Тут как раз вопрос философии проектирования.
Формально согласно АП-25/CS-25 система СВС должна быть минимум двух канальной (для левого и правого пилота) и оба канала независимы друг от друга... А дальше уже как сделает разработчик:
1) Боинг сделал по одной флюгарке на канал и РЛЭ прописал пилотам в случае расхождения действовать по чек листу. И насколько помню даже сделал приписку, что в случае наличия скольжения показания каналов могут отличаться но не более определенной величины. Фактически тут контроль и парирование возложено на пилотов.
2) можно было поставить по 2 флюгарки на канал и внутри системы бороться с этим. Тогда контроль и парирование выполняла бы сама система, а пилоты бы получили лишь сообщение о неисправности в одном канале и возможно разницу в показаниях между каналом без поправки и с поправкой.
3) реализовать в чистом виде как вы написали проверку в составе системы и отключение при разнице Дау нельзя т.к. там каналы не знают о данных выдаваемых соседним каналом. А значит это можно реализовать только во внешнем для СВС оборудовании (при условии что СВС переделывать не хочется). Тогда тоже в случае расхождения в канал СВС мог быть подан сигнал отключения коррекции. Но это уж как то избыточно сложно... Проще сразу СВС грамотно переделать.
Весь этот вопрос очень схож с задаваемым по ручному включению обогрева на Ан-148. И в этом и в том случае в части СВС нормы сертификации не нарушены, раньше же "деды летали" с таким оборудованием и как то никто не говорил что все плохо...
Сейчас получается действительно разработчикам необходимо пересмотреть нормы и философию проектирования.
Очень правильный по моему мнению вопрос поднял
brother_737, думая как поступить в ситуации когда он оказался в кабине с нулевым вторым пилотом. Я бы развил эту мысль дальше и сказал бы так. Сейчас все сертификационные нормы разработаны под двухчленный экипаж и в некоторых ситуациях (болезнь одного из членов, плохие навыки пилотирования, стресс, да ещё куча других факторов) ресурсов экипажа уже может не хватить даже для решения типовых проблем. Что мы и видим в этом случае - один КВС не успевал одновременно пилотировать и разбираться с отказом. Передал управление соседнему чтобы разобраться, и упустил за ним контроль - грохнулись.
Получается разработчикам необходимо стремиться к такому уровню автоматизации чтобы даже при работе одного члена экипажа обеспечивалось бы безопасное продолжение полета (а это значит что необходимо в максимальной степени снижать нагрузку на экипаж даже в случае простых изначально отказные ситуаций... Системы должны подсказывать пилоту о невыполненых действиях, при необходимости сами включаться в управление с сигнализацией этого, сами бороться с типовыми отказами при возможности и сигнализировать о своей работе). А наличие двух членов экипажа уже бы обеспечивала избыточность ресурсов.
Тот подход, что сейчас на Боинге требует большой нагрузки на пилотов и мы видим что не всегда пилоты с этим справляются.
