Rev.1 24.09.

2015
Rev.1 24.09.2015
Rev.1 24.09.2015
Rev.1 24.09.2015
Rev.1 24.09.2015
Rev.1 24.09.2015
Rev.1 24.09.2015
 Requisiti di certificazione del
software del sistema di comando e
controllo primario del SAPR per il
sorvolo di aree urbane e
presentazione del sistema adottato
da Aprflytech

Rev.1 24.09.2015
Per l’effettuazione di operazioni critiche in aree urbane con APR il Regolamento ENAC
presuppone il conseguimento di appropriati livelli di sicurezza equivalenti a quelli
dell'aviazione generale, che costituisce al momento il segmento maggiormente ad essi
assimilabile.
Per il mantenimento di un livello di
rischio equivalente a quello posto
dall'aviazione tradizionale, ENAC ha
preso a riferimento la AC 23.1309-1 E
della Federal Aviation Administration
(FAA) applicabile ad un aeromobile
Classe I dell'aviazione generale, per la
condizione di avaria relativa alla
classificazione «Hazardous».
Nello specifico per poter effettuare operazioni specializzate in VLOS che prevedono il
sorvolo di aree congestionate, ENAC richiede che il SAPR sia dotato di un sistema
primario di comando e controllo il cui software sia conforme agli standard aeronautici di
cui alla specifica EUROCAE ED-12.

Lo standard aeronautico EUROCAE ED-12, anche noto

negli USA come standard RTCA/DO-178, definisce i
requisiti per certificare il software dei sistemi e degli
apparati installati a bordo degli aeromobili
(tradizionali).
Le principali Autorità Aeronautiche mondiali (FAA,
EASA e Transport Canada) hanno adottato questo
standard per certificare il software utilizzato nei
prodotti dell’aviazione civile.
 Lo standard EUROCAE ED-12 (RTCA/DO-178) definisce 5 livelli di affidabilità del software
(Development Assurance Levels - DALs) assegnati sulla base del risultato degli effetti di
una condizione di avaria del sistema. Gli effetti dell’avaria sono classificati in funzione
delle conseguenze sull’aeromobile, equipaggio e passeggeri.
Risultato dell’avaria DAL Probabilità accettabile dell’avaria

Catastrofica Estremamente improbabile

Pericolosa Estremamente remota

Maggiore Remota

Minore Occasionale

Nessun effetto Nessun requisito

Peggiori sono gli effetti di una condizione di avaria sul sistema e più bassa dovrà essere la
sua probabilità di accadimento (maggiore affidabilità del software)!
Più alto è il livello di affidabilità richiesto al software maggiore è il numero di obiettivi
che devono essere soddisfatti; in particolare:

Condizione di con
Livello Obiettivi
avaria indipendenza
A Catastrofica 71 33
B Pericolosa 69 21
C Maggiore 62 8
D Minore 26 5
E Nessun effetto 0 0

Gli obiettivi da soddisfare con indipendenza sono quelli in cui è richiesto che il personale che effettua la
verifica e validazione di un obiettivo (come un requisito o un codice di sviluppo) sia indipendente da quello che
ha sviluppato il software al fine di garantire obiettività di giudizio.
Per un aeromobile di Classe I (che ENAC
ha preso a riferimento per i SAPR),
l’ AC 23.1309-1 E prevede che il software
del sistema primario di comando e
controllo garantisca, secondo lo standard
DO-178, un DAL C.

ENAC all’art. 9 comma 6 del Regolamento

accetta anche un DAL D per operazioni
critiche in aree urbane con APR < 25 kg.
Presentazione delle caratteristiche
di sicurezza del sistema di
comando e controllo primario
adottato da Aprflytech
 L’ Autopilota Veronte di Embention è un
sistema avionico miniaturizzato con
caratteristiche di fail-safe e con sensori e
processori integrati all’avanguardia per un
controllo avanzato dei sistemi a pilotaggio
remoto.

Configurazioni ridondanti
La presenza di moduli ridondanti permettono di
tollerare un’avaria operativa al sistema senza
comprometterne la sicurezza (caratteristiche di
fail safe). Alimentate con un processore a
tecnologia dissimilare, queste configurazioni
forniscono la ridondanza di sensori e datalink.

Per i dettagli riguardo le caratteristiche del sistema si rimanda alla scheda tecnica.
Sicurezza e certificazioni
L’Autopilota Veronte è progettato e realizzato
seguendo gli standard di sicurezza e qualità più
severi. In particolare soddisfa i seguenti standard:
• DO-178C (quello richiesto da ENAC per volare in
aree urbane!);
• DO-254 (standard per lo sviluppo dell’hardware
dei componenti installati a bordo degli aeromobili);
• DO-160G (standard di qualifica ambientale
dell’harware dei componenti installati a bordo degli
aeromobili);
Il software dell’Autopilota Veronte è
conforme allo standard di cui alla specifica
DO-178C (equivalente EUROCAE ED-12C) al
livello affidabilità progettuale B (DAL B) –
livello superiore a quello richiesto da ENAC
per le operazioni critiche in aree urbane
(DAL D)!

Anche l’hardware di Veronte soddisfa i più

elevati standard di sicurezza. In particolare è
conforme alla specifica DO-254 al livello di
affidabilità B (DAL B). Requisito non
richiesto esplicitamente da ENAC, ma
fortemente raccomandato per aumentare il
livello di sicurezza dell’intero sistema!
La conformità del sistema agli standard
RTCA DO-178C e DO-254 è dichiarata da
Embention in uno specifico documento
denominato “Declaration of Design and
Performance”.
La dichiarazione attesta la conformità di
tutte le unità il cui S/N è indicato nel
documento.
info@aprflytech.it
http://www.aprflytech.it