АС 25.1309-1

Системное проектирование и анализ

Публикация ФАУ
Аббревиатура	АС 25.1309–1
Год начался	1982
Последняя версия	Арсенал Драфт 2002  ( 2002 )
Организация	Федеральное управление гражданской авиации AFS-800
Домен	Авиационная безопасность

AC 25.1309–1 — это консультативный циркуляр ФАУ (AC) (тема: проектирование и анализ системы ), в котором определяются приемлемые средства демонстрации соответствия требованиям летной годности § 25.1309 Федеральных авиационных правил . Версия A была выпущена в 1988 году. В 2002 году была проделана работа над версией B, но официально она не была выпущена; Результатом стала редакция B , рекомендованная Консультативным комитетом по нормотворчеству – проект Арсенала (2002 г.). Драфт «Арсенала» «считается относительно зрелым». ^[1] Впоследствии ФАУ и EASA приняли предложения соискателей сертификата типа использовать проект Арсенала в программах разработки. ^{[1] [2]}

AC 25.1309-1 устанавливает принцип, согласно которому чем более серьезна опасность, возникающая в результате отказа системы или оборудования, тем менее вероятен этот отказ. Катастрофические отказы должны быть крайне маловероятными. ^[3]

Требования летной годности к самолетов транспортной категории содержатся в Разделе 14 Свода федеральных правил (14 CFR), часть 25 (обычно называемого частью 25 Федеральных авиационных правил (FAR)). Производители самолетов транспортной категории должны продемонстрировать, что каждый производимый ими самолет данной типовой конструкции соответствует соответствующим стандартам части 25.

AC 25.1309-1 описывает приемлемые средства демонстрации соответствия этим требованиям летной годности. Он признает Рекомендуемые практики для аэрокосмической отрасли ARP4754 и ARP4761 (или их преемников) в качестве таких средств: ^[4]

• ARP4754 A, «Руководство по разработке гражданских самолетов и систем» , представляет собой руководство SAE International , касающееся процессов разработки, которые поддерживают сертификацию авиационных систем . Этот ARP также признает интеграцию DO-297 , DO-178 и DO-254 в рекомендации по разработке и признает ARP5150/5151 как рекомендации по эксплуатации и техническому обслуживанию в процессе эксплуатации.
• ARP4761 , Руководящие принципы и методы проведения процесса оценки безопасности гражданских бортовых систем и оборудования

AC 25.1309–1 предоставляет основу для важных концепций и вопросов проектирования и анализа систем самолета.

Частота катастрофических отказов

В циркуляре приводится обоснование верхнего предела средней вероятности на час полета для условий катастрофического отказа, равного 1 x 10. ⁻⁹ или «крайне невероятно». ^[5] Условия отказа, приводящие к относительно более серьезным последствиям, должны иметь относительно меньшую вероятность возникновения; то есть обратная зависимость между серьезностью и вероятностью должна быть целью обеспечения безопасности при проектировании авиационной системы .

Концепция отказоустойчивого дизайна

В этом AC представлена ​​концепция отказоустойчивого проектирования ФАУ , в которой применяются основные цели, относящиеся к отказам:

1. Отказы любой системы следует предполагать для любого конкретного полета независимо от вероятности, и такие отказы «не должны препятствовать продолжению безопасного полета и приземления» или иным образом существенно снижать безопасность.
2. Следует также предположить последующий отказ во время того же полета.

В AC перечислены принципы и методы проектирования, используемые для обеспечения безопасности конструкции. Обычно для обеспечения отказоустойчивой конструкции необходима комбинация как минимум двух методов безопасного проектирования; т.е. гарантировать, что условия серьезного отказа являются отдаленными, условия опасного отказа - чрезвычайно отдаленными, а условия катастрофического отказа - крайне маловероятными.

Высокоинтегрированные системы

С появлением высокоинтегрированных систем , выполняющих сложные и взаимосвязанные функции, особенно за счет использования электронных технологий и методов, основанных на программном обеспечении (например, интегрированная модульная авионика (IMA) ), возникли опасения, что традиционно используемые ранее количественные методы проектирования и анализа на функциональном уровне применяемые к более простым системам, уже не являются адекватными. Таким образом, AC включает в себя расширенные методические подходы, как качественные, так и количественные, которые учитывают интеграцию «всего самолета и его систем». ^[6]

Основная задача AC 25.1309-1 – предоставить стандартные определения терминов (включая классификацию опасностей и вероятностей) для последовательного использования во всей системе, созданной для обеспечения функциональной безопасности самолетов. Там, где правила (FAR) и стандарты (ARP) могут использовать такие термины, как «состояние отказа» и «чрезвычайно маловероятное» , AC 25.1309–1 определяет их конкретные значения. ^[7] В этом отношении AC 25.1309-1 сопоставим со словарем ISO 26262-1 , по крайней мере, в отношении относительных зависимых стандартов. Ключевые определения включают в себя:

Ошибка , сбой и условия сбоя

Повторное введение ошибки в ВС признает роль человеческой ошибки (при разработке, производстве, эксплуатации или обслуживании) как источника сбоев систем, особенно в сложной и интегрированной авионике. Термин «условия отказа» предусматривает сосредоточение внимания на последствиях отказа отдельно от причин.

Классификация отказов по тяжести последствий

Катастрофическое , опасное , серьезное , незначительное воздействие или отсутствие воздействия на безопасность.

Катастрофическим отказом называется состояние, «которое может привести к многочисленным жертвам, обычно с потерей самолета. ^[8] "

Определение терминов вероятности

Крайне невероятно , крайне отдаленно , отдаленно или вероятно.

Крайне маловероятный отказ – это настолько маловероятный отказ, что его возникновение не ожидается в течение всего срока эксплуатации всех самолетов одного типа. Количественно эти вероятностные термины определяются следующим образом: Крайне маловероятно (10 ⁻⁹ или меньше), Чрезвычайно удаленный (10 ⁻⁷ или меньше), Удаленный (10 ⁻⁵ или меньше), Вероятный (более 10 ⁻⁵ ). ^[9]

Классифицированным состояниям отказов присваиваются качественные и количественные цели безопасности, дающие рекомендации по разработке и эксплуатации.

Количественные цели безопасности

AC определяет приемлемый уровень безопасности для оборудования и систем, установленных на самолете, и устанавливает обратную зависимость между средней вероятностью на час полета и серьезностью последствий отказных условий:

1. Условия отказа, не влияющие на безопасность, не имеют требований по вероятности.
2. Могут быть вероятными условия незначительного отказа.
3. Условия серьезного отказа не должны встречаться чаще, чем удаленные.
4. Условия опасного отказа не должны встречаться чаще, чем «чрезвычайно удаленные».
5. Условия катастрофического отказа должны быть крайне маловероятными.

Цели безопасности, связанные с условиями катастрофического отказа, могут быть достигнуты путем демонстрации того, что:

1. Ни один отдельный отказ не приведет к состоянию катастрофического отказа; и
2. Каждое катастрофическое состояние крайне маловероятно.

Качественные цели безопасности

Условиям отказа от катастрофического до отсутствия влияния на безопасность присваиваются функциональные уровни и уровни безопасности проектирования (DAL) A, B, C, D, E соответственно, с учетом того, что в системах с более серьезными последствиями отказов допуск к необнаруженным ошибкам проектирования меньше. . ^[10] Таким образом, разработка систем и компонентов, способствующих более серьезным последствиям, подлежит все более строгим гарантиям эффективного предотвращения, обнаружения и устранения конструктивных ошибок, причем DAL A представляет собой наиболее тщательную строгость гарантий. ^[11]

Стандарт AC 25.1309–1, впервые выпущенный в 1982 году, был пересмотрен с учетом растущего опыта разработки самолетов и учета растущей интеграции и компьютеризации функций самолетов.

AC 25.1309-1 рекомендовал, чтобы нисходящий анализ идентифицировал каждую функцию системы и оценивал ее критичность, т. е. несущественную, существенную или критическую. Были определены термины «Ошибка», «Отказ» и «Условие отказа». Функции были классифицированы как критические, существенные и второстепенные в зависимости от серьезности условий отказа, которым они могли способствовать; но условия не были четко классифицированы. Ожидалось, что отказы критических, существенных и второстепенных функций будут соответственно крайне маловероятными (10 ^–9 или меньше), Невероятно (10 ^–5 или меньше), или не хуже Вероятного (10 ^–5 ). ^[12]

Раньше анализ безопасности системы был количественным; то есть это зависело от оценки вероятности сбоев системы из-за физических неисправностей компонентов. Но с увеличением использования цифровой авионики (т.е. программного обеспечения) было признано, что ошибка разработки является существенной причиной сбоя системы. Во время сертификации систем в конце 1970-х годов стало ясно, что классические статистические методы оценки безопасности критически важных для полета программных систем невозможны. ^[13] Существующие количественные методы не могли предсказать интенсивность отказов системы, вызванных ошибками разработки. Вместо этого были рекомендованы качественные методы для уменьшения ошибок в спецификациях, проектировании и реализации при разработке цифровой авионики.

Руководство DO-178 (первоначальная версия) было рекомендовано AC 25.1309–1 для разработки основных и критических функций, реализованных в программном обеспечении. ^[14]

AC 25.1309–1A представил концепцию отказоустойчивого проектирования ФАУ в этом консультативном циркуляре. ^[15] В этом пересмотре также представлены рекомендуемые принципы или методы проектирования, обеспечивающие безопасность проектирования. ^[16]

Понятие критичности функции было заменено классификацией отказов по тяжести последствий (см. Вероятностная оценка риска ). Условия отказа, имеющие катастрофические, серьезные или незначительные последствия, должны были иметь ограниченную вероятность, соответственно, крайне невероятную (10). ^–9 или меньше), Невероятно (10 ^–5 или меньше), или не хуже Вероятного (10 ^–5 ). ^[17]

Программное обеспечение по-прежнему считалось оцениваемым и контролируемым другими способами; то есть согласно RTCA/DO-178A или более поздней редакции, посредством консультативного циркуляра AC 20-115A . ^[18]

Примечание. Версия B не была выпущена. В этом разделе обсуждается Арсенальный проект редакции B.

В мае 1996 года Консультативному комитету ФАУ по разработке авиационных правил (ARAC) было поручено проанализировать гармонизированные FAR/JAR 25.1309, AC 1309-1A и соответствующие документы, а также рассмотреть возможность пересмотра AC 1309-1A с учетом недавней практики, увеличивая сложность интеграции. между функциями самолета и системами, которые их реализуют, ^[19] и последствия новых технологий. Эта задача была опубликована в Федеральном реестре под номером 61 FR 26246-26247 (24 мая 1996 г.). Основное внимание должно было быть уделено оценке безопасности и отказоустойчивости критически важных систем.

В 2002 году ФАУ предоставило Уведомление о предлагаемых нормах (NPRM), соответствующее части 25 раздела 14 CFR. К этому уведомлению прилагается Арсенала . проект AC 1309–1 ^[20] Существующие определения и правила в § 25.1309 и связанных с ним стандартах создают определенные проблемы при сертификации самолетов транспортной категории. Указанные проблемы подробно обсуждаются в рамках НПРМ. ФАУ предложило внести изменения в несколько соответствующих стандартов, чтобы устранить такие проблемы и прояснить цель этих стандартов. В некоторых предложенных изменениях определения или соглашения, разработанные в правилах или стандартах более низкого уровня, были приняты или пересмотрены в последующем консультативном циркуляре.

Компания Boeing сослалась на рекомендации проекта «Арсенал» в своей программе сертификации типа 787 Dreamliner на 2004–2009 годы . ^[21]

Опыт применения предыдущих циркуляров и ARP показал разделение состояния серьезного отказа на два состояния (например, опасный-серьезный/серьезный и серьезный). ^[22] Кроме того, в ходе этого опыта было признано существование условий отказа, которые не оказывают влияния на безопасность , и которые можно было бы классифицировать таким образом и, таким образом, не ставить перед собой никаких целей безопасности. Состояние катастрофического отказа ранее определялось как «любое состояние отказа, которое может помешать продолжению безопасного полета и посадки»; но теперь определяется как «Состояния отказа, которые могут привести к многочисленным жертвам, обычно с потерей самолета». ^[8] "

Концепция отказоустойчивого проектирования ФАУ, а также принципы и методы безопасного проектирования сохраняются. Однако из-за растущего развития высокоинтегрированных систем в самолетах качественный контроль, ранее считавшийся необходимым для безопасной разработки программного обеспечения, распространяется на функциональный уровень самолета. ^[6] (Аналогичное руководство ( структура функциональной безопасности ) было предоставлено для высокоинтегрированных автомобильных систем в выпуске ISO 26262 2011 года . ^[23] )

• ARP4754
• ARP4761
• ДО-178С
• ДО-254
• ИСО 26262
• Анализ опасностей
• Функциональная безопасность
• Техника безопасности
• авионика