Selvä. Tuolla siis pystyy lentämään, jos MCAS kytketään pois päältä? Ydinvoimapuolella "turvallinen" tila on helppo sanoa eli ajetaan reaktori alas, mutta lentokoneessa viallisia järjestelmiä ei välttämättä voi ajaa alas.1oo2:lla päästään SIL3-tasolle, riittää vallan mainiosti aikas moneen paikkaan, toki vaatii sen että käyttöympäristö sallii ”irti päästämisen” heti 1 anturin vikaantuessa. Esim. tuon MCASin olisi voinut simppelisti kytkeä säätöloopista pois ja sytyttää pilotille valo tauluun että trimmaa käsin (näin tämä tullee oletettavasti toimaankin tulevaisuudessa).
Miten tuo SIL3 (tai SIL4) taso käytännössä tehdään kun vaaditaan HFT 2:sta tuollaisessa 2oo3 (tai tämähän on muistaakseni HFT 1 - paremmalla ”availabilityllä”, mutta olettavasti noita on 2 rinnakkain jos SIL4) ratkaisussa jos ensin hajoaa toinen anturi ja perään toinen siten että molemmat rikkinäiset näyttää samaa arvoa. Vaaditaanko softassa että kun on siirrytty 2 anturin käyttöön niin niitä ei voi vaihtaa ellei välissä ole käyty 3:lla anturilla?