程序设计思想之故障安全（fail safe）

有“故障安全”的基本设计思想。然而，许多人对故障安全有很大的误解。

为了确保安全性，使其具有双重三重.多重功能，而不是“故障安全”。所谓故障安全，机器、系统和其他人制造的东西必定会发生事故和错误。外部因素，例如地震等天灾和恐怖袭击等人祸也会导致事故发生。这是无法抵挡的。万一发生事故和错误的时候，一定要把机器和系统引导到安全的方向，这样的基本设计思想就是故障安全。

拥有多重的安全装置被称为“容错”，这是为了不发生事故的设计思想，故障安全是一定会发生事故和错误的前提下的设计思想，这两者从根本上是不同的。

例如，高铁。万一高铁的车辆发生事故的时候，从故障安全的观点来看，必须把车辆引导到安全的方向上。那就是首先让车辆停下来。另外，即使在地震等外部因素的情况下，尽早停止车辆1秒也是很重要的，事实上，高铁不仅是车辆的设计思想，控制系统等也作为故障安全的设计思想是最重要的课题。
但事实是，它不是完美的，而是每天都在努力争取更完美的故障安全。

那么飞机呢？如果正在飞行的飞机发生故障，有没有办法把它引导到安全方面呢？
不幸的是，到目前为止还没有找到它。也就是说，当飞行的飞机发生事故时，飞机不能立即停止。
所以，在飞机的情况下，我们的目标是安装多重安全装置，以确保绝对不会发生事故，也就是说，更完整的容错能力。因此，现在的飞机，其事故发生率极少，比汽车更安全一般地说的是您知道的那样。
而且，其容错措施目前仍在努力，以更完善为目标。换句话说，飞机吸取了过去的事故教训，进一步提高了容错能力。这些努力的积累到了现在。正因为如此，大多数人对飞机都有绝对的信赖感，在不怀疑安全的情况下登机。不用说，我们也是其中之一。

这样，故障安全和容错就是“似是而非”。前者是确定论，后者是基于概率论的安全性立场。

故障安全写成了基本设计思想。这个“基本”是什么呢？基本不是部分，也就是说。一定会发生事故和错误。也有外部因素造成的事故。在上述高铁的情况下，发生事故时一定要“停”。高铁有数量不多的系统和部件，每个系统和部件也有设计思想，但不能把它们的设计思想称为基本设计。首先是高铁的基本设计思想，即故障安全，继承其基本设计思想，各系统和零部件的设计思想成立。

这也是计算机系统所能说的。在计算机系统中，首先有系统整体的基本设计思想，部分系统和各个程序继承这个基本设计思想，构建整体的设计思想。在计算机系统中，缺陷(错误.也被称为错误)总是存在的，这是常识的基本设计思想，在没有缺陷的前提下，系统设计在那个时候是不合格的。

事情有“一长一短”的东西。高铁虽然可以以故障安全为目标，但是故障安全是以事故一定会发生为前提的对策，如果是绝对不会发生事故的想法，故障安全是不成立的。另外，不能坐高铁去美国。使用飞机可以前往世界各地，但不能寻求故障安全，因此飞机将容错能力提升到接近完美的程度。

不管是高铁还是飞机，都是基于事故一定会发生的思想而采取各种各样的对策，如果新干线和飞机的相关人员以“事故绝对不会发生”为前提，或者说出口的话，在那个时候就会失去信用了吧？“为了绝对不发生事故，我们会不断采取对策和努力。”这就是正确答案吧。

因为“事故一定会发生”，所以认为“绝对安全是不可能的”的前提，才是安全的第一步。