Es muß ja nicht unbedingt gleich ein Absturz sein.

Du könntest die Steuerung z.B. als ein einzelnes System aufbauen.
Ein zweites System, das die eigt. Steuerung im Notfall abschalten kann, überwacht auf gefährliche Zustände. Dies kann z.B. eine zu große Sinkgeschwindigkeit sein, unzulässige Fluglage wie z.B. zu großer Neigungswinkel, zu starkes Rollen, usw.
Erkennt das zweite System eine von dir als unzulässig definierte Situation, schaltet es das primäre Steuersystem ab und fährt die Klappen in eine Position die es dem Segelflugzeug ermöglicht, selbstständig in eine stabile Fluglage zurückzukehren.

Ein Beispiel wäre, das Flugzeug ein klein wenig kopflastig auszubalancieren und das Höhenruder auf "Nase hoch" zu trimmen. Wenn du diese Parameter fein genug einstellst, wird das Segelflugzeug eigenständig geradeaus fliegen und dabei stetig, aber kontrolliert und langsam an Höhe verlieren. Wenn du die Seitenruderklappe/Querruderklappe noch etwas bewegst, zieht es Kreise. Beste Vorraussetzungen, um z.B. die Steuerung wiedr selbst zu übernehmen. Im prinzip entspricht dies weitgehend dem, was Peter(TOO) bereits vorgeschlagen hat.

Welche Lösung für dich optimal wäre, kannst aber nur du festlegen.
An deiner Stelle würde ich mir genau überlegen, wieviel % Sicherheit du brauchst und wieviel z.B. zu viel wäre. Alle Sensoren und Servoes dreifach verbauen wäre sicherheitstechnisch gut. Aber willst oder kannst du soviel Gewicht tragen? Oder gehört der Ausfall eines Servos zu den Fehlern, die du aufgrund ihrer geringen Wahrscheinlichkeit und des hohen Gewichtsaufwands lieber vernachlässigen solltest?
Und bietet ein einzeilner Mikrocontroller hardwaretechnisch alleine für deinen Fall vllt schon genug Sicherheit, immerhin geben Hersteller die Lebensdauer solcher Teile mit über 10 Jahren an.

Auch der Ansatz, die Software mehrfach zu entwickeln, ist in deinem Fall fragwürdig. Wenn ich mal annehme, dass das ein Einzelprojekt von dir ist, verpufft der Sinn hinter diesem Ansatz total. Denn wenn du ein Problem zweimal lösen sollst, wirst du wahrscheinlich zweimal auf diesselbe Lösung kommen. Wenn dein Lösungsansatz jedoch einen Fehler enthält, der in den Tests womöglich gar nicht auftaucht (man kann manchmal gar nicht so dumm denken wie Dinge passieren), dann ist dieser Fehler auch in jedem System drin, und der eigentliche Hintergedanke bei dieser Verfahrensweise ist zunichte gemacht.

Die Frage ist auch, was rechtfertigt wieviel Aufwand. Wenn es nur ein Fliegerle mit nem Meterchen Spannweite ist würde ich für ein einfaches Steuerungssystem gar nicht erst auf die Idee redundanter Auslegung kommen. Das Ding wäre nach nem Totalschaden schneller neugebaut als die Planung der Steuerung dauern würde. Wenn du es jetzt mit einem ausgewachsenen Großsegler zu tun hast, der in einem Thermikstrudel in der Gefahr steht auch mal außer Sicht zu geraten, ist das natürlich etwas vollkommen anderes...