Avaliação de Segurança – AC 25.1309

Após a leitura do terceiro post sobre a AC 25.1309-1A, Voltamos aqui, apresentando a maneira de alocar requisitos de segurança para as funções nível sistema, que isoladas ou associadas a outras conduzem às funções nível aeronave. A quarta e última parte dessa introdução ao Safety Assessment.

Dissemos que a FTA é uma boa ferramenta para realizar essa alocação. Entretanto, é necessário deixar claro que existem outras ferramentas que podem ser utilizadas com o mesmo objetivo. No entanto, a FTA é, disparadamente, a preferida pelos analistas de segurança.

A FTA utilizada na FHA nível aeronave é dita preliminar porque, mais adiante, na FHA nível sistemas, as condições de falha e os requisitos estabelecidos nível aeronave serão confirmados e/ou atualizados.

Vamos utilizar uma função nível aeronave tratada na AC 25.1309-1A, qual seja, a função “Apresentar a informação de atitude, em rolagem (roll) e arfagem (pitch)”.

A pior condição de falha para essa função é “Perda total da informação de atitude, em rolagem e arfagem”. Trata-se de uma condição catastrófica, para todas as fases do voo.

A utilização da FTA para uma análise de SA (Safety Assessment)

A FTA teria a seguinte estrutura:

FTA 25.1309

Onde o evento “Perda da Aeronave” é o chamado Evento de Topo (ET) da FTA. A porta “AND”, da Álgebra de Boole, é utilizada para expressar que é necessário que ocorra a perda de ambos os meios de indicação de atitude para que ocorra o ET.

Numa configuração de Diagrama de Blocos de Confiabilidade (DBC), o esquema seria como o de uma configuração paralela, conforme figura abaixo.

msc_safetyFTA2 25.1309

Ou seja, para que ocorra o ET (Perda da Aeronave), é necessário que ocorram as duas condições de falha.

No caso de um evento catastrófico, o requisito estabelece que a taxa de ocorrência deve ser menor que 1.10-9 por hora de voo. Supondo que o tempo médio de voo seja de 6 horas, temos uma Falibilidade permitida λt < $6\cdot 10^{-9}$ , por voo.

Tendo em conta que numa porta “AND” as probabilidades dos eventos de entrada se multiplicam, poderíamos estabelecer, por exemplo, para o sistema fornecedor do meio primário de indicação de atitude o requisito de probabilidade “menor que $3\cdot 10^{-6}$ ”, resultando um requisito de “menor que 2.10-3”, para o sistema fornecedor do meio secundário, porque “ $3\cdot 10^{-6}\cdot 2\cdot 10^{-3} = 6\cdot 10^{-9}$ ”.

Não é difícil obter a faixa “menor que $3\cdot 10^{-6}$ ”, usando uma plataforma estabilizada por giroscópios a laser, por exemplo. Mas a escolha dessas faixas de probabilidades para os sistemas é, sem dúvida, fortemente influenciada pela experiência dos projetistas.

Esse procedimento é repetido para todas as condições de falhas funcionais catastróficas ou maiores severa, nível aeronave.

Feita a análise funcional nível aeronave, passa-se para a análise funcional nível sistemas, que, enfim, serão responsáveis pela função nível aeronave. Trata-se do próximo passo da SA (Safety Assessment).

Uma FHA nível Sistema

A partir dos requisitos de segurança estabelecidos para os sistemas responsáveis pela função em análise, os projetistas deverão obter uma arquitetura para os mesmos, tal que a probabilidade de cada um, como um todo, fique dentro desses requisitos.

Observe que, com esse procedimento, os projetistas começam a configurar os sistemas, de acordo com os requisitos de segurança da Autoridade de Certificação.

Prosseguindo no exemplo, podemos então considerar que temos dois sistemas: um sistema principal (primário) de indicação de atitude e um sistema alternativo (secundário).

O sistema principal pode ser aquele fornecido num display principal de voo (Prymary Flight Display) e seu associado sensor giroscópico remoto, e o sistema secundário ou alternativo pode ser um giro horizonte instalado diretamente no painel da aeronave.

Avaliação Preliminar de Segurança de Sistema (Preliminary System Safety Assessment – PSSA)

Os resultados da FHA nível sistemas são os inputs para a PSSA. Contudo, a decisão de levar a efeito uma PSSA depende da arquitetura do projeto, de sua complexidade, além de outras considerações. No presente caso, os sistemas são simples. A arquitetura de cada um poderia ser como apresentado na figura abaixo.

msc_safetyFTA3 25.1309

Os equipamentos disponíveis para constituírem os sistemas são provavelmente Off-the-Shelf, isto é, disponíveis no mercado e com taxas de falha especificadas.

Considerações Finais

Chegamos até a PSSA (Preliminary System Safety Analysis). Mas encaminhamos, propositadamente, a análise para sistemas simples. Por assim ser, procura-se, neste espaço, dar apenas uma ideia ao leitor, ou seja, familiarizá-lo com o assunto tratado, tentando incentivá-lo a se aprofundar na matéria, por meio de consulta às referências assinaladas, nas quais encontrará também outras referências. É um estudo continuado.

Ortodoxamente, deveríamos passar de uma PSSA para uma SSA e ainda realizar outras análises, mas, conforme as circunstâncias apresentadas, vamos encerrar o assunto, considerando a arquitetura proposta para os sistemas primário e secundário de atitude.

Vamos levar em conta apenas o sistema primário de indicação de atitude. O secundário tem análise semelhante, mas com números diferentes.

A alimentação elétrica é geral, isto é, ela é dedicada a todos os sistemas da aeronave que necessitam de tal alimentação, sendo suas condições de falha um modo comum de falha, ou seja, entra em todos os sistemas que requeiram alimentação elétrica.

Desse modo, ficamos então apenas com o sistema dedicado à função em análise.

Assim, a configuração que nos interessa é a apresentada na figura a seguir.

msc_safetyFTA4 25.1309

Precisamos considerar que estamos usando a função de distribuição exponencial negativa. Já dissemos que quando adotamos tal função, para nosso sistema, significa que o mesmo se comporta sempre como novo, isto é, todas as vezes que for ligado, tudo se passa como se fosse ligado pela primeira vez (pelo menos enquanto a taxa de falha for aproximadamente constante). É a chamada Propriedade do Esquecimento ou da Perda de Memória. No presente caso, isso é muito próximo da realidade, considerando que o sistema que estamos analisando é preponderantemente eletrônico.

Sendo assim, enquanto o sistema estiver no patamar da taxa de falha constante, sempre teremos a seguinte probabilidade de falha para o voo médio de 6 horas: 6.λ, para λt<0,1. Para a plataforma estabilizada, teríamos 6.λ< $3\cdot 10^{-6}$ . Segue que:

$\lambda < \frac{3\cdot 10^{-6}}{6}$ = $5\cdot 10^{-7}$

O raciocínio seria semelhante para o PFD. O analista, no entanto, está livre para manusear essas taxas de falha, de acordo com as conveniências do projeto, sempre tendo em mente os valores de probabilidades estabelecidos como requisitos no nascedouro da SA (Safety Assessment), ou seja, na FHA nível aeronave.

Conclusão

Para finalizar, gostaríamos de tratar um pouco das chamadas condições de falha Maior.

De acordo com a AC 25.1309-1A, a condição de falha Maior deve ser improvável. Isso significa que a taxa de ocorrência de falha deve estar no intervalo entre $1\cdot 10^{-7}$ e $1\cdot 10^{-5}$ .

Como já dissemos, em geral os equipamentos que constituem o sistema em análise têm uma taxa de falha definida, ficando fácil então verificar se a arquitetura do sistema de que fazem parte atende aos requisitos de segurança. Por uma questão de mais segurança, pode-se solicitar do fabricante relatórios de testes e/ou de análises que levaram à taxa apresentada. Em termos de análise, pode-se solicitar a FMEA (Failure Mode, and Effects Analysis) feita para o equipamento.

A similaridade com instalações em outras aeronaves certificadas também é uma demonstração considerada satisfatória pela Autoridade.

Voltaremos com novos assuntos de interesse dos que participam do mundo da aeronavegabilidade dentro da engenharia aeronáutica.

Fique ligado no próximo post!

Referências:

(1) O’CONNOR, P.D.T. Practical Reliability Engineering. John Wiley & Sons, Inc., New York, 1991.
(2) SAE: ARP 4761, Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment, EUA, 01/12/1996.
(3) FAA: AC 25.1309-1A, System Design and Analysis, EUA, 21/06/1988.
(4) FAA: CFR 14 Part 25 § 1309, Equipment, Systems, and Installations, Amendment 25- 123, EUA, 8/11/2007.
(5) FAA: AC 23.1309-1E, System Safety Analysis and Assessment for Part 23 Airplanes, EUA, 17/11/2011.

Berquó, Jolan Eduardo – Eng. Eletrônico (ITA)·.
Certificador de Produto Aeroespacial (DCTA/IFI)
Representante Governamental da Garantia da Qualidade – RGQ (DCTA/IFI)