O fail-safe não implica necessariamente que o sistema continuará operando após uma falha. Se o sistema parar de funcionar, mas não criar uma situação perigosa, ainda assim é isento de falhas. Um serviço não essencial a bordo de uma aeronave, como o sistema de entretenimento, pode ser à prova de falhas, se simplesmente parar de funcionar, porque um fusível queima. Se o fusível não explodir e, como resultado, o sistema pegar fogo após um curto-circuito, ele não é à prova de falhas.
Fail-soft significa, de fato, que, após uma falha, os serviços essenciais ainda são funcionais, embora no contexto da aviação isso seja principalmente considerado uma degradação graciosa. Um sistema fly-by-wire, tal como a bordo do A320, é defeituoso:
- Se todas as funções, o sistema voa com a lei normal ativa, fornecendo proteções contra entrar em regiões inseguras do envelope de vôo.
- Em determinadas falhas detectadas, o sistema alterna para a lei alternativa, ainda com algumas proteções no lugar.
- Após novas falhas, o sistema muda para a lei direta: não há mais proteções de envelope de vôo, apenas a deflexão da superfície proporcional à deflexão da haste.
Portanto, este sistema é fail-soft e não é seguro. O sistema de controle eletrônico de vôo como um todo não oferece segurança contra falhas: se todos os computadores de vôo forem perdidos, o sistema tem conexões hidromecânicas dos pedais para o leme e da roda de compensação para o estabilizador.
Os sistemas hidráulicos requerem atenção especial em relação à segurança contra falhas, uma vez que uma servo-válvula colada pode comandar uma velocidade constante: o atuador entra em uma de suas paradas e apresenta uma falha de ruptura. Um elevador preso em deflexão total não é seguro, portanto, o sistema de controle de inclinação precisa fazer provisões para segurança contra falhas se essa falha ocorrer. Por exemplo, permitindo que os elevadores esquerdo e direito trabalhem normalmente em uníssono, mas desacoplando-os após a detecção de uma falha de hard-over. O elevador de trabalho pode então ser comandado para a posição completamente oposta, tornando o sistema do elevador à prova de falhas, mas não com falha: o comando de inclinação deve ser feito agora com o interno do estabilizador. Um elevador preso na posição intermediária seria à prova de falhas, e o controle com o outro elevador proporciona degradação graciosa.
O sistema de controle de vôo a bordo de um F-16 é falha operacional: após uma falha do sistema, a função completa do sistema continua, sem degradação. É redundante quádruplo, o que significa que existem quatro sistemas integrados que executam a mesma função, enquanto apenas um é necessário. Os quatro sistemas funcionam de forma independente, e um sistema de monitoramento determina se todas as quatro saídas estão dentro de um intervalo pré-determinado. Se três são e um não, este sistema é desligado e os outros três continuam. Isso pode acontecer mais uma vez, mas se houver apenas dois sistemas operacionais, o sistema de votação não saberá qual dos dois falhou.