フェイルセーフ

工学において、フェイルセーフとは、設計上の機能または設計手順のことであり、その設計上の機能に不具合が発生した場合でも、他の機器、環境、または人への危害を最小限に抑えるか、あるいは全く与えないように本質的に反応する。特定の危険に対する固有の安全性とは異なり、「フェイルセーフ」なシステムは、不具合が本質的に重大ではないという意味ではなく、システムの設計によって不具合による危険な結果が防止または軽減されることを意味する。「フェイルセーフ」システムが不具合を起こした場合でも、少なくとも不具合発生前と同程度の安全性を維持する。^{[ 1 ] [ 2 ]}不具合には様々な種類があり得るため、不具合状況を調査し、安全設計と手順を推奨するために、故障モード影響解析が用いられる。^{[ 3 ]}

継続的な可用性が求められるシステムの中には、フェイルセーフを実現することのできないものもあります。このような状況では、冗長性、フォールトトレランス、あるいは緊急時対応計画が用いられます（例えば、独立して制御され燃料が供給される複数のエンジンなど）。^{[ 4 ]}

このセクションには、過剰な、あるいは無関係な例が含まれている可能性があります。関連性の低い例を削除し、既存の例を詳しく説明することで、改善にご協力ください。（2025年8月）（このメッセージを削除する方法と時期については、こちらをご覧ください）

例:

• 安全弁 -流体で動作するさまざまなデバイスでは、フェイルセーフ機構としてヒューズまたは安全弁が使用されます。
• 建物警報システムまたは煙感知器によって作動するローラーシャッター式防火扉は、電源の有無にかかわらず、信号が送られると自動的に閉まる必要があります。停電時には、巻き上げ式防火扉は閉まる必要はありませんが、建物警報システムまたは煙感知器からの信号があれば自動的に閉まる機能を備えていなければなりません。重力または閉鎖バネに抗して防火扉を開放状態に保つために、温度感応型ヒュージブルリンクを採用することもできます。火災発生時には、このリンクが溶けて扉が解放され、扉が閉まります。
• 一部の空港手荷物カートでは、ハンドブレーキスイッチを常に押し続ける必要があります。ハンドブレーキスイッチを離すとブレーキが作動し、ブレーキシステムの他の部分が正常に機能していれば、カートは停止します。このように、ハンドブレーキの保持要件は「フェイルセーフ」の原則に従って機能すると同時に、システムのフェイルセーフ性にも貢献します（ただし、必ずしもフェイルセーフ性を保証するものではありません）。これはデッドマンスイッチの一例です。
• 芝刈り機や除雪機には、常に押し下げておく必要がある手動閉レバーが付いています。このレバーを放すと、ブレードまたはローターの回転が停止します。これはデッドマンスイッチとしても機能します。
• 鉄道車両の空気ブレーキと貨車の空気ブレーキ。ブレーキはブレーキシステム内で発生する空気圧によって「オフ」の位置に保持されます。ブレーキラインが破断したり、車両が連結解除したりすると、空気圧が失われ、貨車の場合はバネ、貨車の場合は局所的な空気タンクによってブレーキが作動します。貨車の空気ブレーキシステムに深刻な漏れがあると、貨車を運転することは不可能です。（貨車は、空気圧の低下を示すためにウィグワグ（風切り音）を使用する場合もあります。）
• 電動ゲート – 停電時には、クランクや鍵を使わずに手でゲートを開けることができます。しかし、これでは事実上誰でもゲートを通過できてしまうため、フェイルセーフ設計が採用されています。停電時には、ゲートは手動クランクでのみ開けることができ、クランクは通常、安全な場所に保管されるか、鍵がかかっています。このようなゲートが車両による住宅へのアクセスを可能にする場合は、消防隊員がアクセスできるようにドアが開くフェイルセーフ設計が採用されています。

• 

  鉄道の腕木式信号機は、信号を制御するケーブルが切断された場合にアームが「危険」位置に戻り、動作していない信号機を列車が通過できないように特別に設計されています。
• 例えば危険物質を含むシステムで使用される遮断弁や制御弁は、電源喪失時にバネ力などによって閉じるように設計できます。これは電源喪失時のフェイルクローズと呼ばれます。
• エレベーターには、エレベーターケーブルの張力によってブレーキパッドから離れた位置にブレーキが取り付けられています。ケーブルが切れると張力が失われ、ブレーキが昇降路内のレールに引っ掛かり、エレベーターのキャビンが落下するのを防ぎます。

例:

• 多くの機器は、ヒューズ、回路ブレーカー、または電流制限回路によって短絡から保護されています。過負荷状態における電気遮断により、過熱による配線や回路機器の損傷や破壊を防ぎます。
• 航空電子工学^{[ 5 ]}では、冗長システムを用いて3つの異なるシステムで同じ計算を実行した。異なる結果が出た場合、システムに障害があることを示す。^{[ 6 ]}
• アクセルポジションセンサーなどのドライブバイワイヤおよびフライバイワイヤ制御には、通常、反対方向に読み取る2つのポテンショメータが搭載されており、制御を動かすと一方の読み取り値が上昇し、もう一方の読み取り値は概ね同程度に低下します。2つの読み取り値の不一致はシステムの故障を示しており、 ECUは多くの場合、どちらの読み取り値に問題があるかを推測できます。^{[ 7 ]}
• 信号機制御装置は、衝突監視ユニットを使用して故障や衝突信号を検出し、潜在的に危険な衝突信号（例えば全方向を緑にする）を表示するのではなく、交差点を全点滅エラー信号に切り替えます。^{[ 8 ]}
• コンピュータシステムにおいてハードウェアまたはソフトウェアの障害が検出された場合に、プログラムや処理システムを自動的に保護すること。典型的な例としてはウォッチドッグタイマーが挙げられます。「フェイルセーフ（コンピュータ）」を参照してください。
• 回路の故障や操作ミスが発生した場合に、システムの不適切な動作や壊滅的な劣化を防ぐ制御操作または機能。例えば、鉄道の閉塞信号を制御するために使用されるフェイルセーフ軌道回路など。多くの鉄道路線において、点滅するオレンジ色の方が点灯するオレンジ色よりも許容範囲が広いという事実は、フェイルセーフ機能の兆候です。リレーが機能していない場合、より制限的な設定に戻ります。
• バチスカーフの鉄ペレットバラストは、潜水艦が浮上するために投下されます。バラストは電磁石によって固定されています。電力供給が途絶えるとバラストが解放され、潜水艦は安全な場所まで浮上します。
• 多くの原子炉の設計では、中性子を吸収する制御棒が電磁石で吊り下げられています。電源が失われると、制御棒は重力によって炉心内に落下し、核分裂の継続に必要な中性子を吸収することで、連鎖反応を数秒で停止させます。
• 産業オートメーションにおいて、警報回路は通常「ノーマルクローズ」です。これにより、断線時に警報が作動することが保証されます。もし回路がノーマルオープンであれば、配線の故障は検知されず、実際の警報信号も遮断されてしまいます。
• アナログセンサーや変調アクチュエーターは、通常、回路の故障により範囲外の測定値が表示されるように設置・配線されています（電流ループを参照）。例えば、ペダルの位置を示すポテンショメーターは、その全範囲の20%から80%までしか動かないため、ケーブルの断線やショートが発生すると、0%または100%の測定値が表示されます。
• 制御システムでは、極めて重要な信号を相補的な2本の配線（<signal>と<not_signal>）で伝送することができます。2つの信号が反対の状態（一方がハイ、もう一方がロー）の場合のみ有効です。両方がハイまたは両方がローの場合、制御システムはセンサーまたは接続配線に何らかの異常があることを認識します。これにより、単純な故障モード（センサーの故障、配線の切断または未接続）が検出されます。例えば、SPDTセレクタスイッチのノーマルオープン（NO）極とノーマルクローズ（NC）極の両方をコモンに対して読み取り、入力に反応する前にそれらの整合性を確認する制御システムが挙げられます。
• HVAC制御システムでは、ダンパーやバルブを制御するアクチュエータは、例えばコイルの凍結や室内の過熱を防ぐためにフェイルセーフ機構を備えている場合があります。旧式の空気圧アクチュエータは、内部ダイヤフラムへの空気圧が失われた場合、内蔵スプリングがアクチュエータをホームポジションに押し戻すため、本質的にフェイルセーフ機構を備えていました。もちろん、ホームポジションは「安全な」位置である必要がありました。新しい電気式および電子式アクチュエータでは、電力喪失時にアクチュエータを自動的にホームポジションに駆動するために、スプリングやコンデンサなどの追加部品が必要です。^{[ 9 ]}
• プログラマブルロジックコントローラ（PLC）。PLCをフェイルセーフにするためには、関連するドライブを停止するために通電する必要がありません。例えば、通常、緊急停止はノーマルクローズ接点で行われます。停電時には、コイルとPLC入力の両方から電力が直接遮断されます。これがフェイルセーフシステムです。
• 電圧レギュレータが故障すると、接続された機器が破損する可能性があります。バール（回路）は、過電圧を検知するとすぐに電源を短絡させることで、損傷を防ぎます。

物理的なデバイスやシステムと同様に、フェイルセーフ手順を作成することで、手順が実行されなかったり、誤って実行されたりしても危険な動作が発生しないようにすることができます。例えば、

• 宇宙船の軌道 - 初期のアポロ計画の月へのミッションでは、宇宙船は自由帰還軌道に乗せられました。つまり、月周回軌道投入 時にエンジンが故障した場合でも、宇宙船は安全に地球に帰還するはずでした。

• 

  航空母艦に着陸する航空機のパイロットは、着陸時にスロットルを全開にする。アレスティングワイヤーが航空機を捕捉できなかった場合、航空機は再び離陸することができる。これはフェイルセーフの一例である。^{[ 10 ]}
• 鉄道信号システムでは、列車が通行していない信号機は「危険」位置に維持することが義務付けられています。したがって、すべての制御式絶対信号機のデフォルト位置は「危険」であり、列車が通過する前に信号を「クリア」に設定するという積極的な措置が必要です。この措置により、信号システムの故障、信号係の不在、あるいは予期せぬ列車の進入といった事態が発生した場合でも、列車に誤った「クリア」信号が表示されることがなくなります。
• 鉄道技術者は、鉄道信号が混乱を招いたり、矛盾したり、見慣れない状態（例えば、電気系統の故障により点灯しなくなった色信号など）を示している場合は、「危険」とみなすよう指示されています。このようにして、運転士はシステムのフェイルセーフティ（安全確保）に貢献しています。

フェイルセーフ（絶対確実な）装置は、ポカヨケ装置とも呼ばれます。ポカヨケという日本語は、品質管理の専門家である新郷茂雄氏によって造語されました。 ^{[ 11 ] [ 12 ]}「失敗しても安全」とは、オランダの「Room for the River」プロジェクトやテムズ河口2100計画^{[ 13 ] [ 14 ]}などの土木工学設計を指し、500年に一度の洪水などの深刻な事態が発生した場合に備えて、柔軟な適応戦略や気候変動適応を組み込んだ設計を指します。 ^{[ 15 ]}

フェイルセーフとフェイルセキュアは異なる概念です。フェイルセーフとは、デバイスが故障しても生命や財産を危険にさらさないことを意味します。一方、フェイルセキュア（フェイルクローズとも呼ばれる）とは、セキュリティ上の問題が発生した場合でも、アクセスやデータが不正な者の手に渡らないことを意味します。これらのアプローチは、時に正反対の解決策を提案することがあります。例えば、建物が火災に見舞われた場合、フェイルセーフシステムはドアのロックを解除して迅速な避難を確保し、消防士が中に入ることができるようにしますが、フェイルセキュアシステムはドアをロックして建物への不正なアクセスを防ぎます。

フェールクローズの反対はフェールオープンと呼ばれます。

フェイルアクティブオペレーショナルは、高度な冗長性を備えたシステムに導入できます。これにより、システムのいずれかの部分に1つの障害が発生しても許容され（フェイルアクティブオペレーショナル）、2つ目の障害が検出されるとシステムは自動的に停止します（アンカップルド、フェイルパッシブ）。これを実現する方法の一つは、3つの同一システムを導入し、不一致を検出する制御ロジックを構築することです。この例としては、慣性航法システムやピトー管など、多くの航空機システムが挙げられます。

冷戦時代、 「フェイルセーフ・ポイント」とは、ソ連領空すぐ外側にあるアメリカ戦略航空軍の核爆撃機にとっての「後戻りできない地点」を指して使われていた。攻撃命令を受けた場合、爆撃機はフェイルセーフ・ポイントに留まり、二度目の確認命令を待つ必要があった。確認命令を受けるまでは、爆弾を起爆させたり、それ以上進撃したりすることはできなかった。^{[ 16 ]}この設計は、アメリカの指揮系統のいかなる失敗も核戦争につながることを防ぐことを目的としていた。この用語のこの意味は、1962年に出版された小説『フェイルセーフ』によってアメリカの一般大衆に広まった。

（他の核戦争指揮統制システムでは、反対の方式であるフェイルデッドリーが使用されており、これは、核攻撃の開始を防ぐために敵の先制攻撃が発生していないことを継続的または定期的に証明することを必要とする。）

無料辞書のウィクショナリーで「フェイルセーフ」を調べてください。

• フェイルファストシステム
• 制御理論
• デッドマンスイッチ
• EIA-485
• 優雅な劣化
• ひどく失敗する
• 失敗致命的
• フォールトトレランス
• IEC 61508
• インターロック
• 安全寿命設計
• 安全工学