AC 25.1309-1 - AC 25.1309-1 - Wikipedia

AC 25.1309–1 je FAA Poradní oběžník (AC) (Předmět: Návrh a analýza systému), který popisuje přijatelné prostředky k prokázání souladu s požadavky na letovou způsobilost podle § 25.1309 osvědčení Federální letecké předpisy. Současný nevydaný, ale funkční návrh AC 25.1309–1 je revize doporučená Poradním výborem pro leteckou dopravu. Návrh B-Arsenalu (2002); přítomnost propuštěn verze je A (1988). FAA a EASA přijali návrhy do typový certifikát žadatelé o použití návrhu Arsenalu o nejnovějších rozvojových programech.[1][2]

AC 25.1309–1 stanoví zásadu, že čím závažnější je nebezpečí způsobené selháním systému nebo zařízení, tím menší je pravděpodobnost, že porucha bude. Katastrofální selhání musí být extrémně nepravděpodobné.[3]

Normy letové způsobilosti

The požadavky na letovou způsobilost pro přepravní kategorie letadla jsou obsažena v hlavě 14, Kodexu federálních předpisů (14 CFR), část 25 (běžně označovaná jako část 25 Federální letecké předpisy (DALEKO)). Výrobci letadel kategorie přepravy musí prokázat, že každý letoun, který vyrábějí, je daný typové provedení odpovídá příslušným normám části 25.

AC 25.1309–1 popisuje přijatelné prostředky k prokázání souladu s těmito požadavky letové způsobilosti. Uznává Aerospace Recommended Practices ARP4754 a ARP4761 (nebo jejich nástupce) jako takové prostředky:[4]

  • ARP4754 A, Pokyny pro vývoj civilních letadel a systémů, je vodítko od SAE International, zabývající se vývojovými procesy, které podporují osvědčení z Letadlové systémy. Tento ARP dále uznává integraci DO-297, DO-178, a DO-254 do pokynů pro vývoj a uznává ARP5150 / 5151 jako pokyny pro provoz a údržbu v provozu.
  • ARP4761, Pokyny a metody pro provádění procesu posuzování bezpečnosti civilních vzdušných systémů a zařízení

Pozadí

AC 25.1309–1 poskytuje pozadí důležitých konceptů a problémů při návrhu a analýze systému letounu.

Míra stavu katastrofické poruchy

Oběžník poskytuje zdůvodnění horní hranice pro průměrnou pravděpodobnost za letovou hodinu pro katastrofické poruchové podmínky 1 x 10−9 nebo „extrémně nepravděpodobné“.[5] Pravděpodobnější je, že dojde k poruchovým podmínkám, které mají méně závažné účinky; tj. inverzní vztah mezi závažností a pravděpodobností.

Koncepce designu bezpečného proti selhání

Tento AC představuje FAA Koncepce designu bezpečného proti selhání, který aplikuje základní cíle týkající se poruch:

  1. Pro jakýkoli daný let by se měly předpokládat poruchy jakéhokoli systému bez ohledu na pravděpodobnost a takové poruchy „by neměly bránit pokračování bezpečného letu a přistání“ nebo jinak významně snížit bezpečnost.
  2. Mělo by se také předpokládat následné selhání během stejného letu.

AC uvádí návrhové principy nebo techniky používané k zajištění bezpečného návrhu. K zajištění bezpečného návrhu je obvykle nutná kombinace alespoň dvou bezpečných návrhových technik; tj. zajistit, aby závažné poruchové podmínky byly vzdálené, nebezpečné poruchové podmínky byly extrémně vzdálené a katastrofické poruchové podmínky byly extrémně nepravděpodobné.

Zásady a techniky bezpečného návrhu
  • Navržená integrita a kvalita
  • Redundantní nebo záložní systémy
  • Izolace a / nebo oddělení systémů, komponent a prvků
  • Osvědčená spolehlivost
  • Varování nebo indikace poruchy
  • Postupy letové posádky
  • Ověřitelnost
  • Navržené limity účinku poruchy
  • Navržená cesta selhání
  • Okraje nebo faktory bezpečnosti
  • Tolerance chyb
Vysoce integrované systémy

Se vznikem vysoce integrované systémy kteří vykonávají složité a vzájemně související funkce, zejména prostřednictvím využívání elektronických technologií a softwarových technik [např. Integrovaná modulární avionika (IMA) ], vyvstaly obavy, které tradičně kvantitativní techniky návrhu a analýzy na funkční úrovni, které se dříve používaly u jednodušších systémů, již nebyly přiměřené. AC jako takový zahrnuje rozšířené metodické přístupy, kvalitativní i kvantitativní, které zohledňují integrace „celého letounu a jeho systémů“.[6]

Definice a klasifikace

Hlavním úkolem AC 25.1309–1 je poskytnout standardní definice pojmů (včetně klasifikace nebezpečí a pravděpodobnosti) pro konzistentní použití v celém rámci stanoveném pro dosažení funkční bezpečnosti letounu. Kde předpisy (FAR) a standardy (ARP) mohou používat takové výrazy jako poruchový stav, a extrémně nepravděpodobné„AC 25.1309–1 definuje jejich konkrétní významy.[7] V tomto ohledu je AC 25.1309–1 srovnatelný s Slovník ISO 26262–1, alespoň pokud jde o relativně závislé standardy. Klíčové definice zahrnují:

Chyba, Selhání, a Poruchové podmínky
Opětovné zavedení Chyba AC uznává roli lidské chyby (při vývoji, výrobě, provozu nebo údržbě) jako zdroje systémových selhání, zejména ve složité a integrované avionice. Termín Poruchové podmínky stanoví zaměření na účinky selhání odděleně od příčin.
Klasifikace poruchových stavů podle závažnosti účinku
Katastrofální, Nebezpečný, Hlavní, důležitý, Méně důležitýnebo Žádný bezpečnostní účinek
Katastrofická porucha je podmínka, „která by vedla k více smrtelným úrazům, obvykle se ztrátou letounu.[8]"
Definice pojmů pravděpodobnosti
Extrémně nepravděpodobné, Extrémně vzdálený, Dálkovýnebo Pravděpodobný
Extrémně nepravděpodobný poruchový stav je tak nepravděpodobný, že se neočekává, že k němu dojde po celou dobu životnosti všech letounů jednoho typu. Kvantitativně, tyto pojmy pravděpodobnosti jsou definovány následovně: Extrémně nepravděpodobné (10−9 nebo méně), extrémně vzdálený (10−7 nebo méně), Remote (10−5 nebo méně), pravděpodobné (více než 10−5).[9]

Bezpečnostní cíle

Klasifikovaným poruchovým podmínkám jsou přiřazeny kvalitativní a kvantitativní bezpečnostní cíle, které poskytují vodítko pro vývoj a provoz.

Kvantitativní

AC definuje přijatelnou úroveň bezpečnosti pro zařízení a systémy instalované v letounu a stanoví inverzní vztah mezi průměrnou pravděpodobností za letovou hodinu a závažností účinků poruchových stavů:

  1. Poruchové podmínky bez vlivu na bezpečnost nemají požadavek na pravděpodobnost.
  2. Může být pravděpodobné, že dojde k drobným poruchám.
  3. Podmínky zásadního selhání nesmí být častější než vzdálené.
  4. Podmínky nebezpečného selhání nesmí být častější než extrémně vzdálené.
  5. Podmínky katastrofické poruchy musí být extrémně nepravděpodobné.

Bezpečnostní cíle spojené s podmínkami katastrofické poruchy lze splnit prokázáním, že:

  1. Žádná jednotlivá porucha nebude mít za následek katastrofický stav poruchy; a
  2. Každá podmínka katastrofické poruchy je extrémně nepravděpodobná.
Kvalitativní

Podmínky selhání Katastrofální přes Žádný bezpečnostní účinek jsou přiřazeny funkční úrovně A, B, C, D, E.[10]

Dějiny

Poprvé vydáno v roce 1982, AC 25.1309–1 bylo revidováno tak, aby zahrnovalo rostoucí zkušenosti s vývojem letadel a řešilo rostoucí integraci a automatizaci funkcí letadel.

AC 25.1309–1 (původní vydání)

Kritičnost funkce

AC 25.1309–1 doporučil, aby analýza shora dolů identifikovala každou funkci systému a vyhodnotila její kritičnost, tj. Buď nepodstatnou, zásadní nebo kritickou. Byly definovány pojmy Chyba, Selhání a Poruchový stav. Funkce byly klasifikovány jako kritické, základní a nepodstatné podle závažnosti poruchových podmínek, ke kterým mohly přispět; podmínky však nebyly výslovně klasifikovány. Očekávalo se, že selhání kritických, základních a nepodstatných funkcí bude extrémně nepravděpodobné (10–9 nebo méně), nepravděpodobné (10–5 nebo méně) nebo o nic horší než Pravděpodobné (10–5).[11]

Kvalitativní metody

Dříve byla analýza bezpečnosti systému kvantitativní; to znamená, že to záviselo na vyhodnocení pravděpodobnosti selhání systému z důvodu fyzických poruch komponent. Ale s rostoucím využitím digitální avioniky (tj. Softwaru) bylo zjištěno, že chyba vývoje významně přispěla k selhání systému. Během certifikace systému na konci 70. let bylo jasné, že klasické statistické metody hodnocení bezpečnosti pro systémy založené na softwaru kriticky důležité pro let nebyly možné.[12] Existující kvantitativní metody nemohly předpovědět míru selhání systému vyplývající z chyb vývoje. Kvalitativní místo toho byly doporučeny metody pro snížení chyb specifikace, designu a implementace při vývoji digitální avioniky.

Pokyny k DO-178 (počáteční vydání) doporučil AC 25.1309–1 pro vývoj základních a kritických funkcí implementovaných v softwaru.[13]

AC 25,1309–1A

AC 25.1309–1A představil koncepci FAA Fail-Safe Design v tomto poradním oběžníku. [14] Tato revize rovněž zavedla doporučené principy nebo techniky návrhu, aby byla zajištěna bezpečná konstrukce.[15]

Klasifikace poruchových stavů podle závažnosti

Koncept kritičnosti funkce byl nahrazen klasifikací poruchových stavů podle závažnosti účinků (srov. Pravděpodobnostní posouzení rizik ). Podmínky selhání s katastrofickými, velkými nebo vedlejšími účinky měly mít omezenou pravděpodobnost extrémně nepravděpodobné (10–9 nebo méně), nepravděpodobné (10–5 nebo méně) nebo o nic horší než Pravděpodobné (10–5).[16]

Software byl stále považován za posuzovaný a kontrolovaný jinými prostředky; tj. prostřednictvím RTCA / DO-178A nebo pozdější revize prostřednictvím poradního oběžníku AC 20-115A.[17]

AC 25 1309–1B

V květnu 1996 měl Poradní výbor pro leteckou regulaci FAA (ARAC) za úkol přezkoumat harmonizované FAR / JAR 25.1309, AC 1309-1A a související dokumenty a zvážit revizi AC 1309-1A zahrnující nedávnou praxi, zvyšující složitou integraci mezi funkcemi letadel a systémy, které je implementují,[18] a důsledky nové technologie. Tento úkol byl zveřejněn ve federálním rejstříku na adrese 61 FR 26246-26247 (1996-05-24). Důraz byl kladen na posouzení bezpečnosti a kritické systémy odolné vůči chybám.

V roce 2002 poskytla FAA a Oznámení o navrhovaném předpisu (NPRM) týkající se 14 CFR část 25. K tomuto oznámení je přiložen Návrh Arsenalu AC 1309–1.[19] Stávající definice a pravidla v § 25.1309 a související normy způsobily při certifikaci letadel přepravní kategorie určité problémy. Uvedené problémy jsou podrobně diskutovány v rámci NPRM. FAA navrhla revize několika souvisejících norem s cílem tyto problémy odstranit a vyjasnit záměr těchto norem. V některých navrhovaných změnách byly v následném poradním oběžníku přijaty nebo revidovány definice nebo konvence vypracované v předpisech nebo normách nižší úrovně.

Upřesnění klasifikace poruchových podmínek

Zkušenosti s aplikací předchozích oběžníků a ARP byly svědky rozdělení Hlavní, důležitý poruchový stav do dvou podmínek (například Nebezpečný-závažný / Hlavní a Hlavní).[20] Tato zkušenost navíc rozpoznala existenci poruchových podmínek, které mají žádný vliv na bezpečnost, které by mohly být takto klasifikovány, a tedy jim nebyly přiřazeny žádné bezpečnostní cíle. Katastrofický poruchový stav byl dříve definován jako „jakýkoli poruchový stav, který by zabránil pokračování bezpečného letu a přistání“; ale nyní je definována jako „Poruchové podmínky, které by vedly k více smrtelným úrazům, obvykle se ztrátou letounu.[8]"

Rozšíření kvalitativních kontrol na funkce letadel

Koncept FAA Fail-Safe Design a principy designu nebo techniky pro bezpečný design jsou zachovány. Kvůli rostoucímu vývoji vysoce integrovaných systémů v letadle se však kvalitativní kontroly dříve považované za nezbytné pro bezpečný vývoj softwaru rozšířily na úroveň funkcí letadla.[6] (Podobné pokyny (Rámec funkční bezpečnosti ) byla poskytnuta pro vysoce integrované automobilové systémy prostřednictvím vydání z roku 2011 ISO 26262.[21])

Viz také

Reference

  1. ^ Spitzer, Cary R., ed, Příručka digitální avioniky, 2. vyd., Avionika, vývoj a implementace, CRC Press, Boca Raton, FL. 2007, s. 7-9.
  2. ^ AC 25-19A Archivováno 2014-04-13 na Wayback Machine, Požadavky na údržbu certifikace, 2011, s. 2
  3. ^ „Softwarová certifikace“. Letectví dnes. 31. října 2005. Citováno 2014-03-31.
  4. ^ Spitzer, str. 7-9
  5. ^ AC 25.1309–1B Arsenal Draft (Archivováno 2014-04-13 na Wayback Machine ), 2002, s. 5-6.
  6. ^ A b AC 25.1309–1B – návrh Arsenalu, s. 1 7.
  7. ^ AC 25.1309–1B – návrh Arsenalu, s. 1 3.
  8. ^ A b AC 25.1309–1B – návrh Arsenalu, s. 1 8.
  9. ^ AC 25.1309–1B – Arsenal Draft, s. 1 9.
  10. ^ ARP4754A, Pokyny pro vývoj civilních letadel a systémů, SAE Aerospace, Prosinec 2010, s. 38
  11. ^ AC 25.1309–1, 1982, s. 3-5.
  12. ^ Johnson, Leslie A. (Schad). DO-178B, „Informace o softwaru ve vzduchu. Seattle, Washington: Flight Systems, Boeing Commercial Airplane Group.
  13. ^ AC 25.1309–1, s. 1 9.
  14. ^ AC 25,1309–1A, 1988, s. 2.
  15. ^ AC 25,1309–1A, str. 3.
  16. ^ AC 25,1309–1A, str. 4,5,7, 13-15.
  17. ^ AC 25,1309–1A, str. 7.
  18. ^ ARP4754A, str. 7
  19. ^ Revidované obecné funkční a instalační požadavky na vybavení, systémy a zařízení v letadlech přepravní kategorie, oznámení o navrhovaných předpisech, návrh R6X fáze 1 - červen 2002, známý také jako Návrh Arsenalu AC 25.1309-1B Archivováno 2014-04-13 na Wayback Machine
  20. ^ RTCA /DO-178B (následně DO-178C, Úvahy o softwaru při certifikaci vzdušných systémů a zařízení, Radiotechnická komise pro letectví, 1. prosince 1992, s. 7
  21. ^ Beeby, Martin, DO-178C budoucnost certifikace Avionics, atego HighRely, str. 6–7