ในทางวิศวกรรม ระบบป้องกันความล้มเหลว ( fail -safe)คือคุณลักษณะหรือแนวทางการออกแบบที่ในกรณีที่คุณลักษณะการออกแบบนั้นล้มเหลว ระบบจะตอบสนองโดยธรรมชาติในลักษณะที่จะก่อให้เกิดอันตรายน้อยที่สุดหรือไม่ก่อให้เกิดอันตรายใดๆ ต่ออุปกรณ์อื่นๆ สิ่งแวดล้อม หรือผู้คน แตกต่างจาก ความปลอดภัยโดยธรรมชาติต่ออันตรายเฉพาะอย่าง การที่ระบบ "ป้องกันความล้มเหลว" ไม่ได้หมายความว่าความล้มเหลวจะไม่ส่งผลกระทบใดๆ โดยธรรมชาติ แต่หมายความว่าการออกแบบของระบบนั้นป้องกันหรือบรรเทาผลกระทบที่ไม่ปลอดภัยจากความล้มเหลวของระบบ หากและเมื่อระบบ "ป้องกันความล้มเหลว" ล้มเหลว ระบบนั้นจะยังคงปลอดภัยอย่างน้อยเท่ากับก่อนเกิดความล้มเหลว^{[ 1 ] [ 2 ]}เนื่องจากความล้มเหลวมีหลายประเภท จึง มีการใช้ การวิเคราะห์โหมดความล้มเหลวและผลกระทบเพื่อตรวจสอบสถานการณ์ความล้มเหลวและแนะนำการออกแบบและขั้นตอนด้านความปลอดภัย^{[ 3 ]}

บางระบบไม่สามารถทำให้ปลอดภัยจากความล้มเหลวได้เลย เนื่องจากจำเป็นต้องมีความพร้อมใช้งานอย่างต่อเนื่อง มีการใช้ ระบบสำรองการทนต่อความผิดพลาดหรือแผนฉุกเฉินสำหรับสถานการณ์เหล่านี้ (เช่น เครื่องยนต์หลายเครื่องที่ควบคุมและป้อนเชื้อเพลิงอย่างอิสระ) ^{[ 4 ]}

ตัวอย่างเช่น:

• วาล์วนิรภัย – อุปกรณ์ต่างๆ ที่ทำงานกับของเหลวมักใช้ฟิวส์หรือวาล์วนิรภัยเป็นกลไกป้องกันความผิดพลาด
• ประตูหนีไฟแบบม้วนที่ทำงานโดยระบบเตือนภัยของอาคารหรือเครื่องตรวจจับควันในพื้นที่ ต้องปิดโดยอัตโนมัติเมื่อได้รับสัญญาณ ไม่ว่าจะมีกระแสไฟฟ้าหรือไม่ก็ตาม ในกรณีที่ไฟฟ้าดับ ประตูหนีไฟแบบม้วนไม่จำเป็นต้องปิด แต่ต้องสามารถปิดโดยอัตโนมัติเมื่อได้รับสัญญาณจากระบบเตือนภัยของอาคารหรือเครื่องตรวจจับควัน อาจใช้ ตัวเชื่อมหลอมละลายที่ ไวต่ออุณหภูมิ เพื่อยึดประตูหนีไฟให้เปิดค้างไว้ต้านแรงโน้มถ่วงหรือสปริงปิด ในกรณีเกิดเพลิงไหม้ ตัวเชื่อมจะละลายและปล่อยประตู ทำให้ประตูปิดลง
• รถเข็นสัมภาระ ในสนามบินบางแห่งกำหนดให้ผู้ใช้ต้องกดคันเบรกมือค้างไว้ตลอดเวลา หากปล่อยคันเบรกมือ เบรกจะทำงาน และหากส่วนอื่นๆ ของระบบเบรกทำงานได้อย่างถูกต้อง รถเข็นก็จะหยุด การกำหนดให้กดคันเบรกมือค้างไว้จึงเป็นไปตามหลักการ "ความปลอดภัยเมื่อเกิดความล้มเหลว" และมีส่วนช่วย (แต่ไม่ได้รับประกันเสมอไป) ให้ระบบมีความปลอดภัยเมื่อเกิดความล้มเหลว นี่เป็นตัวอย่างของ สวิตช์นิรภัยสำหรับ คนตาย
• เครื่องตัดหญ้าและเครื่องเป่าหิมะมีคันโยกปิดด้วยมือที่ต้องกดค้างไว้ตลอดเวลา หากปล่อยคันโยกนี้ ใบมีดหรือใบพัดจะหยุดหมุน นอกจากนี้ยังทำหน้าที่เป็นสวิตช์นิรภัยด้วย
• ระบบเบรกอากาศในรถไฟและรถบรรทุกเบรกจะถูกยึดอยู่ในตำแหน่ง "ปิด" ด้วยแรงดัน อากาศ ที่สร้างขึ้นในระบบเบรก หากท่อเบรกแตกหรือตู้โดยสารหลุดออกจากกัน แรงดันอากาศจะหายไปและเบรกจะทำงาน โดยอาจใช้สปริงในกรณีของรถบรรทุก หรือใช้ถังเก็บอากาศเฉพาะที่ในรถไฟ เป็นไปไม่ได้ที่จะขับรถบรรทุกหากระบบเบรกอากาศรั่วอย่างรุนแรง (รถบรรทุกอาจใช้สัญญาณไฟกระพริบเพื่อแสดงว่าแรงดันอากาศต่ำ)
• ประตูอัตโนมัติ – ในกรณีไฟฟ้าดับ ประตูสามารถเปิดได้ด้วยมือโดยไม่ต้องใช้มือหมุนหรือกุญแจ อย่างไรก็ตาม เนื่องจากวิธีนี้จะทำให้ใครก็ได้สามารถผ่านประตูได้ จึงต้อง ใช้การออกแบบ ที่ปลอดภัยในกรณีไฟฟ้าดับ: ในกรณีไฟฟ้าดับ ประตูจะเปิดได้โดยใช้มือหมุนเท่านั้น ซึ่งโดยปกติจะเก็บไว้ในที่ปลอดภัยหรือล็อคกุญแจไว้ เมื่อประตูแบบนี้ใช้เป็นทางเข้าออกสำหรับยานพาหนะเข้าบ้าน จึงต้องใช้การออกแบบที่ปลอดภัย โดยประตูจะเปิดออกเพื่อให้เจ้าหน้าที่ดับเพลิงเข้าถึงได้

• 

  สัญญาณไฟทางรถไฟได้รับการออกแบบมาเป็นพิเศษ เพื่อให้หากสายเคเบิลที่ควบคุมสัญญาณขาด แขนของสัญญาณจะกลับไปยังตำแหน่ง "อันตราย" ป้องกันไม่ให้รถไฟวิ่งผ่านสัญญาณที่ใช้งานไม่ได้นั้น
• วาล์วแยกและวาล์วควบคุม ซึ่งใช้ในระบบที่บรรจุสารอันตรายเป็นต้น สามารถออกแบบให้ปิดเมื่อไฟฟ้าดับได้ เช่น โดยใช้แรงสปริง ซึ่งเรียกว่า ระบบปิดอัตโนมัติเมื่อไฟฟ้าดับ (fail-closed upon loss of power)
• ลิฟต์มีเบรกที่ทำงานโดยอาศัยแรงดึงของสายเคเบิลลิฟต์ หากสายเคเบิลขาด แรงดึงจะหายไป และเบรกจะล็อกเข้ากับรางในปล่องลิฟต์ ทำให้ห้องโดยสารลิฟต์ไม่ตกลงมา

ตัวอย่างเช่น:

• อุปกรณ์หลายชนิดได้รับการป้องกันจากไฟฟ้าลัดวงจรด้วยฟิวส์เบรกเกอร์หรือ วงจร จำกัดกระแสการตัดกระแสไฟฟ้าภายใต้สภาวะโอเวอร์โหลดจะช่วยป้องกันความเสียหายหรือการทำลายสายไฟหรืออุปกรณ์วงจรเนื่องจากความร้อนสูงเกินไป
• ระบบอิเล็กทรอนิกส์การบิน^{[ 5 ]}ใช้ระบบสำรองเพื่อทำการคำนวณแบบเดียวกันโดยใช้ระบบที่แตกต่างกันสามระบบผลลัพธ์ที่แตกต่างกันบ่งชี้ถึงข้อผิดพลาดในระบบ^{[ 6 ]}
• ระบบควบคุม แบบ Drive-by-wireและFly-by-wireเช่น เซ็นเซอร์ตำแหน่งคันเร่ง โดยทั่วไปจะมีโพเทนชิโอมิเตอร์สองตัวที่อ่านค่าในทิศทางตรงกันข้าม กล่าวคือ การขยับตัวควบคุมจะทำให้ค่าที่อ่านได้ค่าหนึ่งสูงขึ้น และอีกค่าหนึ่งโดยทั่วไปจะต่ำลงเท่ากัน ความไม่ตรงกันระหว่างค่าที่อ่านได้ทั้งสองบ่งชี้ถึงข้อผิดพลาดในระบบ และECUมักจะสามารถระบุได้ว่าค่าที่อ่านได้ค่าใดในสองค่านั้นผิดพลาด^{[ 7 ]}
• ตัวควบคุม สัญญาณไฟจราจรใช้หน่วยตรวจสอบความขัดแย้งเพื่อตรวจจับข้อผิดพลาดหรือสัญญาณที่ขัดแย้งกัน และเปลี่ยนทางแยกเป็นสัญญาณไฟกะพริบทั้งหมด แทนที่จะแสดงสัญญาณที่ขัดแย้งกันซึ่งอาจเป็นอันตราย เช่น การแสดงไฟเขียวในทุกทิศทาง^{[ 8 ]}
• การป้องกันโปรแกรมและ/หรือระบบประมวลผลโดยอัตโนมัติเมื่อตรวจพบความล้มเหลวของฮาร์ดแวร์หรือซอฟต์แวร์ ใน ระบบคอมพิวเตอร์ตัวอย่างคลาสสิกคือ ตัวจับเวลาเฝ้าระวัง ( watchdog timer ) ดูที่การป้องกันความล้มเหลว (คอมพิวเตอร์ )
• การทำงานหรือฟังก์ชันควบคุมที่ป้องกันการทำงานผิดปกติของระบบหรือ ความเสียหาย ร้ายแรงในกรณีที่วงจรทำงานผิดปกติหรือผู้ปฏิบัติงานทำผิดพลาด ตัวอย่างเช่นวงจร ป้องกันความผิดพลาด ที่ใช้ควบคุมสัญญาณบล็อกทางรถไฟข้อเท็จจริงที่ว่าไฟสีเหลืองกะพริบนั้นผ่อนปรนมากกว่าไฟสีเหลืองค้างบนเส้นทางรถไฟหลายสายเป็นสัญญาณของการทำงานป้องกันความผิดพลาด เนื่องจากหากรีเลย์ไม่ทำงาน มันจะเปลี่ยนกลับไปเป็นการตั้งค่าที่เข้มงวดกว่าเดิม
• เม็ดเหล็กถ่วงน้ำหนักในเรือดำน้ำจะถูกปล่อยลงเพื่อให้เรือดำน้ำสามารถลอยขึ้นสู่ผิวน้ำได้ เม็ดเหล็กถ่วงน้ำหนักนี้ถูกยึดไว้ด้วยแม่เหล็กไฟฟ้าหากไฟฟ้าดับ เม็ดเหล็กถ่วงน้ำหนักจะถูกปล่อยออกมา และเรือดำน้ำก็จะลอยขึ้นสู่ผิวน้ำอย่างปลอดภัย
• เครื่องปฏิกรณ์นิวเคลียร์หลายแบบมีการออกแบบให้มีแท่งควบคุมดูดซับนิวตรอนซึ่งแขวนไว้ด้วยแม่เหล็กไฟฟ้า หากไฟฟ้าดับ แท่งควบคุมเหล่านี้จะตกลงสู่แกนกลางด้วยแรงโน้มถ่วงและหยุดปฏิกิริยาลูกโซ่ภายในไม่กี่วินาทีโดยการดูดซับนิวตรอนที่จำเป็นสำหรับการเกิดปฏิกิริยาฟิชชันต่อไป
• ในระบบอัตโนมัติทางอุตสาหกรรมวงจรเตือนภัยมักจะเป็นแบบ " ปกติปิด " เพื่อให้แน่ใจว่าในกรณีที่สายไฟขาด สัญญาณเตือนจะดังขึ้น หากวงจรเป็นแบบปกติเปิด การขาดของสายไฟจะไม่ถูกตรวจพบ ในขณะเดียวกันก็จะปิดกั้นสัญญาณเตือนที่แท้จริงด้วย
• โดยทั่วไปแล้ว เซ็นเซอร์แบบอนาล็อกและแอคทูเอเตอร์แบบปรับค่าได้ สามารถติดตั้งและต่อสายได้ในลักษณะที่ว่า หากวงจรล้มเหลว จะส่งผลให้ค่าที่อ่านได้อยู่นอกช่วง – ดูที่วงจรไฟฟ้ากระแสสลับตัวอย่างเช่น โพเทนชิออมิเตอร์ที่แสดงตำแหน่งแป้นเหยียบ อาจเคลื่อนที่ได้เพียง 20% ถึง 80% ของช่วงเต็มเท่านั้น ดังนั้น หากสายขาดหรือลัดวงจร จะส่งผลให้ค่าที่อ่านได้เป็น 0% หรือ 100%
• ในระบบควบคุม สัญญาณที่สำคัญอย่างยิ่งสามารถส่งผ่านได้ด้วยสายไฟคู่ที่เสริมกัน (<สัญญาณ> และ <ไม่ใช่สัญญาณ>) เฉพาะสถานะที่สัญญาณทั้งสองตรงข้ามกัน (สัญญาณหนึ่งสูง อีกสัญญาณหนึ่งต่ำ) เท่านั้นจึงจะถือว่าถูกต้อง หากทั้งสองสัญญาณสูงหรือทั้งสองสัญญาณต่ำ ระบบควบคุมจะรู้ว่ามีบางอย่างผิดปกติกับเซ็นเซอร์หรือสายไฟที่เชื่อมต่อ จึงสามารถตรวจจับโหมดความล้มเหลวอย่างง่าย (เซ็นเซอร์เสีย สายไฟขาด หรือสายไฟหลุด) ได้ ตัวอย่างเช่น ระบบควบคุมจะอ่านค่าขั้วปกติเปิด (NO) และ ขั้ว ปกติปิด (NC) ของ สวิตช์เลือก SPDTเทียบกับขั้วร่วม และตรวจสอบความสอดคล้องกันก่อนที่จะตอบสนองต่ออินพุต
• ในระบบควบคุม HVACแอคทูเอเตอร์ที่ควบคุมแดมเปอร์และวาล์วอาจเป็นแบบ fail-safe เช่น เพื่อป้องกันไม่ให้คอยล์แข็งตัวหรือห้องร้อนเกินไปแอคทูเอเตอร์แบบนิวแมติกส์ รุ่นเก่า มี fail-safe โดยธรรมชาติ เพราะหากแรงดันอากาศที่กระทำต่อไดอะแฟรมภายในล้มเหลว สปริงในตัวจะดันแอคทูเอเตอร์กลับไปยังตำแหน่งเริ่มต้น – แน่นอนว่าตำแหน่งเริ่มต้นจะต้องเป็นตำแหน่งที่ “ปลอดภัย” แอคทูเอเตอร์ไฟฟ้าและอิเล็กทรอนิกส์รุ่นใหม่จำเป็นต้องมีส่วนประกอบเพิ่มเติม (สปริงหรือตัวเก็บประจุ) เพื่อขับเคลื่อนแอคทูเอเตอร์กลับไปยังตำแหน่งเริ่มต้นโดยอัตโนมัติเมื่อไฟฟ้าดับ^{[ 9 ]}
• ตัวควบคุมลอจิกแบบโปรแกรมได้ (PLC) เพื่อให้ PLC ปลอดภัยจากความล้มเหลว ระบบจะไม่ต้องการพลังงานเพื่อหยุดการทำงานของอุปกรณ์ที่เกี่ยวข้อง ตัวอย่างเช่น โดยปกติแล้ว ปุ่มหยุดฉุกเฉินจะเป็นหน้าสัมผัสแบบปิดปกติ ในกรณีที่ไฟฟ้าดับ หน้าสัมผัสนี้จะตัดกระแสไฟออกจากขดลวดและอินพุตของ PLC โดยตรง ดังนั้นจึงเป็นระบบที่ปลอดภัยจากความล้มเหลว
• หากตัวควบคุมแรงดันไฟฟ้าทำงานผิดพลาด อาจทำให้อุปกรณ์ที่เชื่อมต่อเสียหายได้ วงจรป้องกันแรงดัน ไฟฟ้า เกิน (crowbar circuit)จะป้องกันความเสียหายโดยการลัดวงจรแหล่งจ่ายไฟทันทีที่ตรวจพบแรงดันไฟฟ้าเกิน

นอกเหนือจากอุปกรณ์และระบบทางกายภาพแล้ว ยังสามารถสร้างขั้นตอนการทำงานที่ปลอดภัยได้ เพื่อให้หากขั้นตอนใดขั้นตอนหนึ่งไม่ดำเนินการหรือดำเนินการไม่ถูกต้อง ก็จะไม่เกิดอันตรายใดๆ ตัวอย่างเช่น:

• วิถีโคจรของยานอวกาศ - ในช่วงภารกิจแรก ๆของโครงการอพอลโลไปยังดวงจันทร์ ยานอวกาศถูกกำหนดให้มีวิถี โคจรแบบกลับสู่โลกโดยอัตโนมัติ  กล่าวคือ หากเครื่องยนต์ขัดข้องขณะ เข้าสู่วงโคจร ของดวงจันทร์ ยานจะโคจรกลับสู่โลกอย่างปลอดภัย

• 

  นักบินของเครื่องบินที่กำลังลงจอดบนเรือบรรทุกเครื่องบินจะเพิ่มคันเร่งไปที่กำลังสูงสุดเมื่อแตะพื้น หากสายเบรกไม่สามารถจับเครื่องบินได้ เครื่องบินก็จะสามารถบินขึ้นได้อีกครั้ง นี่เป็นตัวอย่างของการปฏิบัติที่ปลอดภัยในกรณีที่เกิดความล้มเหลว^{[ 10 ]}
• ในระบบสัญญาณรถไฟสัญญาณควบคุมแบบสัมบูรณ์ที่ไม่ได้ใช้งานสำหรับรถไฟจะต้องอยู่ในตำแหน่ง "อันตราย" ดังนั้นจึงต้องมีการดำเนินการเชิงบวก — คือการตั้งสัญญาณเป็น "ปลอดภัย" — ก่อนที่รถไฟจะผ่านได้ การปฏิบัตินี้ยังช่วยให้มั่นใจได้ว่า ในกรณีที่ระบบสัญญาณผิดพลาด พนักงานควบคุมสัญญาณไม่สามารถปฏิบัติหน้าที่ได้ หรือมีรถไฟเข้ามาโดยไม่คาดคิด รถไฟจะไม่ได้รับสัญญาณ "ปลอดภัย" ที่ผิดพลาด
• วิศวกรการรถไฟได้รับคำสั่งว่า สัญญาณเตือนรถไฟที่แสดงลักษณะที่สับสน ขัดแย้ง หรือไม่คุ้นเคย (ตัวอย่างเช่นสัญญาณไฟสีที่เกิดความขัดข้องทางไฟฟ้าและไม่แสดงแสงใดๆ เลย) จะต้องได้รับการปฏิบัติเสมือนว่าแสดงถึง "อันตราย" ด้วยวิธีนี้ ผู้ขับขี่จึงมีส่วนช่วยเสริมสร้างความปลอดภัยในกรณีที่ระบบล้มเหลว

อุปกรณ์ ป้องกันความล้มเหลว (ป้องกันความผิดพลาด ) ยังรู้จักกันในชื่ออุปกรณ์โปคาโยเกะโปคาโยเกะเป็น คำภาษา ญี่ปุ่นที่คิดค้นโดยชิเกโอะ ชิงโกะผู้เชี่ยวชาญด้านคุณภาพ^{[ 11 ] [ 12 ]} "ปลอดภัยต่อความล้มเหลว" หมายถึงการออกแบบทางวิศวกรรมโยธา เช่นโครงการ Room for the River ในเนเธอร์แลนด์และแผน Thames Estuary 2100 ^{[ 13 ] [ 14 ]}ซึ่งรวมกลยุทธ์การปรับตัวที่ยืดหยุ่นหรือการปรับตัวต่อการเปลี่ยนแปลงสภาพภูมิอากาศซึ่งจัดเตรียมและจำกัดความเสียหายหากเกิดเหตุการณ์รุนแรง เช่น น้ำท่วม 500 ปี^{[ 15 ]}

ระบบ Fail-safeและFail-secureเป็นแนวคิดที่แตกต่างกันFail-safeหมายความว่าอุปกรณ์จะไม่เป็นอันตรายต่อชีวิตหรือทรัพย์สินเมื่อเกิดความล้มเหลวส่วน Fail-secureหรือที่เรียกว่าFail-closedหมายความว่าการเข้าถึงหรือข้อมูลจะไม่ตกไปอยู่ในมือของผู้ไม่หวังดีในกรณีที่ระบบรักษาความปลอดภัยล้มเหลว บางครั้งแนวทางทั้งสองอาจเสนอวิธีแก้ปัญหาที่ตรงกันข้าม ตัวอย่างเช่น หากอาคารเกิดไฟไหม้ ระบบ Fail-safe จะปลดล็อกประตูเพื่อให้สามารถหนีออกมาได้อย่างรวดเร็วและอนุญาตให้เจ้าหน้าที่ดับเพลิงเข้าไปภายในได้ ในขณะที่ระบบ Fail-secure จะล็อกประตูเพื่อป้องกันการเข้าถึงอาคารโดยไม่ได้รับอนุญาต

สิ่งที่ตรงข้ามกับfail-closedคือfail- open

การทำงานแบบแอคทีฟเมื่อเกิดความล้มเหลว (Fail Active Operational) สามารถติดตั้งได้ในระบบที่มีความซ้ำซ้อนสูง เพื่อให้สามารถทนต่อความล้มเหลวเพียงจุดเดียวของส่วนใดส่วนหนึ่งของระบบได้ (Fail Active Operational) และสามารถตรวจจับความล้มเหลวครั้งที่สองได้ ซึ่งในจุดนั้นระบบจะปิดตัวเองโดยอัตโนมัติ (Uncouple, Fail Passive) วิธีหนึ่งในการทำเช่นนี้คือการติดตั้งระบบที่เหมือนกันสามระบบ และมีตรรกะควบคุมที่ตรวจจับความผิดปกติ ตัวอย่างเช่น ระบบต่างๆ ในเครื่องบิน เช่นระบบนำทางเฉื่อยและท่อพิโทต์

ในช่วงสงครามเย็นคำว่า "จุดปลอดภัย" (failsafe point) เป็นคำที่ใช้เรียกจุดที่ไม่สามารถย้อนกลับได้สำหรับ เครื่องบินทิ้งระเบิดนิวเคลียร์ ของกองบัญชาการยุทธศาสตร์ทางอากาศ ของอเมริกา ซึ่งอยู่นอกน่านฟ้าของโซเวียต ในกรณีที่ได้รับคำสั่งโจมตี เครื่องบินทิ้งระเบิดจะต้องบินวนอยู่ที่จุดปลอดภัยและรอคำสั่งยืนยันครั้งที่สอง จนกว่าจะได้รับคำสั่งยืนยัน พวกเขาจะไม่จุดชนวนระเบิดหรือบินต่อไป^{[ 16 ]} การออกแบบนี้มีจุดประสงค์เพื่อป้องกันความล้มเหลวเพียงครั้งเดียวของระบบบัญชาการของอเมริกาที่อาจนำไปสู่สงครามนิวเคลียร์ ความหมายของคำ นี้ ได้เข้ามาอยู่ในพจนานุกรมยอดนิยมของอเมริกาเมื่อมีการตีพิมพ์นวนิยายเรื่องFail-Safe ในปี 1962

(ระบบควบคุมสั่งการสงครามนิวเคลียร์อื่นๆ ใช้รูปแบบตรงกันข้าม คือ ระบบ " ล้มเหลวแล้วตาย " ซึ่งต้องมีการพิสูจน์อย่างต่อเนื่องหรือเป็นประจำว่าศัตรูไม่ได้โจมตีก่อน เพื่อป้องกันการโจมตีด้วยอาวุธนิวเคลียร์)

ลองค้นหาคำว่า fail-safeใน Wiktionary ซึ่งเป็นพจนานุกรมฟรี

• ระบบที่ล้มเหลวอย่างรวดเร็ว
• ทฤษฎีการควบคุม
• สวิตช์คนตาย
• อีไอเอ-485
• ความเสื่อมโทรมที่สง่างาม
• ล้มเหลวอย่างสิ้นเชิง
• ล้มเหลวอย่างร้ายแรง
• ความทนทานต่อความผิดพลาด
• อีซีอี 61508
• อินเตอร์ล็อค
• การออกแบบเพื่อความปลอดภัยในชีวิต
• วิศวกรรมความปลอดภัย
• ความปลอดภัยเชิงฟังก์ชัน