靠剎車系統產生的氣壓使剎車維持在不動作的狀態。若剎車線脫落，或是車廂和列車分離，氣壓會消失，因此剎車會動作。因此無法在空氣剎車系統嚴重漏氣的情形下駕駛火車或是卡車（不過卡車在空氣剎車系統氣壓略為不足時，會有搖擺標誌（英语：Wig wag (truck braking systems)）的信號告知）。
機械化閘門：若電力異常時，此閘門可以徒手開啟，不需開門器或是鎖匙。不過這也代表此一情形下，任何人都可以通過此一閘門，若要避免此一情形，fail-secure的設計方式是電力異常時，閘門需鎖匙才能打開，或者閘門需用把手才能打開，而把手位在較安全的一側。不過若車輛需通過此一閘門才能進到家中，會用fail-safe的設計，電力異常時，閘門打開，讓消防員可以進來滅火或救人。
在計劃登陸月球的阿波罗计划中，宇宙飛船是位在自由返回轨道（英语：free return trajectory）上，若引擎失效，無法進入繞月軌道，也可以安全的回到地球。
許多用流體運作的設備都有液壓保險器或是安全閥（英语：safety valves）作為失效安全機制。
火車的臂板信号机設計理念是若信號線路損壞，臂板會回到「危險」的位置，避免火車因不正確的信號進入此區域，造成傷亡。
潛水表中用來測量潛水時間的旋轉框有一棘輪，只能逆時針旋轉。若潛水人員無意的轉到旋轉框，會使潛水表顯示的已潛水時間加長^[7]，避免潛水者因低估減壓（英语：decompression (diving)）的急迫性，而造成減壓症。
一些用在有危險物質系統中的隔離閥（英语：Isolation valve），會設計成在沒有電源時，可以靠彈簧之類的機構自動關閉，這稱為「斷電時失效關閉」（fail-closed upon loss of power）的機能。
電梯的剎車一般連接到電梯鋼纜的張力檢測器。若鋼纜斷裂，張力消失，會啟動剎車使電梯停止。
汽車暖氣-空調-除霜控制系統中，除了除霜以外的機能都要用到分流擋板，因此需要真空設備，若真空設備失效，除了除霜以下的其他機能都無效，但除霜仍有效。

電子/電機的失效安全

許多電氣設備都會用保險絲、斷路器或其他限流來避免設備短路。在過載時這些保護電路會斷路，避免配線或是電氣設備因過載而損壞。
在航空电子中會使用冗餘系統進行三重模塊冗余，若有二個模塊有相同的輸出才將此輸出視為系統輸出，甚至只要其中有一個結果和其他的不同，即視為系統異常^[8]。
像加速踏板位置傳感器等汽車電傳操作（英语：drive-by-wire）（drive-by-wire）及飛機電傳操作（fly-by-wire）的設備，一般會有二個電位計以不同的方向讀取資料，讓調整控制後一個電位計的值會變大，另一個電位計的值會變小。若二個讀值之間不協調（兩者同時變大或是同時變小）表示系統有異常，需由发动机控制器決定哪一個讀值是錯誤的^[9]。
交通號誌控制器中有「衝突監控裝置」（Conflict Monitor Unit）可以監控故障或是不一致的信號，若此情形下將燈號切換到全部閃爍的狀態，而不是顯示一個有潛在危險的不一致信號狀態（例如十字路口的各方向都是綠燈）^[10]。
電腦系統中的程式或是處理系統有偵測硬件或軟件部份失效條件（例如意外的進入無窮迴圈）的機能，例如看門狗計時器即為典型的例子。參見容错计算机系统。
有些控制動作或是機能可以避免當電路異常或是操作不當時，系統的異常動作或是災難性失效（英语：catastrophic failure），例如失效安全的轨道电路用來控制鐵路號誌。例如在火車號誌上，閃爍的琥珀色燈號本身有失效安全的機能，比恆亮的琥珀色燈號更好。
深海潛水器（英语：Bathyscaphe）若要上昇，其铁球团镇流器會掉落，铁球是由電磁鐵固定，因此潛水器若沒有電力，電磁鐵沒有磁力，铁球會掉落，使潛水器安全上昇。
現代的CPU有避免因過熱而損壞的機能，若冷卻風扇故障，CPU會在溫度到達一臨界值後停止工作，以避免元件損壞。
許多核反應爐會有用電磁鐵固定的中子吸收棒。若沒有電源，中子吸收棒會因重量掉到核反應爐的爐心，在幾秒內吸收核分裂需要的中子，停止核分裂的連鎖反應。
在自动化技术中，警告電路一般會是常閉接點（normally closed），正常情形下是通路，開路時表示有警告訊號。若是警告電路異常斷路，也會觸發警告訊號。若用常開接點的開關（normally open），正常情形是開路，若警告電路異常斷路時，也會是開路，無法提醒使用者。
類比偵測器的裝置及配線會經過考量，使得電路異常下的讀數不在正常讀值的範圍內，例如一個讀位置的電位器，其正常數值的範圍可能只落在20%至80%的區域，因此若是斷線或是短路，會讀到0%及100%，都不是正常讀值的範圍，方便檢測異常。
在控制系統中，特別重要的信號都會用一對互補的信號來傳輸（<signal>及<not_signal>），只有二個信號是反向時（一個是高電位，另一個是低電位）才會有效。若二個信號同為高電位或同為低電位，可能表示接線或是感測器有問題，因此可以檢測一些簡單的失效模式（例如感測器損壞或是未接線）。像控制系統可以同時量測SPDT（單刀雙擲）開關的常閉（NC）接點及常開（NO）接點，檢測其信號是否一高電位，一低電位，再進行後續的處理。
在HVAC控制系統（英语：HVAC control system）中，控制風門及閥的致動器可以有失效安全機能，以避免房間過熱或是蒸發器蛇形管凍結。早期的氣動致動器（英语：Pneumatic actuator）在其本質上是失效安全的，因為若氣壓失效，內建的彈簧會將致動器回到原點，而致動器的原點自然也是安全的位置。新的電子式或是電氣式致動器需要額外的元件（例如彈簧或是電容器），讓沒有電源時，致動器會自動回到原點^[11]。
可程式控制器若要做到失效安全，只要保持在不提供能量時可以停止相關驅動器即可。一般緊急停止是常閉接點（normally closed），若電源中斷，會移除激磁線圈及PLC輸入信號都會沒有電，即為緊急停止的情形，因此為失效安全的系統。
若稳压器失效，產生的電壓過高，可能會傷害相關的電路，撬棍电路（英语：crowbar (circuit)）可以在偵測到過電壓時，讓穩壓器的電壓輸出端對地短路或是短阻抗，避免傷害相關的電路。

程序的失效安全

如同實體的設備一様，程序上也可以有失效安全的機制，因此若一個程序沒有執行或程序被錯誤執行，不會有危險的效果。

例子包括：

在火車號誌（英语：railway signalling）中，未使用的號誌需指向「危險」位置。所有號誌的預設位置是「危險」，因此需要額外的清除信號才會使號誌由「危險」變為「安全」，而火車在號誌顯示「安全」時才能進入。這也確保若號碼系統有問題、信號手經驗不足，未預期火車異常進入的情形下，火車號誌不會異常的出現「安全」。
火車駕駛也接受訓練，若看到令人困惑、矛盾或是不熟悉的號誌（例如電力有問題，火車號誌的燈號全滅），此情形需視為「危險」，因此火車駕駛也是失效安全系統中的一部份。

其他詞語

失效安全的設備有時也會稱為「防呆」（ポカヨケ）設備，此一詞語是由日本的品質學者新鄉重夫所創^[12]^[13]。安全的失敗（Safe to fail）是指像還地於河（英语：Room for the River (Netherlands)）或是Thames Estuary 2100等，以像五百年發生一次的洪水之類的的嚴重事件為準，來靈活應對气候变化，或者減少其產生的損害^[14]。

參考資料

[1]
Wragg, David W. A Dictionary of Aviation first. Osprey. 1973: 127. ISBN 9780850451634.
[2]
預防失效、故障容許. [2020-10-06]. （原始内容存档于2018-11-13）.
[3]
故障保險 fail-safety. [2017-01-26]. （原始内容存档于2017-02-02）.
[4]
"Fail-safe （页面存档备份，存于互联网档案馆）". AudioEnglich.net. Accessed 2009.12.31
[5]
e.g., David B. Rutherford, Jr., "What Do You Mean — It's Fail-Safe?": Evaluating Fail-Safety in Processor-Based Vital Control Systems （页面存档备份，存于互联网档案馆）. 1990 Rapid Transit Conference
[6]
Harris, Tom. How Aircraft Carriers Work. HowStuffWorks, Inc. [2007-10-20]. （原始内容存档于2007-11-01）.
[7]
What is a Unidirectional Rotating Bezel. [9 May 2013]. （原始内容存档于2012年11月28日）.
[8]
Bornschlegl, Susanne. Ready for SIL 4: Modular Computers for Safety-Critical Mobile Applications. MEN Mikro Elektronik. 2012 [2015-09-21]. （原始内容 (pdf)存档于2019-06-09）.
[9]
存档副本. [2016-06-21]. （原始内容存档于2016-06-30）.
[10]
Manual on Uniform Traffic Control Devices, Federal Highway Administration, 2003
[11]
When Failure Is Not an Option: The Evolution of Fail-Safe Actuators. KMC Controls. [30 October 2015]. （原始内容存档于2016年7月1日）.
[12]
Shingo, Shigeo; Andrew P. Dillon (1989). A study of the Toyota production system from an industrial engineering viewpoint. Portland, Oregon: Productivity Press. p. 22. ISBN 0-915299-17-8. OCLC 19740349
[13]
John R. Grout, Brian T. Downs. "A Brief Tutorial on Mistake-proofing, Poka-Yoke, and ZQC", MistakeProofing.com （页面存档备份，存于互联网档案馆）
[14]
Jennifer Weeks. Adaptation expert Paul Kirshen proposes a new paradigm for civil engineers: 'safe to fail,' not 'fail safe'. The Daily Climate. March 20, 2013 [March 20, 2013]. （原始内容存档于2013年5月13日）.

相關條目

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.

Wikiwand for Chrome

Wikiwand for Edge

Wikiwand for Firefox

舉例

機械/物理的失效安全

例子包括：

當飛機要在航空母舰上降落時，會增加油門到全速的狀態。若航空母舰上的停止索裝置（英语：arresting wire）沒有使飛機停下，飛機可以重新起飛之後再降落，這就是「失效安全實務」的一個例子^[6]。
一些依大樓警報系統或是烟霧偵測器控制的防火門，若是電源有問題，不論電源是否存在，防火門仍需關閉。因此防火門本身會有一個易熔线（英语：fusible link）使防火門開啟，在此信號不存在時，防火門會因本身的重量或是彈簧而關閉，一旦失火，易熔线熔斷，此信號消失，防火門關閉。但在失火時，也可以在有信號時關閉。此設計無論有沒有需要信號，在有火災時都能關閉。
有些機場的行李推車（英语：Baggage cart）需要用手握住把手且推動推車，推車才會前進，若放開把手，推車的剎車會動作，若剎車系統正常的話，推車會停下。推車的把手是類似駕駛失知制動裝置一様，需持續出力才會動作的系統。
除草機及清雪機（英语：snow blower）都有一個把手，持續施力才會動作。若一放開，除草機或清雪機就會停止動作，這也是類似駕駛失知制動裝置一様，需持續出力才會動作的系統。
有關火車上用的空氣制動及卡車上用的空氣制動（英语：Air brake (road vehicle)），平常會靠剎車系統產生的氣壓使剎車維持在不動作的狀態。若剎車線脫落，或是車廂和列車分離，氣壓會消失，因此剎車會動作。因此無法在空氣剎車系統嚴重漏氣的情形下駕駛火車或是卡車（不過卡車在空氣剎車系統氣壓略為不足時，會有搖擺標誌（英语：Wig wag (truck braking systems)）的信號告知）。
機械化閘門：若電力異常時，此閘門可以徒手開啟，不需開門器或是鎖匙。不過這也代表此一情形下，任何人都可以通過此一閘門，若要避免此一情形，fail-secure的設計方式是電力異常時，閘門需鎖匙才能打開，或者閘門需用把手才能打開，而把手位在較安全的一側。不過若車輛需通過此一閘門才能進到家中，會用fail-safe的設計，電力異常時，閘門打開，讓消防員可以進來滅火或救人。
在計劃登陸月球的阿波罗计划中，宇宙飛船是位在自由返回轨道（英语：free return trajectory）上，若引擎失效，無法進入繞月軌道，也可以安全的回到地球。
許多用流體運作的設備都有液壓保險器或是安全閥（英语：safety valves）作為失效安全機制。
火車的臂板信号机設計理念是若信號線路損壞，臂板會回到「危險」的位置，避免火車因不正確的信號進入此區域，造成傷亡。
潛水表中用來測量潛水時間的旋轉框有一棘輪，只能逆時針旋轉。若潛水人員無意的轉到旋轉框，會使潛水表顯示的已潛水時間加長^[7]，避免潛水者因低估減壓（英语：decompression (diving)）的急迫性，而造成減壓症。
一些用在有危險物質系統中的隔離閥（英语：Isolation valve），會設計成在沒有電源時，可以靠彈簧之類的機構自動關閉，這稱為「斷電時失效關閉」（fail-closed upon loss of power）的機能。
電梯的剎車一般連接到電梯鋼纜的張力檢測器。若鋼纜斷裂，張力消失，會啟動剎車使電梯停止。
汽車暖氣-空調-除霜控制系統中，除了除霜以外的機能都要用到分流擋板，因此需要真空設備，若真空設備失效，除了除霜以下的其他機能都無效，但除霜仍有效。

電子/電機的失效安全

許多電氣設備都會用保險絲、斷路器或其他限流來避免設備短路。在過載時這些保護電路會斷路，避免配線或是電氣設備因過載而損壞。
在航空电子中會使用冗餘系統進行三重模塊冗余，若有二個模塊有相同的輸出才將此輸出視為系統輸出，甚至只要其中有一個結果和其他的不同，即視為系統異常^[8]。
像加速踏板位置傳感器等汽車電傳操作（英语：drive-by-wire）（drive-by-wire）及飛機電傳操作（fly-by-wire）的設備，一般會有二個電位計以不同的方向讀取資料，讓調整控制後一個電位計的值會變大，另一個電位計的值會變小。若二個讀值之間不協調（兩者同時變大或是同時變小）表示系統有異常，需由发动机控制器決定哪一個讀值是錯誤的^[9]。
交通號誌控制器中有「衝突監控裝置」（Conflict Monitor Unit）可以監控故障或是不一致的信號，若此情形下將燈號切換到全部閃爍的狀態，而不是顯示一個有潛在危險的不一致信號狀態（例如十字路口的各方向都是綠燈）^[10]。
電腦系統中的程式或是處理系統有偵測硬件或軟件部份失效條件（例如意外的進入無窮迴圈）的機能，例如看門狗計時器即為典型的例子。參見容错计算机系统。
有些控制動作或是機能可以避免當電路異常或是操作不當時，系統的異常動作或是災難性失效（英语：catastrophic failure），例如失效安全的轨道电路用來控制鐵路號誌。例如在火車號誌上，閃爍的琥珀色燈號本身有失效安全的機能，比恆亮的琥珀色燈號更好。
深海潛水器（英语：Bathyscaphe）若要上昇，其铁球团镇流器會掉落，铁球是由電磁鐵固定，因此潛水器若沒有電力，電磁鐵沒有磁力，铁球會掉落，使潛水器安全上昇。
現代的CPU有避免因過熱而損壞的機能，若冷卻風扇故障，CPU會在溫度到達一臨界值後停止工作，以避免元件損壞。
許多核反應爐會有用電磁鐵固定的中子吸收棒。若沒有電源，中子吸收棒會因重量掉到核反應爐的爐心，在幾秒內吸收核分裂需要的中子，停止核分裂的連鎖反應。
在自动化技术中，警告電路一般會是常閉接點（normally closed），正常情形下是通路，開路時表示有警告訊號。若是警告電路異常斷路，也會觸發警告訊號。若用常開接點的開關（normally open），正常情形是開路，若警告電路異常斷路時，也會是開路，無法提醒使用者。
類比偵測器的裝置及配線會經過考量，使得電路異常下的讀數不在正常讀值的範圍內，例如一個讀位置的電位器，其正常數值的範圍可能只落在20%至80%的區域，因此若是斷線或是短路，會讀到0%及100%，都不是正常讀值的範圍，方便檢測異常。
在控制系統中，特別重要的信號都會用一對互補的信號來傳輸（<signal>及<not_signal>），只有二個信號是反向時（一個是高電位，另一個是低電位）才會有效。若二個信號同為高電位或同為低電位，可能表示接線或是感測器有問題，因此可以檢測一些簡單的失效模式（例如感測器損壞或是未接線）。像控制系統可以同時量測SPDT（單刀雙擲）開關的常閉（NC）接點及常開（NO）接點，檢測其信號是否一高電位，一低電位，再進行後續的處理。
在HVAC控制系統（英语：HVAC control system）中，控制風門及閥的致動器可以有失效安全機能，以避免房間過熱或是蒸發器蛇形管凍結。早期的氣動致動器（英语：Pneumatic actuator）在其本質上是失效安全的，因為若氣壓失效，內建的彈簧會將致動器回到原點，而致動器的原點自然也是安全的位置。新的電子式或是電氣式致動器需要額外的元件（例如彈簧或是電容器），讓沒有電源時，致動器會自動回到原點^[11]。
可程式控制器若要做到失效安全，只要保持在不提供能量時可以停止相關驅動器即可。一般緊急停止是常閉接點（normally closed），若電源中斷，會移除激磁線圈及PLC輸入信號都會沒有電，即為緊急停止的情形，因此為失效安全的系統。
若稳压器失效，產生的電壓過高，可能會傷害相關的電路，撬棍电路（英语：crowbar (circuit)）可以在偵測到過電壓時，讓穩壓器的電壓輸出端對地短路或是短阻抗，避免傷害相關的電路。

程序的失效安全

如同實體的設備一様，程序上也可以有失效安全的機制，因此若一個程序沒有執行或程序被錯誤執行，不會有危險的效果。

例子包括：

在火車號誌（英语：railway signalling）中，未使用的號誌需指向「危險」位置。所有號誌的預設位置是「危險」，因此需要額外的清除信號才會使號誌由「危險」變為「安全」，而火車在號誌顯示「安全」時才能進入。這也確保若號碼系統有問題、信號手經驗不足，未預期火車異常進入的情形下，火車號誌不會異常的出現「安全」。
火車駕駛也接受訓練，若看到令人困惑、矛盾或是不熟悉的號誌（例如電力有問題，火車號誌的燈號全滅），此情形需視為「危險」，因此火車駕駛也是失效安全系統中的一部份。

其他詞語