Categorie e Tipologie delle condizioni d’errore e malfunzionamenti
Condizioni d’errore e livelli software
La classificazione delle condizioni d’errore del sistema viene effettuata sulla base della gravità delle condizioni di pericolo cui vengono sottoposti il velivolo e i suoi occupanti. Le categorie sono:
- Catastrophic: per i malfunzionamenti che impedirebbero la continuazione sicura del volo e l’atterraggio, con gravi e fatali lesioni per le persone a bordo.
- Hazardous/Severe-Major: per i malfunzionamenti che ridurrebbero la capacità dell’aeromobile o la capacità del personale di bordo di far fronte alle avverse condizioni di funzionamento nella misura in cui vi sarebbero:
- Grande riduzione dei margini di sicurezza e di funzionamento.
- Stress fisico o carichi di lavoro che il personale di bordo non può garantire di svolgere in modo completo e accurato.
- Ripercussioni negative sui passeggeri, comprese gravi o fatali lesioni ad un ristretto numero di questi.
- Major: per i malfunzionamenti che ridurrebbero la capacità dell’aeromobile o la capacità del personale di bordo di far fronte alle avverse condizioni di funzionamento nella misura in cui vi sarebbero:
- Significativa riduzione dei margini di sicurezza e di funzionamento.
- Significativo aumento del carico di lavoro per il personale di bordo che ne pregiudichi l’efficienza.
- Disagio per gli occupanti con possibilità di lesioni per questi.
- Minor: per i malfunzionamenti che non ridurrebbero in maniera significativa la sicurezza degli aeromobili o che comporterebbero al personale di bordo carichi di lavoro eccessivi.
- Lieve riduzione dei margini di sicurezza e di funzionamento.
- Leggero aumento del carico di lavoro per il personale di bordo (es. modifica del piano di volo)
- Lievi disagi per gli occupanti.
- No effect: per i malfunzionamenti che non pregiudicherebbero la capacità operativa dell’aeromobile e del personale di bordo.
I livelli software si basano sul contributo del software a potenziali condizioni di fallimento come determinato dal system safety assesement process. I livelli software implicano che il livello di sforzo richiesto per il rispetto dei requisiti di certificazione varia a seconda della categoria della condizione di fallimento.
Se il comportamento anomalo di un componente software causa più malfunzionamenti, la categoria d’errore a cui viene assegnato è quella del malfunzionamento con livello di criticità maggiore.
Il Safety Monitoring è un mezzo di protezione contro i malfunzionamenti e consiste in un monitoraggio diretto delle funzioni che possono contribuire a generare malfunzionamenti. Le funzioni di monitoraggio possono essere applicate all’hardware, al software o a loro combinazioni.
Lo standard DO-178B fornisce linee guida anche per le modifiche software che possono essere apportate dall’utente e che possono modificare il livello software di appartenenza. I requisiti di sistema includono le disposizioni che regolano le modifiche degli utenti e questi possono apportarle solo nel rispetto di tali regole. Esistono varie categorie di modifiche differenziate dalla potenziale minaccia alla sicurezza del sistema che comporterebbero; queste vanno da modifiche che rimanendo entro certi vincoli non hanno bisogno di una revisione della certificazione a modifiche che vengono totalmente impedite perché andrebbero a pregiudicare la sicurezza del sistema anche se sono correttamente implementate.