Ein ausfallsicherer oder scheitert - sicheres Gerät ist dasjenige, das, im Falle des Misserfolgs, in einem Weg antwortet, der keinen Schaden oder mindestens ein Minimum des Schadens, zu anderen Geräten oder Gefahr für das Personal verursachen wird.

"Ausfallsicher [ty]" sollte mit nicht verwirrt sein "scheitern [ity]-secur." Ein Fehlen - sichert Bestandteil eines Systems sichert dieses System (oder mindestens der Teil, dem der Bestandteil gewidmet wird) im Falle eines Misserfolgs entweder dieses Bestandteils oder anderswohin im System. Zum Beispiel, während eines Misserfolgs eines Eintrittsausgang-Regelsystems, z.B, eines Benutzerstützens eine Tür offen irgendwo in einem Gebäude, einem Fehlen - wird sicheres Schloss schließen, sich schließen lassen, und geschlossen bleiben, selbst wenn ein Benutzer versucht, es mit dem Schlüssel aufzuschließen, den der Benutzer gewöhnlich verwendet. In solch einem Fall ist eine unabhängige Ausgabe, wie ein Neustart oder entwaffnend des Sichern-Mechanismus, erforderlich. Im Gegensatz kann ein Bestandteil ausfallsicher betrachtet werden, selbst wenn sein Misserfolg das System nicht sichert. Zum Beispiel, wenn eine Tür geschlossen von innen unverschlossen verlassen wird oder zur falschen Zeit aufgeschlossen wird, hat sie gescheitert (in einigen Fällen, zusammen mit dem kompletten System), die Tür kann sein (aber ist nicht notwendigerweise) ausfallsicher, wenn, dass es aufgeschlossen wird, sie nicht öffnet oder zusätzliche Aufmerksamkeit auf seinen unverschlossenen Staat anzieht.

Bedeutsam, trotz des populären Glaubens zum Gegenteil, dass ein System "ausfallsicher" bedeutet ist, nicht, dass Misserfolg, aber eher unmöglich/unwahrscheinlich ist, dass das Design des Systems verhindert oder unsichere Folgen des Misserfolgs des Systems lindert; d. h. wenn und wenn ein "ausfallsicheres" System "scheitert", ist es "sicher" oder mindestens nicht weniger sicher als, wenn es richtig funktioniert.

Beispiele

Mechanisch oder physisch

• Flugzeug, das auf einem Flugzeugträger landet, vergrößert die Kehle zur Vollmacht beim Touchdown. Wenn die Aufhalten-Leitungen scheitern, das Flugzeug zu gewinnen, ist es im Stande, sich wieder zu entfernen.
• Umwickeln/Rollen von Feuerschutztoren, die durch das Gebäude von Warnungssystemen oder lokalen Rauchmeldern aktiviert werden, muss automatisch wenn Zeichen gegeben, unabhängig von der Macht schließen. Im Falle des Macht-Ausfalls braucht das sich zusammenrollende Feuerschutztor nicht zu schließen, aber muss zum automatischen Schließen, wenn gegeben, ein Signal von den Bauwarnungssystemen oder Rauchmeldern fähig sein. Eine schmelzbare empfindliche Temperaturverbindung kann verwendet werden, um die Feuerschutztore offen gegen den Ernst oder ein Schlussfrühling zu halten. Im Falle des Feuers schmilzt die Verbindung und macht die Türen frei, und sie schließen.
• Die Operation von einigen Flughafengepäck-Karren verlangt, dass man einen Handbremse-Schalter eines gegebenen Karrens zu jeder Zeit unterdrückt; wenn der Handbremse-Schalter veröffentlicht wird, wird die Bremse aktivieren, und annehmend, dass alle anderen Teile des Bremsen-Systems richtig arbeiten, wird der Karren anhalten. Die Handbremse haltende Voraussetzung so funktionieren beide gemäß den Grundsätzen "der Fehlen-Sicherheit" und tragen bei (aber sichert nicht notwendigerweise) die Fehlen-Sicherheit des Systems.

:* Sieh den Schalter des toten Mannes, ein mehr äußerstes Beispiel, das, abhängig von seinem Stellen im System, verwendet werden kann, um ein System zu machen, das "sicher" und/oder gegen einen Misserfolg "sicher" ist, der es unbrauchbar macht.

• Rasenmäher und Schnee-Bläser haben einen handgeschlossenen Hebel, der zu jeder Zeit unterdrückt werden muss. Wenn es veröffentlicht wird, hört es die Klinge- oder Rotor-Folge auf.
• Luftbremsen auf Eisenbahnzügen und Luftbremsen auf Lastwagen. Die Bremsen werden "von" der Position durch den im Bremssystem geschaffenen Luftdruck zurückgehalten. Wenn sich eine Bremse-Linie aufgespalten hat, oder ein Wagen de-coupled wird, wird der Luftdruck verloren, und die Bremsen angewandt. Es ist unmöglich, einen Zug oder Lastwagen mit einer ernsten Leckstelle im Luftbremse-System zu steuern.
• Motorisierte Tore — Im Falle des Macht-Ausfalls das Tor können mit der Hand ohne Kurbel oder erforderlichen Schlüssel aufgestoßen werden. Jedoch, da das eigentlich jedem erlauben würde, das Tor, ein Fehlen durchzugehen - wird sicheres Design verwendet: In einem Macht-Ausfall kann das Tor nur von einer Handkurbel geöffnet werden, die gewöhnlich in einem sicheren Gebiet behalten wird.
• Während früher Programm-Missionen von Apollo zum Mond wurde das Raumfahrzeug auf eine freie Rückschussbahn gestellt — wenn die Motoren an der Mondbahn-Einfügung gescheitert hätten, wäre das Handwerk zurück zur Erde sicher im Leerlauf gefahren.
• Aufzug-Jagdhäuser haben einen Sicherheitsmechanismus, der sicher auf die Führer-Schienen verkeilt, um einen Fall anzuhalten, wenn die Hebezeug-Kabel scheitern sollten.
• Verschiedene Geräte, die mit Flüssigkeitsgebrauch-Sicherungen oder Klappen als ein ausfallsicherer Mechanismus funktionieren.
• Ein Eisenbahnsemaphor-Signal wird entworfen, so dass das Kabel soll, die Signalbrechung kontrollierend, kehrt der Arm zur "Gefahren"-Position zurück, irgendwelche Züge verhindernd, die das unwirksame Signal passieren.
• Auf tauchenden Bewachungen ist die rotierende Anzeigetafel Einrichtungs-, d. h. sie enthält ein Klinkenrad, so kann es nur gegen den Uhrzeigersinn gedreht werden, um die offenbare verbrauchte Zeit zu vergrößern. Wenn die Anzeigetafel auf die andere Weise gedreht werden konnte, konnte das einem Taucher darauf hinweisen, dass die verbrauchte Zeit kürzer war als die Wahrheit, so eine falsch niedrige verbrauchte Zeit gebend, lesend und deshalb ein angenommenes falsch niedriges Luftverbrauchslesen und das falsch hoch restliche Luftlesen, von denen alle hoch gefährlich sein konnten. Auf diese Mode, wenn es während des Tauchens unachtsam rotieren gelassen wird, wird es nur rotieren, um ein falsches Lesen der vergrößerten Zeit unten und so weniger angenommenen Zisterne-Luft restlich aber nicht das Gegenteil zu geben.

Elektrisch oder elektronisch

• Viele Geräte werden vor dem kurzen Stromkreis mit Sicherungen geschützt. Die Zerstörung der Sicherung wird Zerstörung des Geräts verhindern.
• Avionik mit überflüssigen Systemen, um dieselbe Berechnung mit dem Wählen die Logik durchzuführen, das "sichere" Ergebnis zu bestimmen.
• Stopplicht-Kontrolleure verwenden eine Konfliktmonitor-Einheit, um Schulden oder widerstreitende Signale zu entdecken und eine Kreuzung zur ganzen Verwahrung rot zu schalten, anstatt potenziell gefährliche widerstreitende Signale zu zeigen, z.B sich grün in allen Richtungen zeigend.
• Der automatische Schutz von Programmen und/oder in einer Prozession gehenden Systemen, wenn eine Computerhardware oder Softwaremisserfolg in einem Computersystem entdeckt werden. Ein klassisches Beispiel ist ein Aufpasser-Zeitmesser. Sieh ausfallsicher (Computer).
• Eine Kontrolloperation oder Funktion, die unpassende Systemwirkung oder katastrophale Degradierung im Falle der Stromkreis-Funktionsstörung oder des Maschinenbediener-Fehlers verhindert; zum Beispiel hat der ausfallsichere Spur-Stromkreis gepflegt, Eisenbahnblock-Signale zu kontrollieren.
• Der Eisenkügelchen-Ballast auf Bathyscaphe ist fallen gelassen, um dem Unterseeboot zu erlauben, zu steigen. Der Ballast wird im Platz durch Elektromagneten gehalten. Wenn elektrische Leistung scheitert, wird der Ballast veröffentlicht, und das Unterseeboot steigt dann zur Sicherheit.
• Innerhalb einer modernen Zentraleinheit sind Eigenschaften, um Schaden durch die Überhitzung zu verhindern. Im Falle des kühl werdenden Misserfolgs wird die Zentraleinheit dann geschlossen außer einer kritischen Temperaturschwelle drosseln, um Schaden zu vermeiden.
• In der Industrieautomation werden Warnungssignale gewöhnlich normalerweise" (oder aktiv an 0) "geschlossen. Das versichert, dass im Falle einer Leitung brechen, wird die Warnung ausgelöst. Wenn das Signal normalerweise offen wäre, würde kein Leitungsmisserfolg entdeckt.
• In Regelsystemen können kritisch wichtige Signale von einem schmeichelhaften Paar von Leitungen getragen werden (

Verfahrensrechtlich

Sowie reale Geräte und Systeme ausfallsichere Verfahren können so dass geschaffen werden, wenn ein Verfahren nicht ausgeführt oder falsch keine gefährlichen Handlungsergebnisse ausgeführt wird. Zum Beispiel:

• In Eisenbahnsignalsignalen, die nicht im aktiven Gebrauch für einen Zug sind, sind erforderlich, in der 'Gefahren'-Position behalten zu werden. Die Verzug-Position jedes Signals ist deshalb "Gefahr", und deshalb eine positive Handlung — untergehende Signale "sich zu klären" — sind erforderlich, bevor ein Zug gehen kann. Diese Praxis stellt auch sicher, dass, im Falle einer Schuld im Signalsystem, einem arbeitsunfähigen Bahnwärter oder dem unerwarteten Zugang eines Zugs, dass einem Zug ein falsches "klares" Signal nie gezeigt wird.
• Zugführer werden informiert, dass ein Eisenbahnsignal, einen verwirrenden, widersprechenden oder fremden Aspekt zeigend (zum Beispiel muss ein Farbenlicht-Signal, das einen elektrischen Misserfolg ertragen hat und kein Licht überhaupt zeigt), als Vertretung "der Gefahr" behandelt werden. Auf diese Weise trägt der Fahrer zur Fehlen-Sicherheit des Systems bei.

Andere Fachsprache

Ausfallsichere (kinderleichte) Geräte sind auch bekannt als Poka-Joch-Geräte. Poka-Joch, ein japanischer Begriff, wurde von Shigeo Shingo, einem Qualitätsexperten ins Leben gerufen.

Siehe auch

• Steuerungstheorie
• Der Schalter des toten Mannes
• EIA-485
• Elegante Degradierung
• Das Scheitern totenähnlich
• Mit der Schuld tolerantes Design
• Mit der Schuld tolerantes System
• Anmutige Degradierung
• Schachteln Sie ineinander
• Design des sicheren Lebens
• Sicherheitstechnik
• IEC 61508 (Sicherer Ausfallsatz - SFF)