Tanto quanto eu li em vários documentos sobre o A320 e lembro-os corretamente:
Existem três sistemas que lidam com diferentes partes do controle de voo principal:
- O ELAC (computador de elevador e aileron) controla o passo com elevadores + aparar e rolar com ailerons.
- Controles SEC (spoiler e computador elevador) rolam com spoilers e se os ELACs falharem, incline com elevadores + trim.
- FAC (computador de aumento de vôo) implementa o amortecedor de guinada. Seu comando é adicionado ao comando do leme. Nos pedais de leme do A320 tem ligação mecânica direta (hidráulica).
O ELAC e o FAC são compostos de duas unidades idênticas cada, a SEC de três unidades idênticas (mas apenas duas das unidades são usadas como backup para o ELAC).
Cada unidade é composta de duas placas de computador diferentes. Um usava o CPU i386, o outro CPU m86k e cada um desenvolveu um software independente (para minimizar o risco do mesmo bug de software em ambos).
Uma das placas em cada par calcula a saída e a outra a verifica. Se a verificação falhar, essa unidade declara falha e desconexões. Esta é a principal maneira de detectar falhas.
Não encontrei nenhuma referência para comparar as saídas das unidades idênticas. Exceto pelo controle do spoiler, existem apenas duas saídas e a placa de seleção é a maneira mais confiável de detectar falhas de qualquer maneira.
Se o FAC falhar, a aeronave não manterá um vôo bem coordenado e tenderá a um teste holandês, mas os pilotos podem compensá-lo com a entrada do leme.
Se a SEC falhar, o ELAC pode manipular o controle sozinho. Apenas spoilers não estarão disponíveis.
Se o ELAC falhar, a SEC também poderá assumir o controle. Virar com spoilers pode causar um pouco mais de arrasto, mas não um grande problema.
Se tanto o ELAC quanto o SEC falharem, as rodas de compensação de passo têm ligação mecânica (hidráulica) direta e o rolo pode ser controlado pelo leme aproveitando a estabilidade da guinada. Eu não acho que isso fosse necessário na prática. Note que isto é para a família A320; quais controles estão disponíveis em caso de falha de todos os computadores de vôo é diferente em cada tipo de Airbus.
Quanto à entrada de dados, existem três ADIRUs (dados aéreos e unidade de referência inercial) e cada computador de vôo recebe dados dos três e compara-os. Ele precisa de dois valores correspondentes (semelhantes dentro de alguns limites) para considerá-los confiáveis. Se mais de uma unidade falhar ou se não houver dois concordantes, os computadores de voo se degradam para lei alternativa ou lei direta .
Em lei alternativa, o sistema deixa de fornecer proteção alfa (stall), proteção contra sobrevelocidade e, dependendo do que falhou, outra proteção de envelope de vôo (existem dois tipos, com diferentes proteções perdidas).
Em lei direta, ela reverte o mapeamento direto da posição do braço para controlar a posição da superfície, semelhante aos controles mecânicos. Mas a maioria das falhas só resulta em lei alternativa, exceto se todas as referências inerciais fossem perdidas (isso seria muito difícil de lidar, pois significaria indicadores de atitude não confiáveis também, mas eu não acho que isso tenha acontecido também; os sistemas inerciais são muito confiáveis) .
A lei alternativa ou direta também pode ser inserida se alguma superfície de controle (ou seu atuador) falhar e em algum lugar na sequência de falhas do computador, mas não me lembro da condição exata (os FACs calculam os limites; certamente irá degradar).