Módulo 5. Capítulo 13

Módulo 5. Técnicas digitales. Sistemas de instrumentos electrónicos.

5.13 APROBACIÓN Y CONTROL DEL SOFTWARE

INTRODUCCIÓN

El software embarcado a bordo de una aeronave es algo que no se puede ver o que no se puede tocar, pero que debe ser tratado con el mismo cuidado y consideración que cualquier parte de la aeronave.

Es importante señalar que al hablar del software nos estamos refiriendo tanto al código que es ejecutado por los computadores en el que están instalados, como a los propios datos que estos programas deben utilizar para su correcto funcionamiento. El término también se refiere a los sistemas operativos que están embebidos en los computadores embarcados, y permiten su funcionamiento y el interfaz con el resto de equipos.

Las consecuencias de un fallo de un programa Software pueden variar desde efectos insignificantes, que no afectan a las prestaciones de la aeronave y sus sistemas, o al confort de sus pasajeros, hasta consecuencias que pueden ser catastróficas por originar fallos en sistemas críticos para operación segura de la aeronave. Por ello es muy importante entender la importancia que tiene aplicar unos procedimientos de verificación y validación del software que puedan garantizar que no existe riesgo de que se produzcan condiciones de fallo peligrosas o catastróficas.

APROBACIÓN DEL SOFTWARE

Certificación de Tipo (TC/STC):

La aprobación del diseño de una aeronave y sus sistemas embarcados, se realiza mediante la emisión de un certificado de tipo (TC) que se otorga al titular del diseño. Las modificaciones que se realizan en las aeronaves y sus sistemas, cuando son realizados por empresas que no son las titulares del certificado de tipo original, se realiza mediante un certificado de tipo suplementario (STC). Durante ambos procesos el titular del certificado es responsable demostrar un plan los requisitos de seguridad establecidos en el codo de certificación aplicable, según el tipo de aeronave. Por ejemplo para aviones de transporte son el FAR 25 en los Estados Unidos y CS‐25 en la Comunidad Europea (CE).

La aprobación del software embarcado a bordo de una aeronave es por tanto una parte del proceso de certificación de una aeronave y sus sistemas, cuyo objetivo es demostrar que se cumplen con los requisitos de seguridad mínimos establecidos en el correspondiente código de aeronavegabilidad.

La criticidad (“Criticality”) de las funciones que son realizadas por un paquete de software depende de la severidad de las consecuencias de sus fallos. Para el DO‐178B / ED‐12B el rango de estos niveles varía desde el nivel A hasta el Nivel E, que corresponde a que se pueda clasificar la severidad de los posibles fallos como catastróficos o sin efectos (Figura 5.13.2).

Calificación de equipos (Sistema TSO):

Cuando un equipo o componente de una aeronave se quiere desarrollar bajo los estándares técnicos prescritos y aprobados mediante una Orden de Especificación Técnica (TSO), también se deben aplicar procedimientos para la verificación y validación del software de acuerdo con un estándar aceptable por

Página 1


la autoridad de aviación competente (EASA, FAA). Las TSO aplicables a todos los equipos de aviónica que requieren aprobación por parte de la autoridad se encuentran especificados en la CS‐ETSO publicada por la EASA. En todas las especificaciones de TSO se establece al documento DO‐178B/ED‐12B como estándar aceptable para realizar validación y verificación del software embarcado y así obtener la certificación/aprobación del equipo o componente.

La aprobación de un equipo, incluyendo su hardware y software, mediante una TSO, no significa la aprobación de su instalación en una aeronave, pero facilita significativamente este proceso. La responsabilidad de la aprobación mediante una TSO es del fabricante original del equipo (OEM), mientras que la aprobación de la instalación de su equipo responsabilidad del titular del certificado de tipo (TC), o del titular de un STC.

¿Como se puede obtener la aprobación de un paquete de software? a.‐ Como parte del proceso de aprobación del diseño del aeronave (TC) b.‐ Como parte de la aprobación de un equipo de la autorización TSO c.‐ Mediante cualquiera de las dos opciones señaladas anteriormente d.‐ No se necesita aprobación

¿Qué es un/una TSO? a.‐ Una especificación de orden de trabajo b.‐ Una orden de especificación técnica para el equipo aprobado c.‐ Un sistema operativo d.‐ Un certificado tipo

Proceso de verificación de la Seguridad de un Sistema:

Como vemos en la figura 5.13.1 el proceso de la verificación de la seguridad de un sistema empieza en las decisiones de diseño a nivel de aeronave, como parte de de una estrategia global para garantizar la seguridad de la aeronave durante su operación en vuelo. Este proceso se lleva a cabo de acuerdo con el material guía publicado por las autoridades de certificación y procedimiento recomendados por industria (AMC 25.1309 Y SAE ARP 4761.)

¿Cual es el párrafo de referencia en los códigos de certificación de un avión de transporte que sirve para establecer la clasificación de software? a.‐ 25.1301 b.‐ 25.1309 c.‐ 25.1431 d.‐ 25.1666

Página 2


Proceso de Análisis de Seguridad

AMC 25.1309 & ARP 4761

PROCESO DE DESARROLLO DEL SISTEMA SAE ARP 4754

Funciones Previstas del Sistema

Diseño del Sistema

Objetivos de Seguridad

APROBACIÓN DEL DISEÑO

EASA‐FAA TC/STC/TSO Proceso de Desarrollo del

Sistema

Ciclo de Vida Hardware DO‐254 / ED‐80

Ciclo de Vida Software DO‐178B / ED‐12B

Funciones y Requisitos

Proceso de Desarrollo del Hardware

Proceso de Desarrollo del Software

5.13.1 Proceso de Desarrollo del Software

Una vez establecidos los objetivos de seguridad para cada sistema, se analiza la arquitectura del sistema y se establecen unos niveles de aseguramiento de desarrollo (DAL), de acuerdo con los criterios establecidos en el documento SAE ARP 4754. Estos niveles de aseguramiento del desarrollo se distribuyen a nivel de cada equipo y componente del sistema, distinguiendo la parte soporte físico “Hardware” que la parte del soporte lógico “Software”( Figura 5.13.1).

¿Cual es el principal documento para establecer el nivel de aseguramiento de desarrollo (DAL) aplicable a un sistema con hardware complejo y software? a.‐ SAE ARP 4761 b.‐ SAE ARP 4754 c.‐ DO ‐178B d.‐ DO – 400 F

Clasificación del Software:

De acuerdo con DO‐178B/ED‐12B, el software embarcado en una aeronave se puede clasificar en cinco niveles, de acuerdo con las posibles consecuencias de un fallo en la aeronave, la tripulación y el pasaje. Estos niveles también se designan como niveles de aseguramiento del desarrollo (DAL), con objeto de mantener cierta concordancia con la terminología de los niveles que se asignan a los equipos que tienen incorporados componentes electrónicos complejos a los que se aplica procesos similares de desarrollo (DO‐254 / ED‐80).

Página 3


Nivel Tipo de fallo Descripción del fallo Objetivos de seguridad Pérdida de la aeronave y múltiples Extremadamente

A Catastrófico fatalidades. improbable. La tripulación no puede realizar sus tareas y se pueden producir serias o fatales lesiones a algunos ocupantes de la aeronave.

Peligroso / mayor severo

Extremadamente remotos. B

Aumento significativo de la carga de trabajo de la tripulación de

C Mayor Remoto. vuelo, los ocupantes sufren situaciones incómodas incluyendo algunas lesiones graves. La carga de trabajo están dentro las capacidades de la tripulación de vuelo; aunque el pasaje puede sufrir algunas inconveniencias.

Probable. D Menor

Sin efecto en la capacidad E Sin efecto operacional de la aeronave y sus No aplicable.

ocupantes. 5.13.2 Niveles de fallo del Software

Como vemos en la figura 5.13.2 el nivel más crítico es el Nivel A, que tiene consecuencias catastróficas para la aeronave sus ocupantes, mientras que en nivel más bajo (Nivel E) no tiene ningún impacto significativo en la operación segura de la aeronave. Entre estos dos niveles en el grado de severidad se establece teniendo cuenta la capacidad de la tripulación para poder hacer frente a la situación adversa provocada por el fallo de un componente o equipo, y controlar la aeronave.

No obstante es interesante señalar que el número de paquetes de Software nivel E que se están desarrollando se están incrementando para satisfacer las necesidades del pasaje respecto a sistemas de entretenimiento y comunicaciones, pero la criticidad de estos sistemas se puede ver incrementada si de alguna manera se integran con otros sistemas críticos o esenciales para operación segura de la aeronave.

Ejemplos de Niveles de Software

A modo de ejemplo podemos ver en la siguiente tabla como se podrían clasificar algunos equipos y sistemas de una aeronave de acuerdo con nivel de de seguridad que se debe aplicar teniendo en cuenta las consecuencias de sus fallos.

Nivel Equipos Probabilidad de Fallo

Sistemas de Referencia Inercial (AHRS, IRS)

A Menos de 10‐9 por hora Sistemas de Control de Vuelo Automático (AFCS)

Sistemas de Instrumentos de vuelo Electrónicos de vuelo. (EFIS),

B TCAS, EICAS Entre 10‐7 y 10‐9 por

hora de vuelo.

C Sistemas de Comunicaciones y Navegación (GPS,

FMS, VOR/DME, VHF y HF COM) Entre 10‐5 y 10‐7 por

hora de vuelo.

Página 4


Mayor que 10‐5 por hora de vuelo.

D Radar Meteorológico (WXR)

E Sistema de Entretenimiento en Vuelo (IFE)

5.13.3 Aplicación de los niveles de fallos a los sistemas

¿Como se debería clasificar el código ejecutable de un sistema de control de vuelo automático (AFCS)? a.‐ Nivel A b.‐ Nivel B c.‐ Nivel C d.‐ Nivel D

¿Cómo se debería clasificar el código ejecutable de un sistema de para evitar de colisión en vuelo (TCAS)? a.‐ Nivel A b.‐ Nivel B c.‐ Nivel C d.‐ Nivel D

Breve Introducción al estándar DO‐178B / ED‐12B:

Que es el DO‐178B/ED‐12B

El RTCA DO‐178B, o su homólogo EUROCAE ED‐12B ES el último estándar de verificación y validación del software aceptado por las autoridades de certificación EASA /FAA, y ha sido desarrollado conjuntamente por expertos de la industria y las agencias de los Estados Unidos y Europa. A la hora de aprobar un paquete de software que va a ser embarcado en un equipo o componente de una aeronave se pueden utilizar el RTCA DO‐178B/ED‐12B o el EUROCAE ED‐12B de forma indistinta, pero para simplificar este capítulo vamos a utilizar la referencia más extendida dentro de la industria de Aviónica, DO‐178B/ED‐12B, el cual ha sido oficialmente reconocido como un estándar por la organización internacional de estandarización ISO.

Nota: RTCA es un acrónimo de Radio Technical Commission for Aeronautics. Esta organización se encuentran en localizada en Washington (USA)

DO‐178B/ED‐12B establece los procesos que se deben aplicar durante el ciclo de vida de un paquete de software con el objetivo de garantizar que cada línea de código esta libre de errores y que en el proceso de codificación y ensamblado del código ejecutable no hay riesgo de incluir código extraño ajeno al proceso de desarrollo.

Los beneficios de aplicar el DO‐178B/ED‐12B, aparte que es imprescindible para la aprobación de equipos que van ser instalados a bordo aeronaves, son:

− Permitir verificar la calidad y integridad del software,

− Permite una mayor reusabilidad,

− Disminuir los costes de mantenimiento,

Página 5


− Conseguir una integración más rápida con él soporte físico (Hardware) en el que va a ser instalado, y

− Obtener una la mayor portabilidad.

Nota: El RTCA DO‐178C/ED‐12C va a ser la nueva versión que va a sustituir al DO‐178B/ED‐12B. Se pretende que esté disponible a lo largo del año 2009, y mantendrá la mayoría de los principios de su predecesor.

¿Cuál es el estándar actualmente en vigor civil para la certificación del software embarcado? a.‐ DO‐178B (ED‐12) b.‐ DO‐178A (ED‐12A) c.‐ DO‐178B (ED‐12B) d.‐ DO‐178C (ED‐12C)

¿Cómo es el contenido el estándar civil DO‐178B para la aprobación del software? a.‐ Prescribe de todos los requisitos que se deben cumplir b.‐ Establece unos objetivos para cada de los procesos que se deben realizar durante el ciclo de vida del software de una c.‐ Establece los procedimientos que se deben aplicar a la codificación y ensamblaje del código ejecutable d.‐ Proporciona criterios para la programación con lenguajes de alto nivel

MODIFICACIÓN DEL SOFTWARE EMBARCADO

Debido a los continuos avances técnicos la modificación del software embarcado por los operadores de las aeronaves se puede considerar como un procedimiento común. Estos procedimientos reducen el tiempo de parada de la aeronave para mantenimiento, e incrementa la eficacia de las tareas de mantenimiento de los equipos. Cuando se ha de considerar modificaciones y actualizaciones sobre el software, es importante distinguir entre el código ejecutable y los datos que son usados por este código ejecutable.

Software Actualizable sobre el Terreno (FLS):

El Software Actualizable sobre el terreno (FLS), "Field Loadable Software”, es código ejecutable o un paquete de datos que puede ser cargado en un computador (LRU), mientras éste se encuentra instalado dentro de la aeronave, y esta se encuentra en una rampa o un hangar de un aeropuerto.

El paquete de software FLS se puede cargar en un equipo del aeronave (LRU) por personal de mantenimiento autorizado, de acuerdo con un procedimiento definido en el Manual de Mantenimiento de la Aeronave (AMM), o un procedimiento aprobado incluido en un Boletín de Servicio (SB) preparado por el fabricante de la aeronave, y aprobado por la autoridad competente sobre el diseño, o en su nombre por el propio fabricante de equipo, cuando este disponga de estos privilegios mediante la aprobación de su organización de diseño (DOA).

Página 6


Tipos de Paquetes Software Actualizable sobre el Terreno

Podemos diferenciar tres tipos de FLS:

− Partes de la Aeronave con Software Actualizable(LSAP) “Loadable Software Aircraft Parts”

− Software Modificable por el Usuario(UMS) “User Modifiable Software”

− Software con Opciones Seleccionables (OSS) “Option Selectable Software”

Partes de la Aeronave con Software Actualizable (LSAP)

Un software tipo LSAP, es un software que es esencial para la operación segura de la aeronave, o requerido para cumplir con requisitos de operación específicos. Es decir para demostrar cumplimiento con requisitos específicos de aeronavegabilidad o con reglamentos de operaciones. Un paquete LSAP no suele ser considerado como un componente del hardware en el que es instalado (“Target Hardware”), pero es parte del diseño aprobado del aeronave y por lo tanto es un componente de la aeronave que requiere una documentación formal controlada para su autorización de puesta en servicio.

Ejemplos típicos de soportes físicos (“Target Hardware”) en los que se puede instalar un paquete LSAP incluyen:

− Electronic Flight Instrument Systems (EFIS)

− Flight Guidance Computers (FGC)

− Electronic Engine Controls (EEC)

− Digital Flight Data Acquisition Units (DFDAU)

− Auxiliary Power Unit’s Electronic Control Unit (ECU)

Software Modificable por el Usuario (UMS)

El término software modificable por el usuario (UMS) es software que el titular diseño aprobado (TC/STC) ha declarado que puede ser modificado por el usuario. Las modificaciones que pueden ser realizadas por el usuario podrían incluir modificaciones de los datos, o modificaciones del código ejecutable, o ambas.

El titular del certificado de tipo y fabricante de una aeronave establece qué paquetes de software pueden ser modificados por el usuario, dentro de las limitaciones que son tenidas en cuenta durante el proceso de certificación de la aeronave y sus equipos. Un paquete de software UMS normalmente pueden ser actualizados por el operador de la aeronave, una organización responsable de su diseño (DOA), o por fabricante del equipo, sin que la autoridad competente que emitió la aprobación al diseño de la aeronave y sus sistemas tenga que realizar revisiones y aprobaciones a adicionales.

Ejemplos típicos de soportes físicos (“Target Hardware”) en los que se pueden actualizar o modificar

Página 7


UMS son:

− Aircraft Condition Monitoring Systems (ACMS)

− In‐Flight Entertainment Systems (IFE)

Software con Opciones Seleccionables (OSS)

Un paquete de software con opciones de aplicación que puedan ser seleccionadas (“Option Selectable Software” ‐ OSS) es un paquete que contiene combinaciones de de módulos y rutinas aprobados y validados que pueden ser activados o modificados por el operador de la aeronave dentro de las limitaciones establecidas durante la aprobación de su diseño de tipo (TC/STC) obtenida por su titular. Estas opciones pueden ser seleccionadas por la tripulación de vuelo o activadas por el personal de tierra.

Ejemplos típicos de soportes físicos para software OSS se suelen encontrar en los sistemas de Aviónica Modular Integrada (IMA), presentes en aeronaves de ultima generación (B‐777, A‐380), o en aeronaves en las que se han sustituido toda la aviónica convencional por un sistema integrado de aviónica (Honeywell EPIC, Rockwell Collins Proline, Thales Topdeck, Garmin G1000, etc.).

¿Cual de estos equipos suele tener incorporado software modificable por el usuario (UMS)? a.‐ Sistema automático de control de vuelo (AFCS) b.‐ Sistema electrónico instrumentos de vuelo (EFIS) c.‐ Sistema de monitorización de la condición del aeronave (ACMS) d.‐ Control electrónico del motor (EEC)

¿Qué es un FLS? a.‐ Es un paquete de software se puede cargar la aeronave sobre el terreno b.‐ es un paquete de software que esta instalado de forma que no se puede modificar por operador aeronave c.‐ es un soporte físico para la distribución del software. d.‐ Es un estándar de diseño de software embarcado

¿Qué diferencia hay entre un paquete FLS y un paquete DFLD? a.‐ Que un paquete DFLD no incluye código ejecutable b.‐ Que un paquete FLS no incluye datos c.‐ Que un paquete FLS no es modificable por el usuario d.‐ Que un paquete DFLD no es modificable por el usuario

Aprobación de Software FLS:

El DO‐178B/ED‐12B proporciona consideraciones y criterios para el desarrollo de los sistemas cuyo software puedo ser modificado por el operador. Estos criterios se pueden resumir en los siguientes puntos:

− Se debe demostrar que tanto la configuración de hardware como la configuración de software, han sido verificadas/probadas conjuntamente durante el proceso de verificación.

− Se debe establecer un proceso de gestión de la configuración (Configuration Management (CM))

Página 8


que permita asegurar la correcta configuración de la instalación.

− Si en una misma aeronave existiesen equipos y componente redundantes, con software modificable por operador, se deben establecer requisitos para simultanear diferentes cargas de software sobre esos componentes, y considerar sus efectos sobre la despachabilidad de la aeronave.

− Se debe establecer un procedimiento para asegurar que el software cargado es el software aprobado, y que no está corrupto mediante un chequeo de la redundancia cíclico (Cyclic Redundancy Check (CRC)).

Diferentes algoritmos CRC dan diferentes niveles aseguramientos de que los datos han sido transferidos correctamente. El solicitante y la autoridad que va a probar esos procedimientos deberían asegurarse de que el algoritmo usado es suficiente para el nivel de integridad requerido para el software que va ser cargado.

Datos almacenables en una base de datos sobre el terreno (DFLD):

Un paquete de datos DFLD (“Database Field Loadable Data”), es un conjunto de datos que se puede cargar en la memoria de un computador instalado en una aeronave. Es importante señalar que la base de datos es un elemento embebido dentro de un computador, el cual no es modificable estando la aeronave en servicio, y por lo tanto la carga de datos en la base de datos es simplemente la escritura o sobre‐escritura sobre viejos datos, de los nuevos datos distribuidos en fichero proporcionado por fabricante.

Es importante señalar que la actualización de la base de datos de una aeronave puede tener aspectos relacionados con las prestaciones de la misma, como por ejemplo cuando se actualiza la base de datos con los parámetros de las prestaciones del motor de la aeronave, en un sistema gestor de vuelo (FMS). Por lo tanto si los datos usados para esta actualización no son válidos o se han corrompido, podría dar lugar a que se produjesen comportamientos erráticos o fuera de las condiciones aprobadas para operación segura de la aeronave.

Ejemplos típicos de computadores a bordo de aeronaves que pueden recibir con datos (DFLD) para modificar o actualizar su base de datos son:

− Flight Management Computer (FMC)

− Terrain Awareness Warning System (TAWS)

− Sistemas asados en al Aviónica Modular Integrada (IMA)

VERIFICACIÓN DE LOS DATOS

Métodos de Detección

Método Checksum

Un método muy simple para proteger la integridad de datos, verificando que no hayan sido

Página 9


corrompidos es una suma de verificación o “Checksum”, que es una forma de control de redundancia. Es método se emplea en los sistemas de comunicación (Internet, comunicación de dispositivos, etc.) o para datos almacenados (archivos compresos, discos portátiles, etc.).

El proceso consiste en sumar cada uno de los componentes básicos de un sistema (generalmente cada byte) y almacenar el valor del resultado. Posteriormente se realiza el mismo procedimiento y se compara el resultado con el valor almacenado. Si ambas sumas concuerdan se asume que los datos probablemente no han sido corrompidos.

Comprobación de redundancia cíclica (CRC)

La comprobación de redundancia cíclica (CRC) es un tipo de función que recibe un flujo de datos de cualquier longitud como entrada y devuelve un valor de longitud fija como salida. Este término suele ser usado para designar tanto a la función como a su resultado. Las CRC Pueden ser usadas como suma de verificación para detectar la alteración de datos durante su transmisión o almacenamiento.

El CRC es un código de detección de error‐cuyo cálculo es una larga división de computación en el que se descarta el cociente y el resto se convierte en el resultado. Las CRC son populares porque su implementación en hardware binario es simple, son fáciles de analizar matemáticamente y son particularmente efectivas para detectar errores ocasionados por ruido en los canales de transmisión.

¿Qué es un Checksum? a.‐ Es una forma simple para verificar la integridad de los datos b.‐ Es un código de control c.‐ Es una verificación del funcionamiento del hardware d.‐ Sirve para determinar el bit de paridad

¿En que consiste un CRC? a.‐ Es un código de detección de errores b.‐ Es un componente del Checksum c.‐ Es un calculador de recursos de un computador embarcado d.‐ ES un componente de de un sistema de navegación

Instrucciones de Mantenimiento y el marcado de partes:

Las Instrucciones de instalación y mantenimiento, y marcado de un paquete de datos o código ejecutable FLS / DFLD es responsabilidad del titular de la aprobación del diseño aplicable al producto, equipo o componente (el fabricante), y se debe realizar de acuerdo con los re reglas de aplicación incluidas Parte 21 de la EASA.

Los manuales de mantenimiento del aeronave (AMM) elaborados por el titular del Certificado de Tipo (TC), o las instrucciones para la aeronavegabilidad continuada (ICAs) elaboradas por los titulares de un STC, deberían incluir los procedimientos que deben ser seguidos para realizar el mantenimiento de equipos de a bordo a los que se pueda cargar paquetes de datos o código ejecutable (FLS / DFLD).

Los manuales de mantenimiento del aeronave (AMM), o las instrucciones para la aeronavegabilidad continuada (ICAs), deben incluir instrucciones que permitan al personal de mantenimiento verificar la configuración del “Part Number (P/N)”, antes y después de que se haya realizado una tarea de

Página 10


mantenimiento en dicho equipo. Si la carga de software no puede ser verificada, o el procedimiento no han dado los resultados esperados, o ha fallado, el sistema afectado no se debería considerar como operativo y la aeronave no debería ser despachada. En algunos casos la lista de equipos mínimos para el despacho (MEL), podría permitir despachar el avión con algún equipo en operativo. En el caso de equipos cuyo “Part Number” de software no pueda ser verificado, en la MEL se debería indicar si el equipo afectado podría ser inutilizado y la aeronave podría ser puestas en servicio.

Para equipos embarcados que tengan sólo un “Part Number”, que se representa una configuración específica de software y hardware, la identificación de la unidad en la placa del equipo debería ser cambiada cuando se cargue el nuevo software. Cuando se realice una carga del nuevo software, el software instalado en él computador afectado debería ser verificado electrónicamente, y comprobar que tanto el P/N del software como el del hardware están aprobados.

DISTRIBUCIÓN y CONTROL SOFTWARE FLS y DFLD

Métodos de Distribución:

El operador es responsable de establecer un proceso para asegurar que los datos recibidos son datos aprobados y que éstos datos no han sido corrompidos durante proceso de distribución o transferencia electrónica, mediante el uso de una Revisión Redundante Cíclica (CRC). Para cumplir con este punto también se pueden utilizar las recomendaciones del fabricante del equipo y las herramientas recomendadas para colaborar estos propósitos.

Los paquetes de software y datos del tipo FLS y DFLD pueden ser distribuidos mediante varios métodos que pueden incluir uno o combinación de los siguientes:

Mediante Medios Físicos

Es un proceso por el cual FLS o los ficheros que una base de datos son transferidos desde la organización de producción o el proveedor, a un lugar remoto usando soportes físicos de almacenamiento como por ejemplo Floppy Disk, un CD‐ROM, Módulos Reemplazables a Bordo (OBRM), o una memoria flash.

Una vez de recibidos los paquetes de datos deberán ser revisados para comprobar quién no tiene un virus, y deberán ser almacenados en una localización controlada, evitando que sean instalados inmediatamente en los sistemas del aeronave. El fabricante del equipo afectado deberá proporcionar instrucciones de cómo se debería verificar la existencia de un virus.

El método de transporte debería ser el apropiado para asegurar que no se produce un daño en el soporte físico de almacenamiento o corrupción de sus datos. Si existiese alguna duda, no se debería cargar en los sistemas de la aeronave. Los paquetes de datos siempre se deben acompañar de la documentación que autoriza su puesta en servicio (EASA Form 1 o equivalente)

Transferencia Electrónica:

Proceso por el del cual, mediante el uso de un ordenador portátil, un computador de mano o un Portable Data Loader (PDL) y una conexión física temporal realizada mediante un cable de enlace de

Página 11


datos de serie, se realiza una transferencia de los datos a un computador de abordo.

Durante el proceso de carga el mecánico puede controlar a través de un “Display” la unidad a la que está destinada la carga. Además el uso de estas unidades de carga permite almacenar gran cantidad de paquetes a ser instalados, y de esta forma la aeronave puede llevar consigo su propio software.

5.13.4 Distribución paquetes de software

Sistemas de Distribución Electrónica (EDS)

Con objeto de agilizar y disminuir el retraso en la distribución de los paquetes de software y datos que se instalan en las aeronaves ya está desarrollando la distribución electrónica directamente del fabricante al operador, a un lugar remoto sin el empleo de medios de almacenamiento masivo, como por ejemplo a través de Internet.

¿En que consiste la Distribución Electrónica del Software? a.‐ En el envío de información mediante un medio de almacenamiento b.‐ transferencia electrónica de los paquetes a equipos a bordo del aeronave c.‐ En la recepción de los paquetes de software a través de Internet d.‐ En el desarrollo de software de soporte al los procesos de distrbución

Requisitos para la instalación:

Un paquete FLS puede ser instalado en una aeronave mediante un boletín de servicio (SB), o mediante una Orden de Ingeniería (EO), o cualquier otro medio aprobado por la autoridad de certificación. Si la aprobación para el paquete de datos o código ejecutable FLS ha sido obtenida mediante un certificado de tipo (TC) o un certificado equipo suplementario (STC), o una Orden de Especificación Técnica (TSO), el documento de instalación debería ser aprobado por la correspondiente autoridad de certificación y

Página 12


debería especificar los siguientes elementos:

a) La aeronave y la configuración de equipos aplicable.

b) Los procedimientos de verificación para asegurar que el software sido correctamente cargarle en tener computador al aprobado y compatible al que está destinado (Target Hardware).

c) Proporcionar los procedimientos de verificación que se han de aplicar después de la carga.

d) Las acciones que deben ser tomadas en el caso de que la carga no se ha satisfactoria.

e) Referencia a los procedimientos de carga aprobados.

f) Procedimientos para realizar la entrada en el registro mantenimiento, de forma que se permita mantener un adecuado control de configuración.

g) Referencia a las páginas o suplementos afectados del manual de vuelo y del manual de operación de la aeronave.

¿Dónde podemos generalmente encontrar las instrucciones de instalación y verificación de un paquete de software FLS? a.‐ En el manual de mantenimiento del aeronave b.‐ En el correspondiente Boletín de Servicio c.‐ En el catálogo ilustrado de partes (IPC) d.‐ En La Lista de Equipos de la Aeronave

Documentación para la Puesta en Servicio Autorizada:

Métodos puesta en servicio autorizada

Hay que resaltar que la documentación para autorización y distribución depende de si FLS o DFLD es requerido para demostrar cumplimiento con requisitos de aeronavegabilidad requeridos o disposiciones de reglamentarias para la operación comercial. Si el FLS o el DFLD no son necesarios para verificar cumplimiento con requisitos de certificación u operación, el correspondiente Certificado de conformidad será suficiente. En los otros casos será necesario acompañar al artículo del correspondiente certificado de autorización para su puesta en servicio.

Es decir que cualquier paquete de código ejecutable que vaya de ser cargado en una aeronave debe estar acompañado de un certificado EASA Form 1 o FAA 8110‐3.

Ejemplos de LSAP que requieren un EASA Form 1 podrían ser:

− Controles electrónicos del motor (EEC)

− Unidad de Adquisición de Datos de Vuelo Digital (DFAU)

− Computadores para el día dos de vuelo (FGC)

− Aviónica Modular Integrada (IMA)

Igualmente cualquier paquete de datos DFLD que pueda afectar al funcionamiento de un equipo

Página 13


esencial para la operación segura de aeronave o que sea requerida para cumplir con requisitos de operación específicos deberán estar acompañados del correspondiente EASA Form 1 o FAA 8110‐3.

Ejemplos de bases de datos DFLD a las que necesitan un EASA Form 1 son:

− las computadoras del sistema gestión de vuelo (FMC)

− la base de datos terrenal del sistema de aviso de proximidad a tierra (TAWS)

Documentación para las bases de datos de navegación:

Para la distribución autorizada de una base de datos de navegación (NDB), que es requerida para una aprobación de tipo operacional (B‐RNAV, P‐RNAV, RNP) el artículo deberá ir acompañado de la carta de aceptación “Letter of Acceptance” LOA Tipo 1 o Tipo 2 emitido por la autoridad competente, ya que en estos casos no hace falta un documento equivalente a un EASA Form 1.

El titular de una LOA Tipo 1 no tiene por qué distribuir datos para las bases de datos de navegación directamente a los usuarios finales. Titular de una LOA Tipo 2 puede distribuir datos para base de datos de navegación directamente a los operadores y usuarios finales. El titular de una LOA Tipo 2 puede recibir datos directamente de las agencias autorizadas, como por ejemplo los Servicios de Información Aeronáutica estatales (AIS), o puede obtener los datos a través de un titular de una LOA Tipo 1.

¿Cuál es principal documento que debe acompañar a los datos que van a ser y instalados en una Bases de Datos de Navegación? a.‐ EASA Form One b.‐ LOA Tipo 2 c.‐ Certificado de Conformidad d.‐ Un Certificado de Tipo Suplementario

Obtención y documentación de paquetes FLS y DFLD

Paquetes iniciales FLS y DFLD

Los paquetes iniciales FLS y DFLD se obtienen normalmente durante la entrega de un avión nuevo y están ya instalados en los soportes físicos a los que están destinados (LRU o LRM), o mediante el la documentación que acompaña aeronave, en un formato de soporte almacenamiento físico. Hay que señalar que los P/N de los equipos hardware, no tiene por qué indicar necesariamente cuál es el P/N del Software cargado.

Paquetes LSAP

La obtención de paquetes LSAP se debe realizar a través de una fuente autorizada, usando P/N especificado por el fabricante de la aeronave, y acompañado del correspondiente EASA Form 1. Para confirmar que un P/N específico está aprobado se deberá consultar documentos del fabricante de la aeronave como por ejemplo;

− Catálogo ilustrado de partes (IPC),

− Boletines de Servicio (SB), o

Página 14


− Cartas de Información de Servicio (SIL), o

− Ordenes ingeniería aprobadas por el titular TC o un STC.

Paquetes DFLD

La actualización de datos aplicables a las bases de datos de navegación, bases de datos del terreno, o de de las prestaciones de un modelo de motor, deben ser adquiridas de una fuente autorizada que sea aceptable para el fabricante de equipo en el que van a ser instaladas (Target Hardware), y acompañadas de la documentación y del medio de almacenamiento que contiene los ficheros de datos y que debe identificarlos de forma inequívoca. Los medios de almacenamiento de un paquete de datos DFLD deben ser registrados con la identificación de la organización que nos ha proporcionado y los sellos de control y conformidad de calidad aplicables.

Control de Configuración del Software de la Aeronave:

Para poder controlar el estado la configuración estos paquetes de software, el operador deberá mantener al día un Documento de Control de Configuración de cada aeronave con los Part Numbers (P/N) de cada uno de los paquetes de software que han sido instalados en la aeronave, junto con las referencias que permitan verificar que dichos paquetes están certificados para su instalación en la aeronave afectada.

Éste documento se suele denominar “Aircraft Configuración List” (ACL), y en él se listan todas las unidades reemplazables en línea (LRU) o módulo reemplazables en línea (LRM) identificándolas como partes con software actualizable (LSAP) que son aplicables a una aeronave en particular. Esta lista debería contener los datos proporcionados por el titular del certificado de tipo (TC), o por el fabricante de equipo original (OEM), mediante los Boletines de Servicio (SB), cartas de información de servicio (SIL) o el Catálogo Ilustrado de Partes (IPC). Por lo tanto el operador debería mantener un registro que proporcione la siguiente información:

− La versión actual del Software FLS y los datos DFLD que han sido instalados.

− Las aeronaves en las cuales han sido instalados estos paquetes de software y datos.

− Los equipos y sistemas de la aeronave a los que estos paquetes de seguros y datos son aplicables.

− Las funciones estos paquetes de software y datos realiza.

− Donde y con qué formato se han instalado estos paquetes de seguros y datos, incluyendo en nombre la persona es responsable de ello.

− Quien puede decidir si es necesario actualizar su equipo sistema y quien es responsable de autorizar esta actualización.

Para confirmar que paquete de software está cargado en un sistema del aeronave, se debe realizar una comprobación del Part Number (P/N) y la versión del software que está cargado en un sistema, mediante el uso de una terminal de acceso de mantenimiento al correspondiente bus de datos, o mediante la propia unidad de control del dispositivo de presentación asociados sistema, accediendo al

Página 15


menú de mantenimiento, o cualquier otro dispositivo diseñado para cumplir con este propósito.

Es importante tener en cuenta que en caso de duda sobre el estado de una actualización paquete de software o de datos, como por ejemplo tener dudas sobre si no están corruptos, o si es la versión adecuada para una configuración de aeronaves en particular, no se debería intentar hacer la transferencia de estos datos. De hecho, se debería poner en cuarentena dicho paquete y mantenerlo pendiente de verificar su integridad y/o confirmar la versión aplicable con él proveedor.

Todos estos procedimientos relacionados con la adquisición, modificación la incorporación de paquetes de software a una flota de aeronaves deberían ser incluidos en un capítulo del documento de exposición de la gestión del mantenimiento (MME) que la compañía debe preparar para ser autorizada operador aéreo (AOC).

¿Cómo podemos determinar inicialmente la configuración de Part/ Numbers hardware y software aplicables a un modelo y número de serie concreto de una aeronave? a.‐ En el manual de mantenimiento del aeronave b.‐ el catálogo ilustrado de partes (IPC) c.‐ Lista de configuración del aeronave (ACL d.‐ En La Lista de Equipos Mínimos (MEL)

¿Quien es el responsable de llevar el control de configuración del software cargado en una aeronave mediante el ACL? a.‐ El fabricante del aeronave b.‐ El centro de mantenimiento autorizado c.‐ el operador de la aeronave d.‐ La Autoridad Competente

Página 16

Módulo 5. Capítulo 13

Documents

Transcript of Módulo 5. Capítulo 13