3-4 Système opérationnel après panne :

Le but de cette architecture est de permettre au système de "survivre" au moins à une première panne. Il repose sur le principe du vote majoritaire entre plusieurs chaînes identiques mises en parallèles. Si une chaîne est en désaccord avec les autres, elle est réputée en panne. Elle peut alors être mise hors service. Le nombre minimum de chaîne est trois, mais en pratique, on préfère utiliser quatre chaînes groupées en deux sous-systèmes identiques.

L'élément essentiel de cette architecture est le "voteur". Le voteur calcule la valeur médiane des entrées. Il travaille avec un nombre impair d'entrées; s'il y en a un nombre pair, on ajoute une entrée avec la valeur zéro.

La surveillance de la chaîne i consiste à comparer ei avec s. Si ces deux valeurs diffèrent trop, c'est que la chaîne i est en panne. Afin d'éviter l'effet d'une panne voteur, on inclut un voteur dans chaque chaîne.

Un intérêt supplémentaire des voteurs est qu'aucun ordre aberrant ne peut atteindre la gouverne.

Le schéma ci-après présente un exemple d'architecture opérationnelle après panne, formée de deux sous-systèmes:

- à la mise en service, c'est le sous-système 1 qui assure la commande de la gouverne.

- lors d'une panne du sous-système 1, il y a débrayage, et embrayage du sous-système 2, pratiquement sans à-coup puisque les si sont très voisins.

- s'il y a une panne du sous-système 2 alors que le sous-système 1 est embrayé, seul le tableau de pannes peut indiquer la panne. Il n'y a pas d'autre action nécessaire.

Le système passif après panne peut être amélioré par l'adjonction de deux voteurs, ce qui permet de lever certaines ambiguïtés sur la chaîne défaillante (ces deux voteurs ne sont pas représentés sur le schéma).