Fail-safe (englisch für „versagenssicher“ oder „ausfallsicher“, zusammengesetzt aus fail, ‚ausfallen‘ und safe, ‚gefahrlos‘) bezeichnet jede Eigenschaft eines Systems, die im Fall eines Fehlers zu möglichst geringem Schaden führt. Bei einer Maschine oder Anlage werden systematisch Fehler unterstellt und danach versucht, die zugehörigen Auswirkungen so ungefährlich wie möglich zu gestalten. Dieses Prinzip wird in allen technischen Bereichen angewendet. In vielen Fällen gibt es hierfür branchenspezifische Sicherheitsvorschriften. Im übertragenen Sinn werden neben Bauteil- oder Energieausfall auch Bedienungsfehler betrachtet.
Manchmal wird im Deutschen in diesem Zusammenhang auch der Begriff Fehlertoleranz benutzt. Bei diesem Begriff geht es aber eher um das Thema Bedienerfreundlichkeit. Jedenfalls ist mit diesem Begriff selten die Betrachtung einer Gefährdung für Gesundheit und Umwelt verbunden.
Auch der Begriff Ausfallsicherheit bezieht sich nicht auf eine damit verbundene Gefährdung, sondern auf die Zuverlässigkeit einer Anlage.
Die Standardfragen lauten, was passiert, wenn
Diese Fragen werden üblicherweise in einer FMEA (Failure Mode and Effects Analysis – „Fehlermöglichkeits- und Einflussanalyse“) untersucht und bewertet.
Komplexere Fragen ergeben sich, wenn
Solche komplexe systemtechnischen Fragestellungen werden z. B. mit den Methoden der Zuverlässigkeitstechnik, wie Fehlerbaum- oder Ereignisbaumanalyse untersucht.
Im Einzelfall können weitere Fragen sinnvoll oder notwendig sein. Es ist unzulässig, die Fehlerbetrachtung auf die Steuerung oder Elektrik zu beschränken. Ebenso darf eine Betrachtung nicht durch Einschätzungen wie „selten“ oder „unwahrscheinlich“ unterdrückt werden. Ebenfalls darf die Unterstellung eines Ausfalls nicht einfach durch eine „Überdimensionierung“ eines konstruktiven Details ausgeschlossen werden. Beispiel: die Rohrleitung bricht (auch bei doppelter oder dreifacher Wandstärke). Die Folgen eines solchen Bruchs müssen analysiert werden.
Dem Bediener wird Fehlverhalten unterstellt. Dann kann man im Umkehrschluss den Bediener nicht als Garant für den sicheren Zustand betrachten. Kommt man zu keinem befriedigenden Ergebnis, dann kann die Planung von redundanten Bauteilen ein Ausweg sein. Bezogen auf das Thema Sicherheit sind dann solche Bauteile notwendig und nicht überflüssig.
Hauptsignale im Eisenbahnbetrieb zeigen grundsätzlich zwei Begriffe an: Halt und Fahrt. Sie haben die Aufgabe, in einem Blockabschnitt nur einen Zug fahren zu lassen. Ein Signal und seine Ansteuerung werden so konstruiert, dass es im Fehlerfall den Haltbegriff einnimmt oder beibehält. Zudem sind inzwischen wirksame Zugbeeinflussungseinrichtungen mit den Signalen gekuppelt, die bei Überfahren eines haltzeigenden Signals eine Zwangsbremsung auslösen. Im Fehlerfall fährt also kein Zug in den gesperrten Streckenabschnitt.
Mechanische Signale wurden in Mitteleuropa so konstruiert, dass der Signalflügel in waagerechter Stellung Halt und schräg nach oben weisend Fahrt signalisiert. Reißt ein Strang der Drahtzugleitung, so zieht das Spannwerk das Signal über den intakten Strang gegen einen Anschlag in die Haltlage. Wird das Gestänge am Signalmast an einer beliebigen Stelle getrennt oder bricht eine Übertragungsstange, dann fällt der (bzw. fallen die) Flügel durch die Schwerkraft selbsttätig in die Haltstellung. Insbesondere bei Eisenbahnbetrieben in Großbritannien waren und sind Formsignale üblich, bei denen der Fahrtbegriff durch einen schräg nach unten zeigenden Flügel gebildet wird (»lower quadrant«). Durch die Form der Flügelgrundplatte gelangen auch diese Signalflügel bei einem Stangenbruch sicher in die Haltlage. Fahrtbegriffe eines Lichtsignals werden so aufgebaut, dass erst die geschwindigkeitsbeschränkenden Teile wie das Gelb 2 leuchten müssen, bevor der Fahrtbegriff vollständig erscheint. Erst danach wird der Haltbegriff gelöscht. Fällt ein Lichtpunkt so aus, dass der Signalbegriff fälschlich aufgewertet würde (ein verlöschendes Gelb 2 würde eine Geschwindigkeitsbegrenzung aufheben), dann wird der Fahrtbegriff völlig abgeschaltet und der Haltbegriff erscheint. Das ist die Konstruktion in der Fail-Safe-Methode. Störungen wirken sich zwar betriebsbehindernd, jedoch zur sicheren Seite aus. Auch bei der Eisenbahnbremse kommt dieses Prinzip zum Tragen: Während der Fahrt muss die Hauptluftleitung unter Druck stehen, damit die Bremsen lösen. Reißt eine Kupplung und damit auch die Bremsleitung, wird die Hauptluftleitung in beiden Zugteilen entlüftet und es kommt zur Zwangsbremsung.
Die Fail-safe-Methode wird in vielen Bereichen des Flugzeugbaus eingesetzt. Sie geht davon aus, dass die Bauteile aufgrund der ständig wechselnden Lasten im Laufe der Zeit versagen. Um ein Versagen des Systems zu verhindern, setzt diese Philosophie auf die so genannte ausfallsichere Konstruktion. Die Konstruktion ist mehrfach statisch unbestimmt, so dass bei Ausfall eines Bauteils ein anderes Bauteil dessen Aufgabe übernehmen kann. Mindestens die sichere Last (max. Betriebslast) muss durch das Nachbarteil aufgenommen werden. Ein Beispiel aus dem Flugzeugbau sind Rissstopper, die ein Größerwerden von Rissen verhindern sollen oder die Bolzen, welche zur Befestigung der Triebwerke eingesetzt werden. Diese sind doppelt vorhanden (Bolzen in Bolzen) und jeweils auf die maximale Last ausgelegt.
Eine regelmäßige Inspektion zur rechtzeitigen Feststellung von Rissen ist bei dieser Methode unerlässlich. Deshalb muss der Schaden bei regelmäßigen Routineuntersuchungen erkennbar sein. Das ausgefallene Bauteil muss dann schnellstmöglich ersetzt werden. Ein einfacher Austausch ist dabei Voraussetzung der Konstruktion nach Fail-Safe.
Ein Fail-Safe Modul stellt eine Baugruppe dar, die bei unzuverlässigen Signalen des Empfängers, ausgelöst durch schwachen Funkempfang oder unzureichende Batterieleistung, eine bestimmte Aktion im Modell ausführt, zum Beispiel die Bremsanlage betätigt. Die Aktion im Fail-Safe-Fall kann bei guten Baugruppen eingestellt werden. Dies soll verhindern, dass das Modell sich unkontrolliert weiter bewegt und gegebenenfalls zerstört wird oder Zerstörungen verursacht. Dies wird meist bei Auto- oder Flugzeug-Modellen angewendet.
Vor der Einführung von Fernsteuerung wurden von Hand oder mittels Gummi- oder Seilzug gestartete Segelflugmodelle fest auf höhensparendes Kreisen getrimmt und einfach dem Aufwind überlassen. Wenn das Modell zufällig zu lange in einem – prinzipiell günstigen – Aufwind bleibt, besteht die Gefahr, dass das Modell außer Sicht gerät oder sonst wie unerreichbar weit verfrachtet wird. Dafür wird eine Thermikbremse eingebaut: Eine glimmende Lunte löst je nach vorbereiteter Länge nach einer damit vorherbestimmten Zeit die Betätigung des Höhenleitwerks aus, damit das Modell rasch absinkt.
Fail-safe ist eine Konstruktionsmethode, um das Auftreten von Fehlern in Systemen zu erkennen und eine Maschine in einen sicheren Zustand zu bringen.
Beim statischen Fail-safe werden Komponenten so angebaut und an eine Steuerung angeschlossen, dass die Komponente bei Ausfall einen sicheren Zustand herstellt. So wird zum Beispiel ein Sensor so an eine Überwachung angebracht, dass er im Normalzustand betätigt ist und so verdrahtet, dass er dabei Spannung an das auswertende Gerät anlegt. Wird nun die Betätigung abgebaut oder entsteht Drahtbruch, erkennt das auswertende Gerät den gleichen Zustand wie im Fehlerfall des Sensors und stoppt die Maschine. Das statische Fail-safe ist nicht überlistungssicher, da es durch Manipulationen möglich ist, die Komponente so zu beeinflussen, dass dem auswertenden Gerät ein sicherer Zustand vorgetäuscht wird (zum Beispiel über eine Drahtbrücke, ein den Sensor auf andere Weise betätigendes Element). Statisches Fail-safe ist sowohl für Sensorik und für Aktorik möglich.
Das dynamische Fail-safe überwacht Zustandsänderungen einer angeschlossenen Komponente. So werden Reaktionen auf einen Sensor nicht durch den Zustand des Sensors selbst, sondern durch einen Wechsel des Zustands ausgelöst. Bei Sensoren, die regelmäßig eine Zustandsänderung (zum Beispiel in jedem Maschinentakt) durchführen, wird zusätzlich eine Plausibilitätskontrolle durchgeführt. Abhängig von der Maschinenposition muss der Sensor an einer vorher bestimmten Position einen bestimmten Zustand einnehmen. Dynamisches Fail-safe ist nur für Sensorik möglich. Der Umfang der Sensorik und Aktorik mit Fail-safe Logik in einer Maschine wird anhand einer Risikoanalyse bestimmt.
Eine der wichtigsten und bekanntesten Sicherheitsmaßnahmen in der Kerntechnik ist der negative Dampfblasenkoeffizient als Unterkategorie der Temperatur-Reaktivitäts-Koeffizienten. Vereinfacht gesagt sind bei den meisten Kernkraftwerken physikalische Gesetze dafür verantwortlich, dass ein Anstieg der Temperatur zu einem Fallen der Leistung führt – im Idealfall erfolgt die Reaktorschnellabschaltung selbsttätig wenn (zu lange) kein Steuerungsbefehl erfolgt, vergleichbar einem Totmannschalter bei der Eisenbahn. Heutige Steuerstäbe sind üblicherweise so gebaut, dass die Position außerhalb des Reaktorkerns (also „an“) Energie zur Aufrechterhaltung benötigt – zum Beispiel über Elektromagneten, die die Steuerstäbe daran hindern, in den Kern zu fallen – kommt es zum Stromausfall, fallen die Steuerstäbe in den Kern und bewirken eine Schnellabschaltung. Das Reaktor-Design RBMK, welches 1986 in Tschernobyl havarierte, hatte keine derartige passive Sicherheit.
Trotz der Tatsache, dass moderne „westliche“ Reaktoren (aber auch der russische VVER und alle chinesischen Bauformen) auf verschiedene Unfallszenarien mit automatischer Schnellabschaltung oder drastischer Verringerung der Leistung reagieren, kann die Nachzerfallswärme dennoch auch nach erfolgreicher Abschaltung zur Kernschmelze führen. Um dem vorzubeugen oder die Schäden zu minimieren, stehen je nach Reaktorkonzept wieder (üblicherweise mehrfach redundante) Sicherheitssysteme wie Core-Catcher (beim EPR), passive Kühlung, automatische Notkühlwassereinspeisung Wallmann-Ventile, Töpfer-Kerzen und dergleichen mehr zur Verfügung.
In jüngerer Zeit wird – gerade von small-modular-reactor-Herstellern – auf das Konzept der „Walk-Away-Safety“ abgehoben. Also die Sicherheit für den hypothetischen Fall, dass die gesamte Bedienmannschaft „weg läuft“ und keinerlei Input mehr erfolgt. Diese wird einerseits in Zeiteinheiten angegeben („72 Stunden Walk-Away-Safe“) teilweise auch absolut.[1][2] Bei zeitlich begrenzter Walk-Away-Safety wäre nach Ablauf der garantierten Zeit durchaus eine menschliche Handlung (zum Beispiel Zuführen von Kühlwasser) nötig, um die Sicherheit weiterhin zu garantieren.
Weitere Konstruktionsphilosophien sind die Fail-safe-Methode Safe-life und die Damage-Tolerance-Methode. Die Fail-Safe-Methodik stellt einen wirtschaftlich vernünftigen Kompromiss zwischen oben genannten Methoden dar.