ARP4761

Práctica recomendada para el sector aeroespacial por SAE International

ARP4761, Guidelines for Conducting the Safety Assessment Process on Civil Aircraft, Systems, and Equipment es una práctica recomendada aeroespacial de SAE International . ^[1] Junto con ARP4754 , ARP4761 se utiliza para demostrar el cumplimiento de 14 CFR 25.1309 en las regulaciones de aeronavegabilidad de la Administración Federal de Aviación (FAA) de EE. UU. para aeronaves de categoría de transporte , y también regulaciones de aeronavegabilidad internacionales armonizadas como la Agencia Europea de Seguridad Aérea (EASA) CS–25.1309.

Esta práctica recomendada define un proceso para utilizar técnicas de modelado comunes para evaluar la seguridad de un sistema que se está construyendo. Las primeras 30 páginas del documento cubren ese proceso. Las siguientes 140 páginas ofrecen una descripción general de las técnicas de modelado y cómo deben aplicarse. Las últimas 160 páginas ofrecen un ejemplo del proceso en acción.

Algunos de los métodos cubiertos:

• Evaluación de riesgos funcionales (FHA)
• Evaluación preliminar de seguridad del sistema (PSSA)
• Evaluación de seguridad del sistema (SSA)
• Análisis del árbol de fallas (FTA)
• Análisis de modos de falla y efectos (FMEA)
• Resumen de modos de falla y efectos (FMES)
• Análisis de causa común (CCA), que consta de:
  • Análisis de seguridad zonal (ZSA)
  • Análisis de riesgos particulares (PRA)
  • Análisis de modo común (CMA)

Ciclo de vida de la seguridad

El flujo general del ciclo de vida de seguridad según ARP4761 es:

1. Realizar la FHA a nivel de aeronave en paralelo con el desarrollo de los requisitos a nivel de aeronave.
2. Realizar la FHA a nivel de sistema en paralelo con la asignación de funciones de la aeronave a las funciones del sistema e iniciar la CCA.
3. Realizar el PSSA en paralelo con el desarrollo de la arquitectura del sistema y actualizar el CCA.
4. Iterar el CCA y el PSSA a medida que el sistema se asigna a los componentes de hardware y software.
5. Realice la SSA en paralelo con la implementación del sistema y complete la CCA.
6. Incorpore los resultados al proceso de certificación.

El proceso de seguridad funcional se centra en la identificación de las condiciones de falla funcional que conducen a peligros. Los análisis/evaluaciones de peligros funcionales son fundamentales para determinar los peligros. El análisis de peligros funcionales se realiza en las primeras etapas del diseño de la aeronave, primero como un análisis de peligros funcionales de la aeronave (AFHA) y luego como un análisis de peligros funcionales del sistema (SFHA). Mediante una evaluación cualitativa, se analizan sistemáticamente las funciones de la aeronave y, posteriormente, las funciones del sistema de la aeronave en busca de condiciones de falla, y a cada condición de falla se le asigna una clasificación de peligro. Las clasificaciones de peligro están estrechamente relacionadas con los niveles de garantía de desarrollo (DAL) y están alineadas entre ARP4761 y los documentos de seguridad de la aviación relacionados, como ARP4754A, 14 CFR 25.1309 y las normas DO-254 y DO-178B de la Comisión Técnica de Radio para Aeronáutica (RTCA) .

Los resultados de la FHA se muestran normalmente en forma de hoja de cálculo, con columnas que identifican la función, la condición de falla, la fase del vuelo, el efecto, la clasificación del peligro, el DAL, los medios de detección, la respuesta de la tripulación y la información relacionada. A cada peligro se le asigna un identificador único que se rastrea durante todo el ciclo de vida de seguridad. Un enfoque es identificar los sistemas por sus códigos de sistema ATA y los peligros correspondientes por identificadores derivados. Por ejemplo, el sistema inversor de empuje podría identificarse por su código ATA 78-30. El despliegue inoportuno del inversor de empuje sería un peligro, al que se le podría asignar un identificador basado en el código ATA 78-30.

Los resultados del FHA se coordinan con el proceso de diseño del sistema a medida que se asignan funciones a los sistemas de la aeronave. El FHA también se incorpora al PSSA, que se prepara mientras se desarrolla la arquitectura del sistema.

El PSSA puede contener FTA cualitativo, que puede utilizarse para identificar sistemas que requieren redundancia de modo que los eventos catastróficos no resulten de una falla única (o falla dual cuando una está latente). Se prepara un árbol de fallas para cada peligro de SFHA clasificado como peligroso o catastrófico. Se pueden realizar árboles de fallas para peligros mayores si se justifica. Se imponen DAL y requisitos específicos de diseño de seguridad a los subsistemas. Se capturan y rastrean los requisitos de diseño de seguridad. Estos pueden incluir estrategias preventivas o de mitigación seleccionadas para subsistemas particulares. El PSSA y el CCA generan requisitos de separación para identificar y eliminar fallas de modo común. Se asignan presupuestos de tasa de falla de subsistema para que se puedan cumplir los límites de probabilidad de peligro.

El CCA consta de tres tipos de análisis independientes diseñados para descubrir peligros que no son creados por una falla de un componente de subsistema específico. El CCA puede ser muchos documentos independientes, puede ser un documento CCA o puede incluirse como secciones en el documento SSA. El Análisis de Riesgo Particular (PRA) busca eventos externos que puedan crear un peligro, como un choque con aves o una explosión de la turbina del motor. El Análisis de Seguridad Zonal (ZSA) analiza cada compartimento de la aeronave y busca peligros que puedan afectar a cada componente de ese compartimento, como la pérdida de aire de refrigeración o la explosión de una línea de fluido. El Análisis de Modo Común (CMA) analiza los componentes críticos redundantes para encontrar modos de falla que pueden hacer que todos fallen aproximadamente al mismo tiempo. El software siempre se incluye en este análisis, así como la búsqueda de errores de fabricación o componentes de "lote defectuoso". Una falla como una resistencia defectuosa en todas las computadoras de control de vuelo se abordaría aquí. Las mitigaciones para los descubrimientos de CMA son a menudo componentes DO-254 o DO-178B.

El SSA incluye un análisis cuantitativo de efectos y efectos (FMEA), que se resume en un análisis cuantitativo de efectos y efectos (FMES). Normalmente, las probabilidades de FMES se utilizan en un análisis cuantitativo de efectos y efectos (FTA) para demostrar que los límites de probabilidad de peligro se cumplen de hecho. El análisis de corte de los árboles de fallas demuestra que ninguna condición de falla individual dará como resultado un evento peligroso o catastrófico. El SSA puede incluir los resultados de todos los análisis de seguridad y ser un documento o puede ser muchos documentos. Un FTA es solo un método para realizar el SSA. Otros métodos incluyen el diagrama de dependencia o el diagrama de bloques de confiabilidad y el análisis de Markov .

El PSSA y el CCA suelen dar lugar a recomendaciones o requisitos de diseño para mejorar el sistema. El SSA resume los riesgos residuales que quedan en el sistema y debe demostrar que todos los peligros cumplen con los índices de falla 1309.

Los análisis del ARP4761 también alimentan la selección de mensajes del Sistema de Alerta de Tripulación (CAS) y el desarrollo de tareas de mantenimiento críticas bajo ATA MSG3.

Cambios futuros

En 2004, el Comité de Normas SAE S-18 comenzó a trabajar en la Revisión A de ARP4761. Cuando se publique, EUROCAE planea publicar conjuntamente el documento como ED-135.

Véase también

• ARP4754
• DO-254
• DO-178B
• Ingeniería de seguridad
• aviónica

Referencias

1. S–18 (1996). Directrices y métodos para llevar a cabo el proceso de evaluación de la seguridad de los sistemas y equipos aerotransportados civiles. SAE International . ARP4761.{{cite book}}: CS1 maint: nombres múltiples: lista de autores ( enlace ) CS1 maint: nombres numéricos: lista de autores ( enlace )