ARP4761

Рекомендуемая практика для аэрокосмической отрасли от SAE International

ARP4761, Руководство по проведению процесса оценки безопасности гражданских воздушных судов, систем и оборудования, является рекомендуемой практикой для аэрокосмической отрасли от SAE International . ^[1] В сочетании с ARP4754 , ARP4761 используется для демонстрации соответствия 14 CFR 25.1309 в правилах летной годности Федерального управления гражданской авиации США (FAA) для воздушных судов транспортной категории , а также согласованным международным правилам летной годности, таким как Европейское агентство по безопасности полетов (EASA) CS–25.1309.

Эта рекомендуемая практика определяет процесс использования общих методов моделирования для оценки безопасности собираемой системы. Первые 30 страниц документа охватывают этот процесс. Следующие 140 страниц дают обзор методов моделирования и того, как их следует применять. Последние 160 страниц дают пример процесса в действии.

Некоторые из рассмотренных методов:

• Оценка функциональной опасности (FHA)
• Предварительная оценка безопасности системы (PSSA)
• Оценка безопасности системы (SSA)
• Анализ дерева неисправностей (FTA)
• Анализ видов и последствий отказов (FMEA)
• Краткое описание видов и последствий отказов (FMES)
• Анализ общих причин (CCA), состоящий из:
  • Зональный анализ безопасности (ZSA)
  • Анализ частных рисков (PRA)
  • Анализ синфазного сигнала (CMA)

Жизненный цикл безопасности

Общий поток жизненного цикла безопасности согласно ARP4761 выглядит следующим образом:

1. Выполнять FHA на уровне самолета параллельно с разработкой требований к уровню самолета.
2. Выполнять FHA на системном уровне параллельно с распределением функций воздушного судна по системным функциям и инициировать CCA.
3. Проводите PSSA параллельно с разработкой архитектуры системы и обновляйте CCA.
4. Повторяйте CCA и PSSA по мере распределения системы на аппаратные и программные компоненты.
5. Проводите SSA параллельно с внедрением системы и завершайте CCA.
6. Включите результаты в процесс сертификации.

Процесс функциональной безопасности сосредоточен на выявлении условий функционального отказа, приводящих к опасностям. Анализы/оценки функциональных опасностей играют центральную роль в определении опасностей. FHA выполняется на ранних этапах проектирования самолета, сначала как анализ функциональных опасностей самолета (AFHA), а затем как анализ функциональных опасностей системы (SFHA). Используя качественную оценку, функции самолета и впоследствии функции систем самолета систематически анализируются на предмет состояний отказа, и каждому состоянию отказа присваивается классификация опасности. Классификации опасностей тесно связаны с уровнями обеспечения разработки (DAL) и согласованы между ARP4761 и соответствующими документами по безопасности полетов, такими как ARP4754A, 14 CFR 25.1309 и стандартами Радиотехнической комиссии по аэронавтике (RTCA) DO-254 и DO-178B .

Результаты FHA обычно отображаются в виде электронной таблицы, в которой столбцы идентифицируют функцию, состояние отказа, фазу полета, эффект, классификацию опасности, DAL, средства обнаружения, реакцию экипажа и связанную информацию. Каждой опасности присваивается уникальный идентификатор, который отслеживается на протяжении всего жизненного цикла безопасности. Один из подходов заключается в идентификации систем по их системным кодам ATA, а соответствующих опасностей — по производным идентификаторам. Например, система реверса тяги может быть идентифицирована по ее коду ATA 78-30. Несвоевременное развертывание реверса тяги будет представлять собой опасность, которой может быть присвоен идентификатор на основе кода ATA 78-30.

Результаты FHA координируются с процессом проектирования системы, поскольку функции самолета распределяются по системам самолета. FHA также вносит вклад в PSSA, который готовится во время разработки архитектуры системы.

PSSA может содержать качественный FTA, который может использоваться для определения систем, требующих избыточности, чтобы катастрофические события не возникали в результате одного отказа (или двойного отказа, если один из них является скрытым). Дерево отказов готовится для каждой опасности SFHA, оцененной как опасная или катастрофическая. Деревья отказов могут быть выполнены для основных опасностей, если это оправдано. DAL и особые требования к проектированию безопасности налагаются на подсистемы. Требования к проектированию безопасности фиксируются и отслеживаются. Они могут включать в себя превентивные или смягчающие стратегии, выбранные для определенных подсистем. PSSA и CCA генерируют требования разделения для выявления и устранения отказов общего режима. Бюджеты интенсивности отказов подсистем назначаются, чтобы можно было соблюдать пределы вероятности опасности.

CCA состоит из трех отдельных типов анализов, которые предназначены для выявления опасностей, не вызванных отказом конкретного компонента подсистемы. CCA может быть множеством отдельных документов, может быть одним документом CCA или может быть включен в качестве разделов в документ SSA. Анализ частного риска (PRA) ищет внешние события, которые могут создать опасность, такую ​​как столкновение с птицами или взрыв турбины двигателя. Анализ зональной безопасности (ZSA) рассматривает каждый отсек самолета и ищет опасности, которые могут повлиять на каждый компонент в этом отсеке, такие как потеря охлаждающего воздуха или разрыв жидкостной линии. Анализ общего режима (CMA) рассматривает избыточные критические компоненты, чтобы найти режимы отказа, которые могут привести к отказу всех компонентов примерно в одно и то же время. Программное обеспечение всегда включается в этот анализ, а также поиск производственных ошибок или компонентов «некачественной партии». Здесь будет рассмотрен такой отказ, как плохой резистор во всех компьютерах управления полетом. Смягчение последствий для обнаружений CMA часто осуществляется компонентами DO-254 или DO-178B.

SSA включает количественный FMEA, который суммируется в FMES. Обычно вероятности FMES используются в количественном FTA для демонстрации того, что пределы вероятности опасности фактически соблюдаются. Анализ сечений деревьев неисправностей показывает, что ни одно условие отказа не приведет к опасному или катастрофическому событию. SSA может включать результаты всех анализов безопасности и быть одним документом или может быть несколькими документами. FTA — это только один метод выполнения SSA. Другие методы включают диаграмму зависимости или блок-схему надежности и марковский анализ .

PSSA и CCA часто приводят к рекомендациям или требованиям к проектированию для улучшения системы. SSA суммирует остаточные риски, остающиеся в системе, и должен показать, что все опасности соответствуют показателям отказов 1309.

Результаты анализа ARP4761 также используются при выборе сообщений системы оповещения экипажа (CAS) и разработке критически важных задач по техническому обслуживанию в соответствии с ATA MSG3.

Будущие изменения

В 2004 году Комитет по стандартизации SAE S-18 начал работу над редакцией A к ARP4761. После ее выпуска EUROCAE планирует совместно выпустить документ под названием ED–135.

Смотрите также

• ARP4754
• ДО-254
• ДО-178Б
• Техника безопасности
• авионика

Ссылки

1. S–18 (1996). Руководящие принципы и методы проведения оценки безопасности гражданских бортовых систем и оборудования. SAE International . ARP4761.{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка ) CS1 maint: числовые имена: список авторов ( ссылка )