ARP4761

ARP4761, Directrices para realizar el proceso de evaluación de la seguridad en aeronaves, sistemas y equipos civiles es una práctica aeroespacial recomendada por SAE International . ^[1] Junto con ARP4754 , ARP4761 se utiliza para demostrar el cumplimiento de 14 CFR 25.1309 en las regulaciones de aeronavegabilidad de la Administración Federal de Aviación (FAA) de EE. UU. para aeronaves de categoría de transporte , y también regulaciones de aeronavegabilidad internacionales armonizadas como las de la Agencia Europea de Seguridad Aérea (EASA) CS. –25.1309.

Esta práctica recomendada define un proceso para utilizar técnicas de modelado comunes para evaluar la seguridad de un sistema que se está armando. Las primeras 30 páginas del documento cubren ese proceso. Las siguientes 140 páginas ofrecen una descripción general de las técnicas de modelado y cómo deben aplicarse. Las últimas 160 páginas dan un ejemplo del proceso en acción.

Algunos de los métodos cubiertos:

• Evaluación de riesgos funcionales (FHA)
• Evaluación preliminar de la seguridad del sistema (PSSA)
• Evaluación de seguridad del sistema (SSA)
• Análisis de árbol de fallas (FTA)
• Análisis modal de fallas y efectos (FMEA)
• Resumen de modos y efectos de falla (FMES)
• Análisis de Causa Común (CCA), consistente en:
  • Análisis de Seguridad Zonal (ZSA)
  • Análisis de Riesgos Particulares (PRA)
  • Análisis de modo común (CMA)

Ciclo de vida de seguridad

El flujo general del ciclo de vida de seguridad según ARP4761 es:

1. Realizar la FHA a nivel de aeronave en paralelo con el desarrollo de los requisitos a nivel de aeronave.
2. Realizar la FHA a nivel del sistema en paralelo con la asignación de funciones de la aeronave a las funciones del sistema e iniciar la CCA.
3. Realice el PSSA en paralelo con el desarrollo de la arquitectura del sistema y actualice el CCA.
4. Itere el CCA y el PSSA a medida que el sistema se asigna a los componentes de hardware y software.
5. Realice la SSA en paralelo con la implementación del sistema y complete la CCA.
6. Introduzca los resultados en el proceso de certificación.

El proceso de Seguridad Funcional se centra en identificar condiciones de falla funcional que conducen a peligros. Los análisis/evaluaciones de peligros funcionales son fundamentales para determinar los peligros. El FHA se realiza en una fase temprana del diseño de la aeronave, primero como un análisis de peligros funcionales de la aeronave (AFHA) y luego como un análisis de peligros funcionales del sistema (SFHA). Mediante una evaluación cualitativa, las funciones de la aeronave y, posteriormente, las funciones de los sistemas de la aeronave se analizan sistemáticamente en busca de condiciones de falla, y a cada condición de falla se le asigna una clasificación de peligro. Las clasificaciones de peligros están estrechamente relacionadas con los niveles de garantía de desarrollo (DAL) y están alineadas entre ARP4761 y los documentos de seguridad de la aviación relacionados, como ARP4754A, 14 CFR 25.1309 y los estándares DO-254 y DO-178B de la Comisión Técnica de Radio para Aeronáutica (RTCA) .

Los resultados de la FHA normalmente se muestran en forma de hoja de cálculo, con columnas que identifican la función, condición de falla, fase de vuelo, efecto, clasificación de peligro, DAL, medios de detección, respuesta de la tripulación e información relacionada. A cada peligro se le asigna un identificador único que se rastrea durante todo el ciclo de vida de la seguridad. Un enfoque es identificar los sistemas por sus códigos de sistema ATA y los peligros correspondientes mediante identificadores derivados. Por ejemplo, el sistema de inversión de empuje podría identificarse por su código ATA 78-30. El despliegue inoportuno del inversor de empuje sería un peligro, al que se le podría asignar un identificador basado en el código ATA 78-30.

Los resultados de la FHA se coordinan con el proceso de diseño del sistema a medida que las funciones de la aeronave se asignan a los sistemas de la aeronave. La FHA también alimenta al PSSA, que se prepara mientras se desarrolla la arquitectura del sistema.

El PSSA puede contener FTA cualitativo, que puede usarse para identificar sistemas que requieren redundancia para que eventos catastróficos no resulten de una falla única (o falla doble cuando una está latente). Se prepara un árbol de fallas para cada peligro clasificado como peligroso o catastrófico por la SFHA. Se pueden realizar árboles de fallas para riesgos mayores si se justifica. A los subsistemas se les imponen DAL y requisitos de diseño de seguridad específicos. Los requisitos de diseño de seguridad se capturan y rastrean. Estos pueden incluir estrategias preventivas o de mitigación seleccionadas para subsistemas particulares. La PSSA y la CCA generan requisitos de separación para identificar y eliminar fallas de modo común. Los presupuestos de tasa de falla del subsistema se asignan de modo que se puedan cumplir los límites de probabilidad de peligro.

El CCA consta de tres tipos separados de análisis que están diseñados para descubrir peligros no creados por una falla de un componente específico del subsistema. La CCA puede consistir en muchos documentos separados, puede ser un documento CCA o puede incluirse como secciones en el documento SSA. El Análisis de Riesgo Particular (PRA) busca eventos externos que puedan crear un peligro, como el impacto de un pájaro o la explosión de una turbina de motor. El Análisis de Seguridad Zonal (ZSA) analiza cada compartimento de la aeronave y busca peligros que puedan afectar a cada componente de ese compartimento, como la pérdida de aire de refrigeración o la rotura de una línea de fluido. El Análisis de Modo Común (CMA) analiza los componentes críticos redundantes para encontrar modos de falla que pueden causar que todos fallen aproximadamente al mismo tiempo. El software siempre se incluye en este análisis, además de buscar errores de fabricación o componentes de "lote malo". Aquí se abordaría una falla como una resistencia defectuosa en todas las computadoras de control de vuelo. Las mitigaciones para los descubrimientos de CMA suelen ser los componentes DO-254 o DO-178B.

La SSA incluye AMEF cuantitativos, que se resumen en FMES. Normalmente, las probabilidades FMES se utilizan en FTA cuantitativas para demostrar que los límites de probabilidad de peligro de hecho se cumplen. El análisis de corte de los árboles de fallas demuestra que ninguna condición de falla dará como resultado un evento peligroso o catastrófico. La SSA puede incluir los resultados de todos los análisis de seguridad y ser un documento o varios documentos. Un TLC es sólo un método para realizar el SSA. Otros métodos incluyen el diagrama de dependencia o diagrama de bloques de confiabilidad y el análisis de Markov .

La PSSA y la CCA a menudo resultan en recomendaciones o requisitos de diseño para mejorar el sistema. La SSA resume los riesgos residuales que quedan en el sistema y debe mostrar que todos los peligros cumplen con las tasas de falla 1309.

Los análisis de ARP4761 también contribuyen a la selección de mensajes del Sistema de alerta de tripulación (CAS) y al desarrollo de tareas de mantenimiento críticas bajo ATA MSG3.

Cambios futuros

En 2004, el Comité de Normas SAE S-18 comenzó a trabajar en la Revisión A de ARP4761. Cuando se publique, EUROCAE planea publicar conjuntamente el documento como ED-135.

Ver también

• ARP4754
• DO-254
• DO-178B
• Ingeniería de Seguridad
• aviónica

Referencias

1. T-18 (1996). Directrices y métodos para llevar a cabo el proceso de evaluación de la seguridad en sistemas y equipos civiles aerotransportados. SAE Internacional . ARP4761.{{cite book}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace ) Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )