Qualunque macchina possiede failure potenzialmente catastrofiche. Questo è intrinseco alle funzioni della macchina stessa, e bisogna conviverci.
Esempio per l'automobile: "distacco di una ruota", "perdita della funzione frenante", ecc.
All'inizio del progetto di un velivolo si deve preparare la FHA (Functional Hazard Assessment). Questo è un documento che, a livello velivolo, elenca tutti gli hazard, cioè le situazioni di rischio per il volo. Ad ogni hazard bisogna poi allocare un livello di criticità.
Queste categorie di criticità sono quattro: Catastrophic, Hazardous, Major e Minor.
Le norme assegnano un valore massimo accettabile di probabilità ad ogni categoria, rispettivamente 1E-9, 1E-7, 1E-5 e 1E-3 per ora di volo (FH). Ciò significa che, a norma, un hazard catastrofico deve accadere meno di una volta ogni miliardo di ore di volo (1E-9/FH). La norma ha un suo fondamento.
I legislatori hanno fatto la seguente considerazione per il valore 1E-9. Hanno considerato che, storicamente, c'è stato un incidente catastrofico ogni milione di ore di volo (1E-6/FH). Poi hanno considerato che, sempre storicamente, il 10% circa di questi eventi fosse dovuto ai sistemi di bordo. Il numero diventa quindi 1E-7/FH. Poi hanno considerato che su un generico velivolo ci sono circa 100 eventi catastrofici sui quali ripartire il valore di probabilità. Ecco che alla fine il numero diventa quindi 1E-9/FH, e questo numero, basato su dati storici e statistici, non deve allora essere superato per soddisfare il principio che i velivoli futuri devono essere sicuri almeno quanto quelli precedenti.
Scritta questa FHA a livello velivolo, il tutto, cioè gli hazard, viene ripartito e ridefinito per i vari sistemi (Propulsion, FCS, Avionica, ecc). A questo punto ogni gruppo di progetto prende la FHA del sistema e comincia dagli hazard che sono catastrofici.
Un paio di esempi per il FCS sono "perdita totale controllo in beccheggio" e "perdita rudder associata a spinta asimmetrica motori". Partendo quindi dal requisito numerico, i progettisti definiscono tutti i guasti che concorrono ad un certo hazard catastrofico e dimostrano che il totale resta sotto il valore di 1E-9. In aggiunta, e questa è una norma essenziale, non deve esistere nessuna failure singola che sia catastrofica.
Il problema è che tutto questo ragionamento (obbligatorio per la certificazione) considera sempre le failure singole come indipendenti una dall'altra. Ma esistono i cosiddetti "common mode failure", cioè quei modi di guasto singoli che però si presentano simultaneamente nella ridondanza del sistema.
E un esempio potrebbe essere che il Pentium, con quei particolari input (speciali finchè vuoi, ma possibili), tutti i Pentium di tutti i computer diano i numeri allo stesso modo ed io perdo la ridondanza con una failure sola, e non soddisfo più la safety.
Da tutto ciò si puo' capire come questi modi comuni di guasto siano la maledizione dei progettisti, e debbano essere analizzati ed evitati al massimo. Per esempio, usando processori diversi che fanno le stesse funzioni. Cioè hardware e software diversi per le stesse funzioni ridondate.
