La AC 25.1309-1 es una Circular de Asesoramiento (AC) de la FAA (Asunto: Diseño y análisis del sistema ) que describe los medios aceptables para demostrar el cumplimiento de los requisitos de aeronavegabilidad de § 25.1309 de las Regulaciones Federales de Aviación . El actual borrador inédito pero en proceso de AC 25.1309-1 es la revisión recomendada del Comité Asesor de Reglamentación de Aviación B-Arsenal Draft (2002); la presente versión publicada es A (1988). La FAA y EASA han aceptado propuestas de solicitantes de certificados de tipo para utilizar el Arsenal Draft en programas de desarrollo recientes. [1] [2]
La AC 25.1309-1 establece el principio de que cuanto más grave sea el peligro resultante de una falla del sistema o del equipo, menos probable debe ser la falla. Las fallas que son catastróficas deben ser extremadamente improbables. [3]
Estándares de aeronavegabilidad
Los requisitos de aeronavegabilidad para aviones de la categoría de transporte están contenidos en el Título 14, Código de Regulaciones Federales (14 CFR) parte 25 (comúnmente conocida como parte 25 de las Regulaciones Federales de Aviación (FAR)). Los fabricantes de aviones de la categoría de transporte deben demostrar que cada avión que producen de un diseño de tipo determinado cumple con las normas pertinentes de la parte 25.
La AC 25.1309-1 describe los medios aceptables para demostrar el cumplimiento de esos requisitos de aeronavegabilidad. Reconoce las prácticas recomendadas aeroespaciales ARP4754 y ARP4761 (o sus sucesores) como tales medios: [4]
- ARP4754 A, Directrices para el desarrollo de aeronaves y sistemas civiles , es una directriz de SAE International que se ocupa de los procesos de desarrollo que respaldan la certificación de sistemas de aeronaves . Este ARP reconoce además la integración de DO-297 , DO-178 y DO-254 en las pautas para el desarrollo y reconoce a ARP5150 / 5151 como pautas para la operación y el mantenimiento en servicio.
- ARP4761 , Directrices y métodos para realizar el proceso de evaluación de la seguridad en sistemas y equipos de a bordo civiles
Fondo
La AC 25.1309–1 proporciona antecedentes para conceptos y cuestiones importantes dentro del diseño y análisis de sistemas de aviones.
- Tasa de condición de falla catastrófica
La circular proporciona una justificación para el límite superior para la probabilidad promedio por hora de vuelo para condiciones de falla catastrófica de 1 x 10 −9 o "Extremadamente improbable". [5] Las condiciones de falla que tienen efectos menos severos podrían ser relativamente más probables de ocurrir; es decir, una relación inversa entre gravedad y probabilidad.
- Concepto de diseño a prueba de fallos
Esta CA presenta el concepto de diseño a prueba de fallas de la FAA , que aplica objetivos básicos relacionados con fallas:
- Las fallas de cualquier sistema deben suponerse para cualquier vuelo dado independientemente de la probabilidad y tales fallas "no deben impedir la continuidad del vuelo y el aterrizaje seguros" o reducir significativamente la seguridad.
- También se debe suponer una falla posterior durante el mismo vuelo.
El AC enumera los principios o técnicas de diseño que se utilizan para garantizar un diseño seguro. Por lo general, se necesita una combinación de al menos dos técnicas de diseño seguro para proporcionar un diseño a prueba de fallas; es decir, para asegurar que las condiciones de fallas mayores sean remotas, las condiciones de fallas peligrosas sean extremadamente remotas y las condiciones de fallas catastróficas sean extremadamente improbables.
|
|
- Sistemas altamente integrados
Con el surgimiento de sistemas altamente integrados que realizan funciones complejas e interrelacionadas, particularmente mediante el uso de tecnología electrónica y técnicas basadas en software [por ejemplo, aviónica modular integrada (IMA) ], surgieron preocupaciones acerca de que las técnicas de análisis y diseño de nivel funcional tradicionalmente cuantitativas aplicadas previamente a sistemas más simples ya no eran adecuados. Como tal, el CA incluye enfoques expandidos y metódicos, tanto cualitativos como cuantitativos, que consideran la integración del "avión completo y sus sistemas". [6]
Definiciones y clasificaciones
Una tarea principal de la CA 25.1309-1 es proporcionar definiciones estándar de términos (incluidas las clasificaciones de riesgo y probabilidad) para un uso coherente en todo el marco establecido para el cumplimiento de la seguridad funcional del avión. Cuando las regulaciones (FAR) y los estándares (ARP) pueden usar términos como condición de falla , y son extremadamente improbables , AC 25.1309-1 define sus significados específicos. [7] A este respecto, AC 25.1309–1 es comparable al Vocabulario de ISO 26262–1 , al menos en lo que respecta a las normas relativas dependientes. Las definiciones clave incluyen:
- Condiciones de error , fallas y fallas
- La reintroducción de Error en el AC reconoce el papel del error humano (en desarrollo, fabricación, operación o mantenimiento) como una fuente de fallas del sistema, especialmente en aviónica compleja e integrada. El término Condiciones de falla proporciona un enfoque en los efectos de una falla separados de las causas.
- Clasificación de las condiciones de falla por severidad del efecto
- Efecto catastrófico , peligroso , mayor , menor o sin efecto de seguridad
- Una condición de falla catastrófica es aquella "que daría lugar a múltiples muertes, generalmente con la pérdida del avión [8] ".
- Definición de términos de probabilidad
- Extremadamente improbable , extremadamente remoto , remoto o probable
- Una condición de falla Extremadamente Improbable es aquella tan improbable que no se prevé que ocurra durante toda la vida operativa de todos los aviones de un tipo. Cuantitativamente , estos términos de probabilidad se definen de la siguiente manera: Extremadamente improbable (10 −9 o menos), Extremadamente remoto (10 −7 o menos), Remoto (10 −5 o menos), Probable (más de 10 −5 ). [9]
Objetivos de seguridad
A las condiciones de falla clasificadas se les asignan objetivos de seguridad cualitativos y cuantitativos, que brindan orientación para su desarrollo y operación.
- Cuantitativo
El AC define el nivel de seguridad aceptable para los equipos y sistemas instalados en el avión y establece una relación inversa entre la probabilidad promedio por hora de vuelo y la gravedad de los efectos de la condición de falla:
- Las condiciones de falla sin efecto de seguridad no tienen un requisito de probabilidad.
- Pueden ser probables condiciones de fallas menores.
- Las condiciones de falla mayor no deben ser más frecuentes que las remotas.
- Las condiciones de falla peligrosa no deben ser más frecuentes que las extremadamente remotas.
- Las condiciones de falla catastrófica deben ser extremadamente improbables.
Los objetivos de seguridad asociados con las condiciones de falla catastrófica pueden satisfacerse demostrando que:
- Ninguna falla resultará en una condición de falla catastrófica; y
- Cada condición de falla catastrófica es extremadamente improbable.
- Cualitativo
A las condiciones de falla catastróficas hasta sin efecto de seguridad se les asignan los niveles A, B, C, D, E de garantía de diseño funcional y de elementos, respectivamente. [10]
Historia
Lanzada por primera vez en 1982, la AC 25.1309-1 ha sido revisada para incorporar una experiencia cada vez mayor en el desarrollo de aviones y para abordar la creciente integración e informatización de las funciones de las aeronaves.
AC 25.1309–1 (versión original)
Criticidad de la función
La AC 25.1309-1 recomendó que el análisis de arriba hacia abajo debería identificar cada función del sistema y evaluar su criticidad, es decir, ya sea no esencial, esencial o crítica. Se definieron los términos Error, Falla y Condición de falla. Las funciones se clasificaron como críticas, esenciales y no esenciales de acuerdo con la gravedad de las condiciones de falla a las que podrían contribuir; pero las condiciones no fueron clasificadas expresamente. Se esperaba que las fallas de las funciones críticas, esenciales y no esenciales fueran, respectivamente, Extremadamente improbables (10 –9 o menos), Improbables (10 –5 o menos), o no peores que Probables (10 –5 ). [11]
Métodos cualitativos
Anteriormente, el análisis de seguridad del sistema era cuantitativo; es decir, dependía de evaluar la probabilidad de fallas del sistema por fallas físicas de los componentes. Pero con el uso cada vez mayor de aviónica digital (es decir, software), se reconoció que el error de desarrollo contribuía significativamente a la falla del sistema. Durante la certificación del sistema a fines de la década de 1970, quedó claro que los métodos estadísticos clásicos de evaluación de la seguridad para los sistemas basados en software de vuelo crítico no eran posibles. [12] Los métodos cuantitativos existentes no podían predecir las tasas de fallas del sistema resultantes de errores de desarrollo. En cambio, se recomendaron métodos cualitativos para reducir los errores de especificación, diseño e implementación en el desarrollo de aviónica digital.
La guía de DO-178 (versión inicial) fue recomendada por AC 25.1309-1 para el desarrollo de funciones esenciales y críticas implementadas en software. [13]
AC 25.1309–1A
La AC 25.1309–1A introdujo el concepto de diseño a prueba de fallas de la FAA en esta circular de asesoramiento. [14] Esta revisión también introdujo principios o técnicas de diseño recomendados para garantizar un diseño seguro. [15]
Clasificación de las condiciones de falla por severidad
El concepto de criticidad de la función fue reemplazado por la clasificación de las condiciones de falla según la severidad de los efectos (cf. Evaluación probabilística del riesgo ). Las condiciones de falla con efectos catastróficos, mayores o menores debían tener probabilidades restringidas, respectivamente, de Extremadamente improbable (10 –9 o menos), Improbable (10 –5 o menos) o no peor que Probable (10 –5 ). [dieciséis]
El software todavía se consideraba evaluado y controlado por otros medios; es decir, por RTCA / DO-178A o revisión posterior, mediante la Circular de Asesoramiento AC 20-115A . [17]
AC 25 1309–1B
En mayo de 1996, el Comité Asesor de Reglamentación de Aviación de la FAA (ARAC) recibió la tarea de revisar el FAR / JAR 25.1309, el AC 1309-1A y los documentos relacionados armonizados, y considerar la revisión del AC 1309-1A incorporando la práctica reciente, aumentando la integración compleja. entre las funciones de la aeronave y los sistemas que las implementan, [18] y las implicaciones de las nuevas tecnologías. Esta tarea se publicó en el Registro Federal en 61 FR 26246-26247 (1996-05-24). La atención se centró en la evaluación de la seguridad y los sistemas críticos tolerantes a fallas.
En 2002, la FAA proporcionó un Aviso de propuesta de reglamentación (NPRM) relevante a 14 CFR Parte 25. Junto a este aviso está el borrador del Arsenal de AC 1309-1. [19] Las definiciones y reglas existentes en § 25.1309 y estándares relacionados han planteado ciertos problemas a la certificación de aviones de la categoría de transporte. Dichos problemas se discuten extensamente dentro del NPRM. La FAA propuso revisiones a varios estándares relacionados con el fin de eliminar tales problemas y aclarar la intención de estos estándares. En algunos cambios propuestos, las definiciones o convenciones desarrolladas en reglamentos o normas de nivel inferior se adoptaron o revisaron en la Circular de Asesoramiento posterior.
Refinamiento de las clasificaciones de condiciones de falla
La experiencia en la aplicación de las circulares y ARP anteriores fue testigo de la división de la condición de falla mayor en dos condiciones (por ejemplo, peligrosa-severa / mayor y mayor). [20] Adicionalmente, esta experiencia reconoció la existencia de condiciones de falla que no tienen ningún efecto sobre la seguridad , las cuales podrían clasificarse así y por lo tanto no se les asignaron objetivos de seguridad. La condición de falla catastrófica se definió anteriormente como "cualquier condición de falla que impida la continuidad del vuelo y el aterrizaje seguros"; pero ahora se define como "Condiciones de falla que resultarían en múltiples muertes, generalmente con la pérdida del avión. [8] "
Ampliación de los controles cualitativos a las funciones de la aeronave
Se mantienen el concepto de diseño a prueba de fallas de la FAA y los principios o técnicas de diseño para un diseño seguro. Sin embargo, debido al creciente desarrollo de sistemas altamente integrados en las aeronaves, los controles cualitativos que antes se consideraban necesarios para el desarrollo seguro de software se extienden al nivel de función de la aeronave. [6] (orientación similares ( marco de la seguridad funcional ) se ha proporcionado para sistemas automotrices de alta integración a través del 2011, la liberación de la norma ISO 26262 . [21] )
Ver también
Referencias
- ^ Spitzer, Cary R., ed. Manual de aviónica digital , 2ª ed., Aviónica, desarrollo e implementación, CRC Press, Boca Raton, FL. 2007, pág. 7-9.
- ^ AC 25-19A Archivado 2014-04-13 en Wayback Machine , Requisitos de mantenimiento de certificación, 2011, p. 2
- ^ "Certificación de software" . Aviación hoy. 31 de octubre de 2005 . Consultado el 31 de marzo de 2014 .
- ^ Spitzer, pág. 7-9
- ↑ AC 25.1309-1B Draft del Arsenal ( Archivado el 13 de abril de 2014 en la Wayback Machine ), 2002, p. 5-6.
- ↑ a b AC 25.1309–1B – Draft del Arsenal, p. 7.
- ↑ AC 25.1309–1B – Draft del Arsenal, p. 3.
- ↑ a b AC 25.1309–1B – Draft del Arsenal, p. 8.
- ↑ AC 25.1309–1B – Draft del Arsenal, p. 9.
- ^ ARP4754A , Directrices para el desarrollo de sistemas y aeronaves civiles, SAE Aerospace , diciembre de 2010, p. 38
- ↑ AC 25.1309-1 , 1982, p. 3-5.
- ^ Johnson, Leslie A. (Schad). DO-178B, "Consideraciones de software en Airborne . Seattle, Washington: Sistemas de vuelo, Boeing Commercial Airplane Group".
- ↑ AC 25.1309-1, pág. 9.
- ↑ AC 25.1309–1A , 1988, p. 2.
- ↑ AC 25.1309–1A , pág. 3.
- ↑ AC 25.1309–1A , págs. 4, 5, 7, 13-15.
- ↑ AC 25.1309–1A , pág. 7.
- ^ ARP4754A, pág. 7
- ^ Requisitos de instalación y función general revisados para equipos, sistemas e instalaciones en aviones de categoría de transporte, Aviso de reglamentación propuesta, Borrador R6X Fase 1 - Junio de 2002, también conocido como Borrador del Arsenal de AC 25.1309-1B Archivado 2014-04-13 en la Wayback Machine
- ^ RTCA / DO-178B (posteriormente DO-178C , Consideraciones de software en sistemas aerotransportados y certificación de equipos, Comisión técnica de radio para aeronáutica , 1 de diciembre de 1992, p. 7
- ^ Beeby, Martin, DO-178C el futuro de la certificación de aviónica , atego HighRely, págs. 6–7