Un système conçu selon le principe Fail-Safe est un système qui continue à remplir sa mission de manière partielle ou totale en cas de panne. Plus précisément, en cas de panne unique, isolée et prévisible.
Exemple hors-aviation : un détendeur de plongée sous-marine qui gèle ne va pas bloquer mais continuer à débiter de l’air de manière incontrôlée. Pour le plongeur, il est préférable de recevoir un formidable débit en plein poire que de se retrouver privé d’air.
En pratique, on peut dire que le système Fail-Safe a 3 états :
Fonctionnement Normal – Fonctionnement dégradé (après 1 panne) – Panne totale (à la seconde panne).
Dans de nombreux systèmes, le fonctionnement dégradé et le fonctionnement normal sont pareils. C’est-à-dire qu’on n’assiste pas à une perte de performance entre les deux modes qui restent, néanmoins, bien distincts. Par exemple, une surface de vol est attaquée par plusieurs vérins hydrauliques en même temps. Si l’un d’eux est en panne, le pilote ne va pas ressentir de gêne et pourra actionner la gouverne sans problèmes.
Pour la raison évoquée plus haut, les systèmes Fail-Safe exigent des contrôles fréquents, l’installation de portes de visites et/ou des systèmes de contrôle et d’alarme à distance. Il faut donc que l’opérateur soit capable d’apporter une maintenance de qualité. En l’absence de celle-ci, le Fail-Safe peut devenir très dangereux. Une première panne surgit et reste sans réponse mais aussi sans effets dévastateurs sur le système. Elle devient une panne latente qui n’a aucun effet immédiat à elle seule, mais qui peut rester en quiescence pendant une longue période. Le système tourne en mode dégradé jusqu’au jour où une seconde panne survient et c’est la surprise pour tout le monde !
Ce genre de systèmes sont aussi un véritable défi à leurs réalisateurs. Ceux-ci doivent faire la liste des pannes possible et concevoir des redondances permettant un fonctionnement dégradé. Il faut retenir qu’un système n’est Fail-Safe que par rapport aux pannes qui ont été placées dans le cahier de charge lors de sa conception. En cas d’usage non conforme, on peut se retrouver face à des disfonctionnement qui n’ont pas été prévus par les concepteurs et pour lesquels le système n’offre aucune protection.
