Categorie e Tipologie delle condizioni d’errore e malfunzionamenti

Condizioni d’errore e livelli software

La classificazione delle condizioni d’errore del sistema viene effettuata sulla base della gravità delle condizioni di pericolo cui vengono sottoposti il velivolo e i suoi occupanti. Le categorie sono:

1. Catastrophic: per i malfunzionamenti che impedirebbero la continuazione sicura del volo e l’atterraggio, con gravi e fatali lesioni per le persone a bordo.
2. Hazardous/Severe-Major: per i malfunzionamenti che ridurrebbero la capacità dell’aeromobile o la capacità del personale di bordo di far fronte alle avverse condizioni di funzionamento nella misura in cui vi sarebbero:
   1. Grande riduzione dei margini di sicurezza e di funzionamento.
   2. Stress fisico o carichi di lavoro che il personale di bordo non può garantire di svolgere in modo completo e accurato.
   3. Ripercussioni negative sui passeggeri, comprese gravi o fatali lesioni ad un ristretto numero di questi.
3. Major: per i malfunzionamenti che ridurrebbero la capacità dell’aeromobile o la capacità del personale di bordo di far fronte alle avverse condizioni di funzionamento nella misura in cui vi sarebbero:
   1. Significativa riduzione dei margini di sicurezza e di funzionamento.
   2. Significativo aumento del carico di lavoro per il personale di bordo che ne pregiudichi l’efficienza.
   3. Disagio per gli occupanti con possibilità di lesioni per questi.
4. Minor: per i malfunzionamenti che non ridurrebbero in maniera significativa la sicurezza degli aeromobili o che comporterebbero al personale di bordo carichi di lavoro eccessivi.
   1. Lieve riduzione dei margini di sicurezza e di funzionamento.
   2. Leggero aumento del carico di lavoro per il personale di bordo (es. modifica del piano di volo)
   3. Lievi disagi per gli occupanti.
5. No effect: per i malfunzionamenti che non pregiudicherebbero la capacità operativa dell’aeromobile e del personale di bordo.

I livelli software si basano sul contributo del software a potenziali condizioni di fallimento come determinato dal system safety assesement process. I livelli software implicano che il livello di sforzo richiesto per il rispetto dei requisiti di certificazione varia a seconda della categoria della condizione di fallimento.

Se il comportamento anomalo di un componente software causa più malfunzionamenti, la categoria d’errore a cui viene assegnato è quella del malfunzionamento con livello di criticità maggiore.
Il Safety Monitoring è un mezzo di protezione contro i malfunzionamenti e consiste in un monitoraggio diretto delle funzioni che possono contribuire a generare malfunzionamenti. Le funzioni di monitoraggio possono essere applicate all’hardware, al software o a loro combinazioni.

Lo standard DO-178B fornisce linee guida anche per le modifiche software che possono essere apportate dall’utente e che possono modificare il livello software di appartenenza. I requisiti di sistema includono le disposizioni che regolano le modifiche degli utenti e questi possono apportarle solo nel rispetto di tali regole. Esistono varie categorie di modifiche differenziate dalla potenziale minaccia alla sicurezza del sistema che comporterebbero; queste vanno da modifiche che rimanendo entro certi vincoli non hanno bisogno di una revisione della certificazione a modifiche che vengono totalmente impedite perché andrebbero a pregiudicare la sicurezza del sistema anche se sono correttamente implementate.