01 “失效安全”的概念

在《液压系统ENG 1/2电门怎么用？》这篇里提到了EDP控制逻辑的“设计”问题——

显然是当前的设计安全裕度更高：无须电门提供电源，EDP也能正常工作，这意味着它可以应付非正常电源构型、不受多种故障的影响。

HelloSky，公众号：硬核航空液压系统ENG 1/2电门怎么用

写得匆忙，没有提到隐含的一个设计理念——失效安全。熟悉B737NG维修手册的读者可能经常遇到“fail safe”或“fail-safe”，常见的搭配是fail safe design，尤以第24章（电源系统）见得最多。中文的正式翻译就是“失效安全”。

失效安全，描述的对象是一个部件或系统。当它的功能发生了部分的失效，剩余的部分仍然可以确保整个系统相对安全地运行。注意，这个安全是相对于立即发生危险而言的，只要发生了部分失效，一般来说，比起初始状态而言，安全性就是降低了的。

因此对于民航飞机来说，部件或系统发生了失效安全的状况，通常意味着：可以保留，但需要按期限修复。而之所以可以发生失效安全的状况，前提当然是部件或系统采用了失效安全的设计理念。可以说，只要有一丁点儿可能，飞机的部件或系统都会基于失效安全理念而设计；假如你发现某个部件或系统居然不是这样的，那么恭喜你，设计专利在等你……实际上，民航飞机只是“失效安全”设计的集大成者，细心的读者会在生活中发现它也挺常见，例如“碎而不破”的防爆玻璃。

02 EDP里的失效安全

说回液压系统的EDP（发动机驱动泵）。不单B737NG的CFM56-7B，其他一些发动机的EDP也采用类似的设计——控制电门在ON位时不通电，而OFF位时电门为EDP卸压活门供电，使之为EDP卸压。

这种设计意味着，即使由于各种原因（例如电门本身的故障）而使电门的OFF位不能供电——这是“失效”，EDP仍然可以正常为飞机提供液压动力——这是“安全”。但是失效以后只能确保相对的安全，当液压系统发生超温或低压故障时——尽管是小概率事件，飞行员将无法以人工操纵的方式（电门放到OFF位）让EDP中断工作。

为了在经济和安全之间取得平衡，MEL允许保留这种失效，在规定的期限内包容小概率故障事件。B737NG允许两侧发动机的EDP都失去人工卸压功能（OFF位失效、不能供电）——

系统A的“发动机驱动液压泵的卸压功能”，指的就是ENG 1电门的OFF位不起作用了。这是说人工卸压功能失效了，但EDP本身随着发动机关车而自动卸压的功能必须是正常的。B系统也有相应的条目，因此说MEL允许两侧失效。A320只允许单侧发动机的这个功能失效，同时视乎发动机类型可能有额外的要求（PW1100G的保留条件更严格）——

03 飞行手册中的例子

有点意思，但也很遗憾的是，尽管B737NG的维修手册里反复提到safe fail，到了飞行员的手册里却见不着了。因此只好翻A320的（FCOM）。以下是3个例子——

驾驶舱玻璃都是失效安全设计。即使第一、第二层都失效了，仍有第三层可以暂时地承受内部空气的压力而不会立即爆破。

PW110G发动机防冰系统里，有两个电控气动的压力调节关断活门（PRSOV），正常情况下可以根据防冰需要而调节开度。在电控失效的情况下，基于失效安全功能，两个PRSOV都而完全打开，提供最大流量的热空气，从而覆盖所有的结冰条件。

在正常情况下，FADEC能控制FMV提供最优的燃油流量。但是当FMV失效，FADEC不再能够控制燃油流量。FADEC根据可能导致发动机关车的慢车或低于慢车的燃油流量，而自动地调定一个失效安全的最小燃油流量。

以上是A320的FCOM里明确地使用了fail safe的3个地方。但是必须严肃地指出：各航司FCOM的翻译版本一般都准确译出了“失效”和“安全””这两个词，但是经常是被拆开的，因此整个句子就让读者感到头疼，例如：

-“both PRSOVs are fail safe opened”被翻译成了“两个PRSOV都失效在安全打开位”。（“安全打开位”？有不安全打开位吗？）

-“automatically sets a fail safe minimum fuel flow”被生硬地翻译成“自动调定一个失效时最低安全燃油流量”（“失效时最低安全……”语无伦次的感觉）

这说明，一些翻译者理解fail和safe，但不理解fail safe。读者如果在翻译版中看到“失效”和“安全”离得很近，但是又不知所云，那么不妨自行脑补，看看能不能按照“失效安全”理解过来；如果还是无法理解，那么建议查阅原版手册。

B737NG的FCOM翻译版就没有这种坑，因为原版根本不提及失效安全的设计理念。呃，但也许我看漏了呢，还请读者指正……

相关阅读：

• 液压系统ENG 1/2电门怎么用