Структура отказов базовых архитектур систем безопасности

Системы безопасности по своей природе являются пассивными. Поэтому в режиме on-line выявить все виды отказов с помощью одной внутрисистемной диагностики невозможно. Опасный отказ может существовать абсолютно необнаруженным до тех пор, пока система неактивна. Система безопасности может отказать одним из двух способов:

Во-первых, она может вызвать или инициировать ложный, немотивированный останов, и остановить производство, в то время как фактически ничего опасного не произошло. Если выходные цепи спроектированы таким образом, что в нормальных рабочих условиях реле находятся под напряжением и контакты замкнуты, то в случае отказа системы защиты электропитание с контактов снимается, и они размыкаются, вызывая останов процесса. Некоторые люди называют подобную ситуацию "безопасным" отказом.

Во-вторых, система защиты может отказать прямо противоположным способом, то есть НЕ выполнить функцию защиты, в то время как это действительно требуется со стороны процесса. Примером подобной ситуации являются реле с залипшими контактами, которые не могут разомкнуться для правильного срабатывания блокировки, либо заклинивший исполнительный механизм отсекателя. Подобные отказы называют опасными отказами.