Sei sulla pagina 1di 25

Affidabilit e sicurezza del volo

La sicurezza quando si vola senza dubbio uno dei temi centrali della progettazione, che si riallaccia ad
ogni sistema di bordo e che prevede procedure particolareggiate per affrontare un gran numero di
eventi. La sicurezza in volo garantita da tre diversi segmenti:
1. Il segmento di terra, che si occupa della gestione del traffico aereo (ATM, air traffic
management), assegnazione di opportuni slot per decollo e atterraggio e radioassistenza per la
navigazione;
2. Il segmento di volo, che si occupa a livello progettuale dellorganizzazione dei sistemi di bordo,
volta a mantenere a livello accettabile e definito dalle normative il rischio di intercorre in
unavaria con conseguenze sullincolumit delle persone trasportate;
3. Le procedure di volo, tra le quali figurano le procedure per le operazioni normali e le procedure
di emergenza;
Il segmento di volo si occupa quindi di valutare il livello di rischio (risk assessment), procedura che pu
essere svolta mediante questi passaggi:
1. Analisi delle modalit di avaria dellaeromobile;
2. Individuazione delle avarie con conseguenze sullincolumit delle persone trasportate;
3. Calcolo della probabilit con cui queste avarie possono manifestarsi;
4. Confronto con le probabilit ammissibili fornite dalla normativa.
A seguito di questa analisi, compito del progettista, dunque, pianificare una strategia che permetta di
diminuire la probabilit di verificarsi di avarie al fine di garantire una migliore affidabilit della missione
di volo. Definiamo un parametro che sar da ora in poi fondamentale, e cio laffidabilit, ovvero la
probabilit che un sistema o componente funzioni correttamente in certe condizioni di impiego per un
certo tempo. Laffidabilit pertanto un numero adimensionale compreso tra 0 e 1 che deve tener conto
di tutta una serie di condizioni di contorno che possono essere, ad esempio, il tipo di carichi che
sollecitano il sistema, le condizioni ambientali e cos via, non tralasciando, ovviamente, il tempo di
esecuzione della missione. Alla fine di ogni missione la probabilit di avaria sar sicuramente
aumentata, perch al passare del tempo aumenta il rischio di guasto di un componente, ma laffidabilit
finale risultante dovr comunque essere al di sopra della linea di confine minima richiesta dalla
normativa. Storicamente il concetto di affidabilit fu introdotto per quei sistemi il cui mancato
funzionamento poteva condurre a vere e proprie catastrofi (aerei, centrali nucleari, industrie chimiche);
un passo in avanti fu compiuto negli anni 50 quando il Dipartimento della Difesa degli Stati Uniti
dAmerica introdusse una normativa (1952), la MIL-STD-781 Reliability Testing For Engineering
Development, Qualification And Production che doveva servire a garantire che i progettisti
dimostrassero il grado di affidabilit dei propri sistemi: succedeva infatti che i progressi nel campo
elettronico per le apparecchiature militari consentissero la realizzazione di dispositivi sempre pi
sofisticati trasportabili sul campo, ma le gravose condizioni di utilizzo li rendevano presto inutilizzabili
mettendo a rischio lo svolgimento di alcune missioni. Furono introdotti allori diversi accorgimenti per
testare i componenti prima di essere prodotti in serie e mandati sul campo, sottoponendoli allazione di
banchi vibranti, camere climatiche per simulare umidit, temperature elevate, shock termici, macchine
servoidrauliche per la simulazione della fatica dei materiali, simulazione di sovraccarichi elettrici e
manovre ripetute di interruttori, al fine di mettere in luce le carenze progettuali che avrebbero portato
ad un malfunzionamento o alla completa perdita del componente. Anche la NASA adott questa
normativa, che nel 1965 si rinnov con la MIL-STD-785 Reliability Programs For Systems And
Equipment: se in precedenza la normativa 781 obbligava allesecuzione di specifici test sui componenti,
la 785 fa un passo avanti e obbliga il progettista a predisporre un piano di affidabilit parallelamente al
progetto, senza aspettare la prova del nove dei test per poi, eventualmente, intervenire a posteriori. Ad
oggi, lo studio dellaffidabilit si logicamente evoluto e si occupa, praticamente, di qualsiasi tipo di
macchina. Nel settore aerospaziale, esistono alcuni standard a cui i prototipi devono sottostare per
ottenere il cosiddetto certificato di navigabilit. Il criterio quello di classificare la generica avaria
mediante la probabilit con cui essa potrebbe manifestarsi e le conseguenze a cui potrebbe portare.
Successivamente, viene fornita una correlazione tra questi parametri mediante una tabella:
Tipo di avaria Conseguenze Probabilit di succedere Classificazione
Nessun impatto sulla
No effect sicurezza dei passeggeri 103 Frequente
n dellequipaggio
Leggero aumento del
carico di lavoro
Minor consequences dellequipaggio e leggera [105 , 103 ] Probabile
diminuzione del comfort
dei passeggeri
Margini di sicurezza
ridotti, aumento di stress
Major consequences dellequipaggio, [107 , 105 ] Remoto
possibilit di fallimento
della missione
Possibili conseguenze
fatali su equipaggio o
Hazardous passeggeri escluso il [109 , 107 ] Estremamente
pilota se manovre di remoto
emergenza non
correttamente eseguite
Conseguenze fatali Estremamente
Catastrophic multiple, perdita 109 improbabile
dellaeromobile

Per definizione, esistono diversi tipi di affidabilit associati ad un sistema:


1. Affidabilit logistica, la probabilit che non avvengano avarie di nessun tipo;
2. Affidabilit di partenza, la probabilit che un sistema chiamato a svolgere una missione riesca
ad incominciarla entro un tempo prefissato;
3. Affidabilit di missione, la probabilit che non avvengano avarie maggiori che impedirebbero
il completamento di una missione gi iniziata;
4. Sicurezza, la probabilit che non avvengano avarie pericolose o catastrofiche; C una
differenza rilevante tra il termine inglese safety e il termine inglese security:
a. Safety la sicurezza tecnica, ovvero la probabilit che non avvengano fatti tecnici
come guasti o deficienze di progetto che inducano lequipaggio o il personale di
manutenzione a commettere errori o che rendano la macchina inadeguata a fronte di
condizioni operative particolari;
b. Security la probabilit che un sistema sia capace di sopportare senza danni atti dolosi,
cio deliberatamente effettuati da terzi con la chiara volont di nuocere;
Il calcolo dellaffidabilit, essendo stata definita come probabilit, passa ovviamente dalla teoria
matematica del calcolo statistico, eventualmente anche per segnali aleatori. La determinazione della
probabilit di funzionamento, definita come reliability (affidabilit), dei sistemi mediante
sperimentazione su unit complete risulta impraticabile per diversi motivi:
1. Un sistema presenta molteplici modalit di avaria, per cui il numero di test sperimentali da
effettuare per investigarle tutte risulterebbe troppo elevato;
2. I costi della sperimentazione sarebbero proibitivi sia per il costo elevato del singolo sistema sia
per il numero elevato di test da effettuare;
3. Anche disponendo di una quantit esorbitante di tempo e denaro, la normativa impone
comunque che il piano di affidabilit venga studiato parallelamente al progetto dei prototipi;
Il modo di operare che viene portato avanti, allora, il seguente:
1. La sperimentazione di base che include i vari test ai banchi prova viene effettuata solo sui
componenti, ovvero la minima subunit in cui un sistema si pu suddividere. In questo modo,
quantizzando i pezzi da costruzione, si riesce a compilare una sorta di tabella relativa ad un
preciso componente che resta la stessa per qualsiasi utilizzo se ne prevede e su qualsiasi
macchina debba essere installato. Per una corretta sperimentazione dei componenti di base
risulta necessario dunque sottoporli a tutte quelle sollecitazioni che incontreranno
normalmente nella vita operativa. Sui banchi di prova dovranno perci essere riprodotti:
a. Carichi strutturali (statici, ciclici, vibrazionali);
b. Carichi elettrici (tensione, corrente, effetti elettromagnetici);
c. Condizioni ambientali (cicli di temperatura e umidit, shock termici, polvere, ambiente
corrosivo);
2. Opportune tecniche di calcolo consentono di stimare laffidabilit di un sistema, nota che sia la
sua architettura e laffidabilit dei suoi singoli componenti (studiata al punto 1);
3. Se si presume di utilizzare componenti standard, la loro affidabilit pu essere ricavata da
opportuni data-base ricavati al punto 1;
4. Quando il sistema sar stato sviluppato e costruito, una sperimentazione limitata su unit
complete potr comunque essere effettuata per verifiche di funzionalit. Se i test di affidabilit
terminavano con lavaria e cio con la perdita del componente, in questo caso i test di
funzionalit, invece, si concludono con il sistema ancora funzionante, dopo un certo tempo
stabilito a priori.
Quando si svolge un test di affidabilit, la rappresentazione dei risultati viene ottenuta mediante alcuni
passaggi che sono qui riassunti schematicamente:
1. Per ogni componente si registra il tempo trascorso tra linizio dei test e lavaria;
2. Il modo pi comune di rappresentare i risultati sperimentali servirsi della densit di probabilit
di guasto PDF (probability density function), che rappresenta il numero percentuale di guasti
per unit di tempo ed , ovviamente, una funzione del tempo, ma pu essere discretizzata
definendola come il numero di guasti avvenuti nellunit di tempo diviso per il numero totale
dei componenti in prova:

() =

Definiamo a questo punto due parametri fondamentali per la distribuzione di probabilit di guasto:
1. Il valor medio (vita media), che rappresenta il picco nella curva di distribuzione della
probabilit, calcolato come:

=1
=

Dove il numero dei componenti e il tempo che impiega l esimo componente per guastarsi;
2. La deviazione standard, che rappresenta lo scostamento dei valori rispetto al valor medio e si
calcola come:
2
( )
= =1

Integrando la distribuzione di probabilit di guasto PDF si ottiene la probabilit di guasto () che una
funzione del tempo ricavabile come:

() = ()

E che si pu mettere in relazione con laffidabilit () mediante il complemento a 1 tipico della
probabilit dellevento inverso:

() = 1 () = 1 () = ()

Una volta definita la PDF e stabiliti due parametri fondamentali quali la vita media e la deviazione
standard, si pu passare ad elencare due delle distribuzioni di probabilit pi frequenti e famose:
1. Distribuzione di probabilit di guasto relativa a guasti da usura:
2
1 1
() = exp { ( ) }
2 2 2
Che ha lespressione di una distribuzione gaussiana. Nella teoria dei segnali aleatori, di solito
impossibile caratterizzare per filo e per segno un sistema aleatorio, eccezion fatta per la
distribuzione gaussiana normalizzata, da cui si pu conoscere sempre luscita avendo noti
lingresso, la vita media e la deviazione standard:
2

=1 ( )
= = =1

La distribuzione gaussiana non integrabile in forma chiusa con i metodi tradizionali, ma pu
essere integrata per confronto e interpolazione con alcuni dati presenti in apposite tabelle in cui
= 1 e = 0 effettuando la sostituzione:

() () se = , con 0,5 () 1

2. Distribuzione della probabilit di guasto relativa a guasti casuali:
() = exp{}
Essa si riferisce a guasti che possono avvenire in qualsiasi momento nella vita operativa del
componente, sono caratteristici pi che altro dei componenti elettronici; Integrando la PDF si
ottiene la probabilit di guasto:

() = () = = 1
0
Il cui complemento a 1 rappresenta laffidabilit:
() = 1 () =
Esistono molte altre funzioni che possono essere utilizzate per descrivere la densit di probabilit di
guasto per le diverse modalit di avaria; una tra le pi usate la cosiddetta distribuzione di Weibull,
definita come:
1

() = { ( ) exp { ( ) } se 0

0 se < 0

In cui si nota che, se = 1 si riottiene la distribuzione esponenziale con = 1/:


1
() = exp { }

Mentre se 3 il grafico si avvicina ad una distribuzione normale gaussiana:

Integrando la distribuzione di probabilit di Weibull si ottiene la probabilit di guasto:



1 ( ) ( )
() = () = ( ) e = 1
0
Da cui:

() = 1 exp { ( ) }

E passando al complemento a 1 si ottiene laffidabilit:

() = exp { ( ) }

Il tasso di guasto FR (failure rate) si definisce invece come il rapporto tra il numero di componenti che
si guastano nellunit di tempo diviso il numero di componenti ancora funzionanti:
()
() =
()
Considerando un intervallo di tempo finito [, + ], il numero di componenti che si guastano
in tale intervallo dato dal prodotto della variazione di affidabilit moltiplicato il numero di
componenti totali e corrisponde cio alla diminuzione del numero di funzionanti:

= [ () () ] = [() ( + )]
+
Il numero di componenti ancora funzionanti invece indicato dal prodotto dellaffidabilit per il numero
di componenti totali, quindi:
= ()
E allora, il failure rate diventa:
[() ( + )] 1
() = =
() ()
E cio, in termini infinitesimali diventa:
1
() =
()
Esprimendo inoltre laffidabilit come il complemento a 1 della probabilit di guasto e considerando che
la derivata di questultima la funzione distribuzione di probabilit di guasto si ottiene unespressione
equivalente del tasso di guasto:
1 (1 ()) 1 (()) ()
() = = =
() () ()
E quindi, abbiamo ottenuto due espressioni equivalenti per il tasso di guasto:
1 ()
() = () =
() ()
Il tasso di guasto per la distribuzione esponenziale risulta essere:
1 1 ( ) 1
() = = = () = () =
()
Mentre per la distribuzione di Weibull sar:
(1)
() = ( )

Il tasso di guasto per la distribuzione normale di Gauss pu risultare non monotono a causa degli errori
di integrazione con cui stata valutata la relativa affidabilit: sempre meglio, in pratica, esprimere la
gaussiana con una distribuzione di Weibull che risulta integrabile sempre in forma chiusa e presenta
meno errori di valutazione. Pi in generale, comunque, la curva del tasso di guasto assomiglia ad una
vasca da bagno fatta in questo modo:

In quanto la curva del tasso di guasto risultante risulta essere una combinazione di pi contributi, ad
esempio quella costate relativa ai guasti casuali e quella crescente relativa ai guasti da usura.
Landamento generale tipico, come visto, quello fatto a vasca da bagno: nella fase iniziale possono
presentarsi pi avarie del previsto per il fenomeno della mortalit infantile, a cui segue una fase in cui il
tasso di guasto risulta essere pressoch costante ed legato ad avarie di tipo casuale e infine il tasso di
guasto tende a crescere abbastanza rapidamente per il fenomeno dellusura. La mortalit infantile in
genere legata ad errori o imperfezioni introdotti nella fase di produzione del componente e sfuggiti al
controllo di qualit; dato che questo risulta penalizzante per laffidabilit dei sistemi, il fenomeno pu
essere rimediato con la tecnica del burn-in che , in pratica, una sorta di pre-funzionamento al banco per
un periodo sufficiente a simulare il primo periodo di vita, al fine di evidenziare i componenti destinati a
rompersi e scartarli dal montaggio. Relativamente ai guasti da usura, buona norma evitare che il tasso
di guasto raggiunga valori elevati sostituendo i componenti prima del raggiungimento della vita media.

Esistono anche altre grandezze che hanno significato in rapporto al tasso di guasto casuale:
1. Il mean time to failure MTTF, che riferito allintera popolazione ed definito come il valore
atteso della PDF, che coincide con la vita media per una distribuzione normale:

1
= () = =
0 0
2. Il mean time to repair MTTR definito per dispositivi riparabili in modo analogo al MTTF, ma
sostituendo alla densit di probabilit di rottura la densit di probabilit di riparazione;
3. Il mean time between failure MTBF definito per dispositivi riparabili, include anche il tempo
medio di riparazione ed la vita totale del dispositivo divisa per il numero di avarie o
riparazioni :

= + =

Abbiamo visto finora che la stima statistica su una popolazione di componenti viene effettuata a partire
dai risultati sperimentali ottenuti su un campione costituito da un numero limitato di componenti. Dato
che diversi campioni possono portare per casualit a risultati diversi, quanto possiamo fidarci dei
risultati ottenuti? La risposta viene fornita da un parametro detto confidence level, che rappresenta
appunto il livello di fiducia che attribuiamo al dato statistico estrapolato dal campione. Il confidence
level la probabilit che il dato statistico considerato (ad esempio, la vita media) proveniente da un
qualsiasi campione estratto dalla popolazione, sia compreso entro lintervallo di confidenza che la
banda compresa tra il limite inferiore di confidenza e il limite superiore di confidenza: in genere, il
limite inferiore ad essere quello pi rilevante. Se i dati della popolazione in esame seguono una
distribuzione normale, allora anche le vite medie di tutti i possibili campioni estratti sono distribuiti
secondo una gaussiana con una deviazione standard che dipende da quella della popolazione e dal
numero di elementi costituenti il campione stesso:

=

In generale, possibile sostituire la deviazione standard della popolazione con quella del campione se
> 25, mentre se i dati non seguono una distribuzione normale, allora la distribuzione delle medie dei
campioni, per il teorema del limite centrale, tende ad una distribuzione normale quando > 30.

Per verificare la correttezza delle ipotesi fatte per trattare i dati ottenuti dal campione esistono
numerosi test di significativit, tra cui i pi famosi sono:
1. Lo test, che serve per stabilire se un campione appartiene ad una popolazione data o se due
campioni appartengono alla stessa popolazione;
2. Il 2 test, che serve per stabilire se una distribuzione analitica approssima bene i risultati di
un campione;
Vediamoli pi nel dettaglio, cominciando dallo test. Esso entra in gioco quando diventa necessario
capire se le differenze osservate in campioni estratti dalla stessa popolazione sono semplicemente
dovute alla variabilit dei fenomeni random oppure s sono statisticamente significative, cio se qualcosa
intervenuto modificando i vari campioni tanto da non poterli pi ritenere appartenenti alla stessa
popolazione: lo test fornisce una risposta statistica, in termini di probabilit, a questa questione,
mediante questo procedimento:
1. Si ricavano la deviazione standard e la media della popolazione e del singolo campione
(, ) nonch la dimensione numerica del campione;
2. Considerando il fatto che le medie dei possibili campioni seguono una distribuzione normale, si
valuta la variabile:

= | |

3. A questo punto dal valore di si ricava dalle tabelle per lintegrazione della gaussiana normale
il valore dellintegrale (), che rappresenta la probabilit che lipotesi di appartenenza del
campione alla popolazione (null hypothesis) non sia verificata. In pratica lo test risponde
alla domanda con quale probabilit la differenza tra la media del campione e quella della
popolazione statisticamente significativa?
a. Un risultato con bassa probabilit, cio per () < 0,05 sta a rappresentare che tale
differenza non significativa e che potrebbe essere dovuta alla semplice dispersione
quantizzata della deviazione standard: dunque il campione appartiene effettivamente
alla popolazione;
b. Un risultato con elevata probabilit, cio per () > 0,95 implica viceversa che la
differenza statisticamente significativa e quindi il campione non appartiene alla
popolazione;
Ad esempio, supponiamo di conoscere la distribuzione di una popolazione di cuscinetti che risulta
essere di tipo normale con vita media = 6000 ore e deviazione standard = 450 ore. Un campione
di = 9 cuscinetti viene estratto dalla popolazione e trattato con uno speciale lubrificante, dopodich
tale campione evidenzia una vita media di = 6400 ore. Laumento della vita media dovuto alla
dispersione statistica oppure dovuto allintervento del nuovo lubrificante? Applicando lo test, se
tale campione risulter appartenente alla popolazione di partenza laumento della vita media sar
dovuto al caso, mentre se risulter appartenente ad una popolazione diversa sar per merito del
trattamento col nuovo lubrificante. La variabile risulta essere:

= | | = 2,67

Dalle tabelle si ricava la () = 0,996, quindi con una probabilit del 96,6% il campione di cuscinetti
trattati appartiene ad una nuova famiglia: laumento di vita media pertanto da attribuirsi al
trattamento col lubrificante e non a una semplice dispersione statistica.

Se non si conoscessero i dati sulla popolazione e si volessero confrontare due campioni per stabilire se
appartengono alla stessa popolazione, si pu procedere osservando che la deviazione standard della
distribuzione della differenza delle medie di tutte le possibili coppie di campioni :
1 2
= + + +
1 2
In questo caso, la variabile da considerare sarebbe:
|1 2 |
=

Ad esempio, relativamente al caso di sopra, supponiamo che la vita media di 6000 ore e la deviazione
standard di 450 ore anzich da una popolazione appartenessero a un campione di 60 elementi. I
cuscinetti trattati con un lubrificante diverso avranno vita media di 6400 ore e deviazione standard di
380 ore. Allora possiamo calcolare la deviazione standard della differenza delle medie delle coppie di
campioni:
1 2
= + = 184,76
1 2
A questo punto si valuta la variabile :
|1 2 |
= = 2,16

Dalle tabelle si ricava () = 0,985 dunque c il 98,5% di probabilit che la null hypotesis non sia
verificata e che quindi i campioni appartengano a famiglie diverse, cio che il lubrificante abbia
funzionato nellaumentare la vita media.
Studiamo adesso le applicazioni del test. Esso serve a stabilire quanto una qualsiasi distribuzione
assunta approssimi bene i risultati sperimentali di un campione e si basa su una particolare
distribuzione detta distribuzione :

()1 exp{()} se 0
() = {( 1)!
0 se < 0
Al variare del parametro si ha una famiglia di curve che possono rappresentare situazioni con tasso di
guasto costante, crescente o decrescente, mentre per = 1 si ha la distribuzione esponenziale; Quando
= 1/2 e = 2 si ha la distribuzione , dove viene chiamato grado di libert:
1 (21)
() = ( ) exp { ( )}
2(2 1)! 2 2
Il cui integrale:
2
2)
( = ()
0
Si trova tabulato in tabelle analoghe a quelle per la distribuzione normale gaussiana. Vediamo adesso i
passaggi per eseguire un 2 test:
1. Si valuta operativamente la variabile 2 con la formula:

2
( )2
=

=1
Dove il numero di celle in cui il campione viene suddiviso, il dato sperimentale (numero
di guasti avvenuti allinterno dell esima cella), il dato previsto dalla distribuzione e =
1 il numero di gradi di libert della distribuzione 2 .
2. La giustificazione della validit del test nellipotesi che quando un campione suddiviso in celle
allora i valori assunti in ogni cella saranno distribuiti in modo normale attorno al valore previsto
se la distribuzione corretta;
3. Affinch il test risulti attendibile bisogna che il numero di celle 3 con almeno 5 dati
sperimentali per cella;
4. Anche in questo caso, la ( 2 ) esprime la probabilit che la null hypothesis non sia verificata;
generalmente per valori di ( 2 ) 0,10 si ritiene corretta la distribuzione assunta, mentre per
( 2 ) 0,90 essa risulta inappropriata;
In pratica si suddivide lintervallo temporale in cui sono stati ottenuti i dati dal campione in un certo
numero di intervalli di tempo che vengono chiamati celle, delle quali si conoscono i dati sperimentali
cio il numero effettivo di guasti che sono avvenuti nell esima cella e il dato di previsione della curva
analitica che stata assunta a posteriori per approssimare i dati (potrebbe essere una gaussiana, una
distribuzione esponenziale o una distribuzione di Weibull). Ad esempio, prendiamo in considerazione
questa tabella:

In cui compaiono due curve approssimanti, la distribuzione di Weibull e la distribuzione esponenziale.


Prendiamo in considerazione solo la distribuzione di Weibull e calcoliamo il 2 . Abbiamo bisogno del
dato , ovvero del numero di guasti sperimentale rappresentato in ogni intervallo (per la riga numero
7, vale 18) e del numero di guasti atteso in riferimento alla distribuzione di Weibull. Dalla distribuzione
di Weibull si calcola la PDF dopo 100 ore, cio la () = 2,79 101. Da qui si ricava il numero di guasti
atteso dalla distribuzione di Weibull con la formula:

() = = = = = 2,79 101 60 = 16,73

Quindi si pu ricavare il 2 mediante la formula:

( )2
2 =

=1
Da cui, facendo a titolo di esempio il calcolo relativo solo alla prima cella e quindi seguendo la riga di
Excel numero 7, avremo:
(1 1 )2 (18 16,73)2
12 = = = 9,65 102
1 16,73
Facendo la somma dei 2 relativi a tutte le celle si trova il 2 totale:
2 = 0,574634
Che va integrato mediante le tabelle per ottenere una probabilit di discordanza:
( 2 ) = 0,035 < 0,10
Quindi questo ci dice che la curva scelta approssima bene il campione di dati statistici.

Le informazioni prodotte in un lungo arco di tempo dalla sperimentazione industriale sui coponenti
sono state raccolte in particolare data-base, raggruppandole per categorie di componenti; Uno di questi
il MIL-HDBK-217F (1991) che contiene una raccolta di tassi di guasto per componentistica elettronica,
con relazioni semiempiriche per tenere conto di fattori ambientali come la temperatura e costruttivi. In
generale per, le informazioni disponibili possono provenire da diverse fonti:
1. Sperimentazione di laboratorio;
2. Informazioni pubblicate in letteratura;
3. Dati provenienti dalla manutenzione;
4. Report di analisi o avarie in servizio;
Specialmente dal primo e dallultimo punto si possono ricavare informazioni dettagliate e approfondite
anche sulla modalit di avaria, con le quali stato ricavato anche un data-base in cui vengono specificate
anche le percentuali con cui le diverse modalit di avaria si manifestano, alle volte anche integrati in
appositi software.

Tecniche per la valutazione dellaffidabilit dei sistemi


Le tecniche pi impiegate per la valutazione dellaffidabilit dei sistemi sono:
1. Il diagramma a blocchi (Reliability Block Diagram RBD):
Viene svolta preliminarmente unattivit logica mirata a definire quali e quanti componenti
devono correttamente funzionare affinch il sistema possa espletare la missione per la quale si
vuole valutare laffidabilit; questa attivit rappresentata dalla costruzione di uno schema a
blocchi (ogni componente rappresenta un blocco) che descrive linterfacciamento logico delle
singole unit mediante collegamenti in serie o in parallelo. Il diagramma a blocchi presenta
allora un punto di partenza e un punto di arrivo, collegati tra loro da una serie di percorsi sui
quali sono posizionati i vari componenti, e dunque avere almeno un percorso costituito da
componenti tutti funzionanti significa portare a termine con successo la missione. Nota
laffidabilit componente per componente si procede dunque al calcolo dellaffidabilit generale
del sistema. Allo stesso modo, si pu usare il diagramma a blocchi anche per determinare la
probabilit di avaria dellintero sistema, cio la probabilit che la missione designata non venga
portata a termine;
2. Lalbero dei guasti (Fault Tree Analysis FTA):
E una tecnica top-down, che partendo da un evento critico di alto livello (top level event)
sistematicamente determina e valuta le possibili combinazioni eventi di livello inferiore che
portano al verificarsi del top level event. Si procede costruendo ramificazioni opportune fino al
raggiungimento di eventi-base non pi ulteriormente scomponibili (primary events) e i vari
blocchi sono collegati mediante opportune porte logiche (AND/OR) per definire in che modo
siano combinati i vari eventi nei rami: il risultato finale la probabilit che si verifichi levento
top level (avaria) nota che sia la probabilit del verificarsi degli eventi di base (avarie dei singoli
componenti);
3. Failure Mode and Effect (Critically) Analysis FMEA-FMECA:
E una tecnica stavolta di tipo bottom-up, che parte dal livello pi basso e cio dal singolo
componente per studiare le conseguenze di una avaria ai livelli superiori. Vengono dunque
studiate le modalit di avaria di tutti i componenti e vengono determinati gli effetti di ogni
singola avaria sul sistema; al contrario dellalbero dei guasti FTA che considera combinazioni di
avarie multiple questa tecnica prende in considerazione una avaria per volta. La procedura
prevede due fasi:
a. Nella prima (FMEA) vengono studiate tutte le possibili avarie nellipotesi che avvengano
una per volta identificando gli effetti sul sistema;
b. Nella seconda (CA) vengono assegnati a ciascuna avaria con effetto critico un certo
indice di criticit;
I risultati ottenuti mediante la FMEA-CA vengono poi tabellati fornendo informazioni anche per
scopi diversi dallo studio affidabilistico: ad esempio, la conoscenza delle varie modalit di avaria
del sistema utile per la messa a punto di strategie per rilevare tali avarie prima e durante lo
svolgimento della missione;
4. Modello di affidabilit binomiale;
5. Modelli affidabilistici per componenti Stand-By;
Tutte queste tecniche richiedono una conoscenza di fondo dellanalisi statistica dei processi; in
particolare, avremo bisogno di due teoremi importanti:
1. Il teorema della probabilit composta, che esprime la probabilit che un evento multiplo si
verifichi se si verificano contemporaneamente tutti gli eventi semplici. Per eventi
statisticamente indipendenti, dunque, avremo che:

= () = ()()
=1
Dove () la probabilit dellevento esimo e il numero di eventi. Con una
rappresentazione insiemistica avremo:

Chiamiamo:
a. () la probabilit che levento si verifichi;
b. () la probabilit che levento non si verifichi () = 1 ();
c. () la probabilit che levento e levento si verifichino;
d. ( + ) la probabilit che levento oppure levento si verifichino;
e. (|) la probabilit che levento si verifichi quando levento si sia gi verificato;
Allora, se levento e levento non sono statisticamente indipendenti, ovvero non verificata
la relazione:
(|) = (|) = ()
Il teorema della probabilit composta ci garantisce che:
() = () (|) = () (|)
2. Il teorema della probabilit totale esprime la probabilit che un evento multiplo si verfichi se si
verifica almeno uno degli eventi semplici. Per eventi statisticamente indipendenti diventa:

= 1 (1 ) = () + () ()()
=1
Dove la probabilit dellevento esimo e il numero degli eventi. Con una
rappresentazione insiemistica avremo:

Se gli eventi non sono statisticamente indipendenti, allora la definizione operativa diventa:
( + ) = () + () + ()
E cio:
( + ) = ()(|) + ()(|) + ()(|)
Togliendo il simbolo di negazione avremo:
( + ) = ()(|) + [1 ()](|) + [1 ()](|)
Vediamo ora come implementare queste notazioni nella stesura di un diagramma a blocchi RBD:
Situazione Collegamento Formula (eventi stat. indipendenti)
Probabilit composta (et) Collegamento in serie () = () + ()
Probabilit totale (vel) Collegamento in parallelo ( + ) = () + () ()
Immaginiamo di dover valutare laffidabilit dellimpianto propulsivo di un aeromobile bimotore dove,
per la sicurezza, sufficiente che almeno un motore sia funzionante. Dato che per garantire laffidabilit
necessario che a funzionare debba essere il motore numero 1 o il motore numero 2 o entrambi, siamo
nella situazione in cui si deve utilizzare il teorema della probabilit totale, e dunque predisporre un
collegamento in parallelo:

La probabilit che si verifichi levento almeno uno dei motori funziona data dalla formula:
(1 + 2) = (1) + (2) (1)(2)
Sostituendo allevento probabilit di funzionamento la grandezza reliability avremo:
= 1 + 2 1 2
Al contrario, se volessimo valutare la probabilit di guasto di questo stesso sistema, avremo che la
missione fallirebbe se entrambi i motori si guastassero contemporaneamente. Dovremo allora
predisporre un collegamento in serie:

In cui la probabilit di insuccesso sarebbe data da:


= 1 2
C da tener conto, comunque, che se si applica uno schema in serie, laffidabilit totale del sistema
diminuisce allaumentare del numero di componenti e resta comunque inferiore a quella del
componente singolarmente meno affidabile: conviene allora adoperare una strategia che consenta o di
diminuire il numero di componenti oppure di migliorare laffidabilit di ogni singolo componente,
specialmente di quelli pi a rischio. Avere componenti in parallelo significa invece avere delle
ridondanze, ovvero avere pi componenti capaci ciascuno di svolgere la stessa funzione.

Quando linterfacciamento logico tra blocchi prevede la creazione di schemi misti serie/parallelo si
applicano in successione i due teoremi fondamentali. Ad esempio, consideriamo il sistema di atterraggio
di un velivolo, costituito da 3 carrelli dotati ognuno di due ruote; nota laffidabilit dei pneumatici in
condizioni operative normali (() = 105) e quella in condizioni di avaria di un pneumatico sullo
stesso asse ( () = 104), si vuole valutare la sicurezza del sistema. Lo schema a blocchi RBD
costituito da 3 blocchi in serie, corrispondenti ai 3 carrelli, ognuno dotato di uninterconnessione in
parallelo tra i due pneumatici sullo stesso asse. In effetti, alla rottura di un carrello corrisponde il
conseguente fallimento della missione atterraggio mentre alla rottura di uno pneumatico non
corrisponde il fallimento della missione:

Per la risoluzione analitica, prima si risolvono i blocchi in parallelo:


( + ) = ( + ) = ( + ) = () + () () = 2() ()2
E poi si risolve la serie:
3
= ( + ) ( + ) ( + ) = [2(1 ()) (1 ())2 ] = 1 = 3 1010
In realt, volendo essere precisi dovremmo considerare il fatto che un pneumatico si sovraccarica
quanto laltro sullo stesso asse gi in avaria e dunque gli eventi non sarebbero statisticamente
indipendenti. In questo caso allora:
( + ) = ( + ) = ( + ) = ()(|) + [1 ()](|) + [1 ()](|)
Chiamiamo () = { } e () = { }. Allora avremo che:
() = () =
(|) = (|) =
(|) = (|) =
Sostituendo nella formula avremo:
( + ) = + 2(1 )
Da cui, estendendo il calcolo allintero sistema:
= ( + ) ( + ) ( + ) = [ + 2(1 ) ]3 = 1 = 1,9 109
Si vede che laffidabilit diminuita considerando il guasto di uno pneumatico per carrello come evento
non indipendente dalle condizioni dellaltro pneumatico.

In alcuni casi i blocchi nello schema non risultano inseriti n in serie n in parallelo. Per questo si deve
usare il teorema di Bayes. Ad esempio, consideriamo il sistema di generazione dellenergia elettrica a
bordo di un aeromobile bimotore, che prevede due generatori 1 e 2 collegati ciascuno al rispettivo
motore 1 e 2 mediante un gearbox 1 e 2 ; sfruttando la vicinanza dei motori, le gearboxes vengono
collegate con una interconnessione meccanica (IM) che consente, nel caso di una avaria ad un motore,
di trascinare in rotazione lo stesso il rispettivo motore grazie allaltro motore funzionante. Lo schema a
blocchi il seguente:

Ma si nota subito che il blocco non risulta n in serie n in parallelo. In questi casi si applica il teorema
di Bayes, per cui laffidabilit del sistema la media pesata tra quella ottenuta considerando il
componente IM assente, cio mal funzionante = 0 e quella con il comoponente sempre funzionante
= 1: il paso dato dalla probabilit di essere nelluna o nellaltra situazione. Gli schemi a blocchi
allora diventano:

Laffidabilit dello schema A si ottiene risolvendo il parallelo della serie (considerando uguali le
affidabilit di componenti 1 e 2 e gli eventi statisticamente indipendenti):
2 2 2
= 2
E allo stesso modo laffidabilit dello schema B sar:
2 2 )(2 2
= (2 )
Il teorema di Bayes si applica in questo modo:
= (1 ) +

Occupiamoci adesso dellalbero dei guasti FTA. I simboli degli operatori logici pi usati sono:

Esiste inoltre una corrispondenza tra operatori logici e diagrammi a blocchi serie parallelo:
Ad esempio, in un aeromobile la movimentazione degli attuatori primari di controllo del volo e
lestrazione dei carrelli viene ottenuta mediante due circuiti idraulici, ognuno dei quali alimentato da
una pompa collegata ad uno dei due motori:

Per il compimento in sicurezza della missione deve funzionare almeno un circuito idraulico. Se si volesse
definire lalbero dei guasti del sistema e valutarne la probabilit di guasto per levento mancanza di
potenza idraulica, costruiremo allora un diagramma a blocchi fatto cos:
In effetti, affinch si verifichi levento mancanza di potenza idraulica bisogna che entrambi i circuiti 1
e 2 siano in avaria, condizione che si verifica se almeno un componente tra il motore e la pompa si
guasta. Lalbero dei guasti FTA pu dunque essere tradotto in uno schema a blocchi RBD in questo modo:

La probabilit di guasto del sistema scegliendo una probabilit di guasto della pompa pari a = 104
e del motore pari a = 104 sar:
= ( + )2 = 4 108
Per diminuire le probabilit di avaria, vengono comunemente impiegate due pompe per ogni circuito
idraulico. Lo schema diventa perci:

Come sopra, si verifica la mancanza di potenza idraulica quando entrambi i circuiti idraulici sono
guastati; inoltre c da tener presente che se si rompe un motore non sar sicuramente possibile avviare
la pompa, ma allo stesso tempo, affinch uno dei due circuiti non funzioni necessario che si rompano
entrambe le pompe. Dunque le pompe relative a ciascun circuito devono essere messe in AND la cui
uscita dovr essere messa in OR con il relativo motore. Lalbero dei guasti FTA, in cui dobbiamo
accertarci che non compaiano elementi ripetuti (sarebbe altrimenti come inserire due componenti nel
ostro sistema), si traduce stavolta nel pi complesso:
A cui associamo un diagramma a blocchi, stavolta relativo allevento affidabilit e cio sostituiamo un
parallelo alle porte AND e una serie alle porte OR:

Da cui, le probabilit di guasto risulteranno:


= (2 + 2 )2 108
Si vede dunque che adottando questa soluzione laffidabilit generale aumentata. In realt esiste
unulteriore variante del sistema, adottata su aerei tipo il cacciabombardiere F4 Phantom, che consiste
nellintroduzione di un terzo circuito idraulico pressurizzato da pompe azionate da entrambi i motori:
Levento mancanza di potenza idraulica si manifesta quando contemporaneamente vengono a
mancare la potenza idraulica fornita dal circuito 1 e dalla ridondanza 3 tramite il motore 1 e la
potenza idraulica fornita dal circuito 2 e dalla ridondanza 3 tramite il motore 2 . A loro volta questi
due sotto-eventi si guasteranno nel caso in cui si guasti o uno dei motori primari oppure entrambe le
pompe (quella primaria e quella ridondata). Lalbero di guasto FTA diventa allora:

Il relativo diagramma a blocchi RBD per levento affidabilit, ovvero ottenuto mettendo in parallelo le
porte AND e in serie le porte OR, sar dato da:

Dato che le due pompe ausiliarie relative al terzo circuito idraulico sono comunque collegate tra loro, lo
schema che ci si presenta davanti non n in serie n in parallelo. Dobbiamo dunque cercare di
semplificarlo utilizzando il teorema di Bayes, e cio calcolando la probabilit pesata che
linterconnessione meccanica o abbia affidabilit nulla = 0:
Oppure affidabilit certa = 1:

La probabilit di guasto del primo sar:


1 = ( + )2
La probabilit di guasto del secondo sar invece, tenendo conto che la probabilit di guasto delle pompe
del terzo circuito sia uguale a quella delle altre pompe:
2 = (2 + 2 )2
A questo punto usiamo il teorema di Bayes pesando la probabilit e quindi moltiplicando per un fattore
lo schema con affidabilit nulla e per un fattore (1 ) quello con affidabilit certa:
= ( + )2 + (1 ) (2 + 2 )2
Immaginando che la probabilit di guasto dellinterconnessione tra le pompe sia 104 avremo:
108

Esaminiamo ora il modello di affidabilit binomiale: esso si applica a sistemi costituiti da un certo
numero di componenti di cui sufficiente che ne funzionino un numero minimo per completare con
successo la missione. Nellipotesi che i componenti abbiano tutti la stessa affidabilit, caso comune
quando si introducono ridondanze, la formula diventa la seguente:

!
= (1 )
! ( )!
=
Dove il numero di componenti funzionanti, il numero minimo di componenti che devono
funzionare, il numero totale di componenti e laffidabilit dei componenti. Il termine:
(1 )
Rappresenta la probabilit di avere un definito gruppo di componenti funzionati e i restanti non
funzionanti; invece, il termine:
!
! ( )!
Rappresenta la probabilit di avere un gruppo qualsiasi di componenti funzionanti. La sommatoria dal
minimo di componenti funzionanti al numero totale di componenti invece rappresenta la probabilit di
avere almeno componenti funzionanti. Ad esempio, consideriamo un sistema di misurazione costituito
da 4 trasduttori uguali di affidabilit . Si valuti laffidabilit dellevento misura quando noto che la
misurazione viene effettuata correttamente quando funzionano almeno 2 trasduttori. Dalla formula
avremo:
4
4!
= (1 )4 = 62 83 + 34
! )!
(4
=2
Il modello affidabilistico per componenti in Stand-By si usa ogniqualvolta si abbia a che fare con un
componente di riserva, normalmente inoperativo, che entra in servizio quando il componente
principale, rispetto al quale posto in parallelo, va in avaria. Una rappresentazione tipica la seguente:

Dato che necessario un certo tempo affinch il componente in stand-by entri in servizio, questa tecnica
pu essere usata solo per sistemi che sopportano, per brevi periodi, linoperativit. Considerando guasti
casuali, bisogna distinguere due casi:
1. I componenti principale e in stand-by sono diversi: in effetti, il componente di riserva pu avere
caratteristiche diverse rispetto al principale, dato che per la maggior parte della vita sar
inoperativo; la formula che segue si ricava dalla considerazione che il sistema, al generico tempo
di missione , ha una probabilit di guasto data dal prodotto delle probabilit di guasto dei due
sistemi, uno dei quali inseribile al generico istante (guasto del componente primario):
2 1 1 2
=
2 1
Con 1 = exp{1 } e 2 = exp{2 }. E il caso di tener conto anche della effettiva possibilit
che la manovra di inserimento in servizio del componente di riserva non abbia successo; per
tenere conto di questa eventualit la formula diventa:
1 (1 2 )
= 1 +
2 1
Il primo termine del secondo membro rappresenta laffidabilit del componente primario
mentre il secondo termine rappresenta lincremento di affidabilit dovuto allinserzione del
componente in stand-by. Dato che tale elemento entra in azione correttamente se e solo se la
sostituzione avviene in modo corretto, si pu applicare il teorema della probabilit composta,
per cui, posta laffidabilit del processo di sostituzione, si avr:
1 (1 2 )
= 1 + +
2 1
2. I componenti principale e in stand-by sono uguali: il problema pu essere affrontato attraverso
lintroduzione della distribuzione di Poisson:

() () ()
= = [1 + ] = 0 [1 + ]
! ! !
=0 =0 =0
Anche in questo caso utile tener di conto della possibilit di insuccesso nel processo di
inserimento del componente in stand-by. Avremo allora:

()
= 0 [1 + ]
!
=0
Ad esempio, si confrontino i due modelli affidabilistici tra due sistemi, uno posto in parallelo e uno posto
in stand-by, a parit di affidabilit tra componenti 1 = 0,99 e 2 = 0,9:
Laffidabilit del sistema in parallelo sar:
= 1 + 2 1 2 = 0,999 = 103
Laffidabilit del sistema in stand-by, invece, sar, considerando guasti casuali e posto il tempo
operativo di missione:
1
1 = 1 1 = ln 1

1
2 = 2 2 = ln 2

E allora avremo:
2 1 1 2 2 ln 1 1 ln 2
= = = 0,9995 = 5 104
2 1 ln 1 ln 2
Laffidabilit risulta dunque aumentata per un sistema in stand-by.

Vediamo adesso alcune considerazioni sulle cause comuni di guasto. Esse sono cause che provocano
lavaria di molteplici unit tutte insieme. Gli effetti di queste cause comuni di guasto sono:
1. Vanificare lefficacia degli elementi ridondanti che vanno in avaria contemporaneamente;
2. Rendere fortemente dipendenti eventi considerati indipendenti nelle analisi di affidabilit;
3. Rendere inefficaci alcune strategie per il riconoscimento e lisolamento delle avarie stesse;
Le contromisure principali per escludere le cause comuni di guasto sono:
1. Dissimilarit di unit ridondanti;
2. Protezione da agenti esterni (temperatura, umidit, vibrazioni, disturbi elettromagnetici);
3. Diversificazione delle zone di installazione di unit ridondanti;
In un sistema, in generale, ci saranno diversi componenti. Si possono introdurre ridondanze in diversi
modi:
1. Allinterno di ciascun sistema prevedo dei componenti ridondanti, per cui il singolo sistema
ridondato;
2. Raddoppio, triplico, quadruplico il numero dei componenti facendo una ridondanza di livello
avanzato;
Non c grande differenza nel calcolo finale di affidabilit tra ridondare i componenti allinterno del
sistema o ridondare proprio tutto il sistema, e questo tanto pi vero quanto maggiore il numero dei
componenti presenti e minore la probabilit di guasto degli stessi. In genere, per dissimilarit, vengono
introdotti sistemi diversi completamente indipendenti: in pratica, due sistemi chiamati ad esercitare la
stessa funzione, sono concepiti in maniera del tutto differente. La dissimilarit pertanto una delle
strategie di maggior successo per cautelarsi contro le cause comuni di guasto. Nei sistemi di controllo di
volo di tipo fly-by-wire di impiego civile di grandi dimensioni questo un obbligo: ci sono computer
diversi costruiti a partire da processori diversi che operano con sistemi operativi diversi e che sono stati
programmati da persone diverse in maniera tale che la probabilit che uno stesso errore si verifichi
contemporaneamente in tutte le unit di calcolo resa remota. Lallocazione dellaffidabilit dei
sottosistemi una necessit che si fa sentire nella fase iniziale del progetto perch a quel momento si
conoscono i componenti, larchitettura e la loro funzionalit e la relativa probabilit di avaria per non
si sa ancora di preciso come effettivamente sar il sistema nel dettaglio. Prima si delineeranno certi
sottosistemi nel loro complesso, poi ciascuno di questi sottosistemi verr esploso e progettato nei
minimi componenti. Solo alla fine del progetto quindi si in grado di avere tutti i componenti e quindi
tutti gli elementi da inserire negli alberi dei guasti conoscendo per ognuno di essi la failure rate. Il
processo di allocazione dunque un processo approssimato che deve essere iterato nel caso che
laffidabilit allocata a un sottosistema non sia praticabile. Esistono diverse tecniche per stimare una
allocazione iniziale di affidabilit:
1. Tecnica di equipartizione: in assenza di informazioni definitive sul sistema, a parte il fatto di
conoscere che costituito da componenti e che deve avere complessivamente una affidabilit
, una stima cautelativa dellaffidabilit pu essere ottenuta:
a. Ipotizzando i componenti in serie;
b. Laffidabilit complessiva sar allora il prodotto delle affidabilit:

=1
c. Dalla relazione precedente si ricava laffidabilit del singolo componente:
= 1/
Se poi i componenti non fossero tutti in serie, allora laffidabilit del sistema complessivo
sarebbe anche maggiore di quella richiesta, dato che la collocazione in serie di solito quella a
minore affidabilit;
2. Tecnica ARINC: questa tecnica assume componenti con FR costante; come informazione
aggiuntiva rispetto a conoscere il numero di componenti e il failure rate = si conosce
anche la tipologia di componenti analoghi; i passi della procedura sono:
a. Si ipotizzano i componenti in serie;
b. Il tasso di guasto complessivo sar dato dalla espressione:

=1
Con tasso di guasto allocato al componente esimo;
c. Si determinano i pesi delle stime dei failure rate di componenti analoghi:

=
=1
d. Si determinano i tassi di guasto da allocare a ciascun componente:
=
Ad esempio, consideriamo un sistema costituito da 3 componenti per cui sia richiesta una affidabilit
= 0,9 per una missione da 20 ore; il tasso di guasto stimato per componenti analoghi 1 = 0,003
2 = 0,001 e 3 = 0,004. Allora avremo:
log 0,9
(20) = 0,9 = (20) = = 0,005
20
Poi si determinano i pesi delle stime dei failure rate dei componenti analoghi:
1 2 3
1 = = 0,375 2 = = 0,125 3 = = 0,5
1 + 2 + 3 1 + 2 + 3 1 + 2 + 3
Infine si determinano i tassi di guasto da allocare a ciascun componente:
1 = 1 = 0,00187 2 = 2 = 0,00062 3 = 3 = 0,0025
Da qui si pu allora giungere alle corrispondenti affidabilit di componenti:

1 (20) = 1 20 = 0,96 2 (20) = 2 20 = 0,99 3 (20) = (3 20) = 0,95

Nei moderni sistemi sempre pi diffusa la presenta di software che pure pu essere fonte di
malfunzionamento. Ci sono fondamentali punti di diversit tra avarie dellhardware e malfunzionamenti
del software:
1. Laffidabilit non varia nel tempo; il malfunzionamento avviene quando viene eseguito un passo
di programma o un percorso dove sia presente un errore latente;
2. Laffidabilit non pu essere calcolata sulla base di fattori di progetto e di uso: non dipende da
fattori ambientali, ma solo da fattori umani;
3. Non mai possibile assegnare un fattore tasso di guasto al software;
4. Laffidabilit non pu essere aumentata con delle ridondanze se i percorsi paralleli del software
sono identici; possibile realizzare software diversi, sviluppati da persone diverse, che
rispondono agli stessi requisiti;
5. Laffidabilit di hardware e software dipende dalla loro complessit;
6. Test eseguiti su hardware e software per simulare le condizioni operative sono utili per
evidenziare e correggere certe modalit di avaria o malfunzionamenti;
Alcune tra le possibili cause di malfunzionamenti possono essere:
1. Requisiti non corretti;
2. Errori introdotti durante il progetto:
a. Errori nellinterpretazione dei requisiti;
b. Errori dovuti alla bassa robustezza dei dati di imput;
3. Errori introdotti nella fase di generazione del codice e non evidenziati dal compilatore;
Inoltre, il software ha bisogno di un hardware su cui girare, quindi si possono manifestare anche:
4. Errori introdotti dal compilatore, che a sua volta un software;
5. Lhardware a sua volta ha bisogno di un sistema operativo per funzionare, che a sua volta un
software;
6. Malfunzionamenti possono evidenziarsi per particolari combinazioni tra hardware, sistema
operativo e compilatore; essi costituiscono ulteriori cause comuni di avaria per sistemi
ridondanti;
Possibili contromisure per limitare le cause di malfunzionamento del software sono:
1. Compilatori con alto grado di severit;
2. Software dissimilari a fronte degli stessi requisiti, per la realizzazione di sistemi ridondati:
a. Linguaggi di programmazione diversi;
b. Progettisti diversi;
3. Hardware dissimilari per la generazione di ridondanze;
Nella pratica, lunica maniera per garantire che il software non andr incontro a malfunzionamenti tali
da causare una avaria del sistema consiste nel tenere sotto controllo:
1. Il modo in cui il software viene sviluppato:
a. Chiarezza e univocit nella stesura dei requisiti, con relativa documentazione;
b. Progetto della struttura del software e degli algoritmi;
c. Requisiti relativi allhardware, sistema operativo e compilatore;
d. Codifica del software;
e. Requisiti dei test a cui sottoporre il software;
2. Il modo in cui il software viene testato;
3. La documentazione che accompagna il software durante la sua realizzazione parte integrante
del software stesso;

In generale, non basta introdurre delle ridondanze nei sistemi per aumentare laffidabilit, ma
necessario gestire tali ridondanze; questo significa saper riconoscere una avaria e isolarla in modo che
non sia di ostacolo al funzionamento delle rimanenti ridondanze funzionanti: a questo provvede il
monitoring, che un insieme di strategie hardware/software per determinare lo stato del sistema
individuando ed isolando eventuali avarie. Queste avarie possono essere classificate in tre modi:
1. Avarie rilevabili in modo diretto: sulla base delle sole informazioni provenienti dal singolo
sottosistema possibile determinare se sia funzionante o in avaria: il caso, ad esempio, dei
sistemi per la generazione di potenza idraulica o elettrica in cui la misura della pressione o della
tensione sufficiente per conoscere le condizioni del sistema;
2. Avarie rilevabili per confronto: non bastano le informazioni provenienti dal singolo
sottosistema, ma necessario confrontare le informazioni provenienti da tutte le ridondanze.
Ad esempio, la misurazione della quota mediante 4 altimetri fa parte di questa categoria, dato
che se un altimetro va in avaria indicando una quota errata, in confronto con gli altri 3 consente
al pilota di eliminare il guasto: dei tre rimanenti, se uno solo va in avaria ancora possibile
confrontare le misurazioni per eliminare il problema, ma quando rimangono solo 2 altimetri
solo possibile stabilire quando funzionano entrambi oppure se uno dei due non funziona, senza
sapere quale, quindi il sistema di misura risulta inoperativo. La tecnica di monitoring messa in
atto dal pilota presuppone che le avarie avvengono una per volta (loperatore AND implica che
lavaria avvenga nella stessa missione, non nello stesso istante) e, come visto, per isolare lavaria
necessario che i componenti funzionanti sia almeno maggiore di 2. E possibile effettuare in
modo automatico il monitoring, a patto che si rispettino i seguenti passi:
a. Definire una soglia di accettazione allinterno della quale i segnali saranno considerati
provenienti da sistemi funzionanti;
b. Definire un segnale di riferimento sul quale centrare la soglia di attenzione;
c. Definire un tempo di permanenza (numero di step di calcolo) durante il quale un segnale
deve permanere continuativamente fuori dalla soglia per essere confermato in avaria;
Una tecnica per ottenere il segnale di riferimento quella di scartare il pi alto e il pi basso fra
i segnali e fare la media dei rimanenti:

La dimensione della soglia di accettazione deve essere scelta in modo oculato, anche in base
allaccuratezza dei sensori da cui provengono i segnali, e anche il tempo di permanenza importante
dato che tempi piccoli rendono il sistema sensibile a disturbi elettrici e tempi troppo lunghi
espongono il sistema alla possibilit di una seconda avaria; Una volta stabilito lo stato del sistema
mediante il monitoring si pu procedere al consolidamento del dato con loperazione di voting.
Prima di iniziare una missione necessario verificare che tutti i sistemi, il cui mancato
funzionamento abbia un impatto sulla sicurezza, siano funzionanti e completi di tutte le ridondanze;
Lo scopo dei Pre-Flight-Test quello di rilevare avarie latenti: vengono eseguiti automaticamente,
eccitando gli attuatori di volo e acquisendo i segnali ridondanti; Lequipaggio completer
successivamente il controllo con la Pre-Flight-Checklist. Avarie minori in genere non pregiudicano
linizio di una missione, a patto che il loro numero complessivo sia limitato;
3. Avarie non rilevabili: necessario rispettare uno standard di probabilit di avvenimento;