MOC Light-UAS.2510-01: equipos, sistemas e instalación

Resumen estructurado en español del medio aceptable de cumplimiento de EASA aplicable a los requisitos técnicos de seguridad de equipos, sistemas e instalación en UAS destinados a operaciones SAIL IV.

Documento MOC Light-UAS.2510-01
Edición 1
Fecha 01 feb 2024
Estado Final

Nota previa: El contenido publicado en esta página constituye una traducción informativa al español de documentos técnicos elaborados por organismos oficiales, realizada con fines divulgativos y de apoyo a la comprensión normativa. Aunque se ha procurado mantener la máxima fidelidad al texto original, Droneuropa no garantiza la exactitud, integridad ni actualización del contenido traducido, ni asume responsabilidad alguna por posibles errores, omisiones o interpretaciones derivadas de su uso. En caso de discrepancia, prevalecerá siempre la versión oficial publicada por el organismo emisor correspondiente.

Acceder a la versión oficial en PDF

El contenido siguiente desarrolla en español los medios aceptables de cumplimiento asociados a Light-UAS.2510, relativos a los equipos, sistemas e instalación en UAS destinados a operaciones SAIL IV.

1. Objeto

Este MOC proporciona un medio aceptable para demostrar el cumplimiento de los requisitos de la Special Condition Light-UAS.2510(a) y (b). Estos medios están destinados a complementar el juicio técnico y operacional que debe constituir la base de cualquier demostración de cumplimiento.

2. Aplicabilidad

Este MOC es aplicable a los UAS destinados a operar en operaciones SAIL IV. Tal y como se especifica en Light-UAS.2500(a), está concebido como un requisito general que debe aplicarse a cualquier equipo o sistema, además de los requisitos específicos de cada sistema.

     

  1. General: Light-UAS.2510 especifica los objetivos técnicos de seguridad derivados del OSO n.º 5 y del OSO n.º 10/n.º 12 del AMC y GM del Reglamento de Ejecución (UE) 2019/947. Cuando exista un requisito específico de SORA o de Light-UAS que predefina aspectos de seguridad del sistema, dicho requisito prevalecerá.
  2. Subpartes B, C y D: aunque Light-UAS.2510 no se aplica al rendimiento ni a las características de vuelo o a requisitos estructurales, sí se aplica a los sistemas en los que se base ese cumplimiento.
  3. Subparte E: las instalaciones de sustentación, empuje, potencia y los sistemas de almacenamiento y distribución de energía deben cumplir con Light-UAS.2510.
  4. Subparte H: los sistemas de enlace C2 deben cumplir con Light-UAS.2510.
  5. Subparte G: las interfaces de la tripulación remota deben cumplir con Light-UAS.2510.

Importante: este MOC no cubre la ciberseguridad, la calificación frente a HIRF/EMI ni las tecnologías de inteligencia artificial, que pueden requerir demostraciones específicas de cumplimiento.

3. Documentos de referencia

  • EUROCAE ED-280, revisión inicial.
  • ASTM F3309-21.
  • EUROCAE ED-79B.
  • EUROCAE ED-135.
  • EASA AMC 20-115D.
  • EASA AMC 20-152A.

4. Lista de acrónimos

Acrónimo Significado
AMCAcceptable Means of Compliance
C2Command and Control
CMUControl and Monitoring Unit
DALDevelopment Assurance Level
FHAFunctional Hazard Assessment
FTSFlight Termination System
GNSSGlobal Navigation Satellite System
LOCLoss of Control of operation
MOCMeans of Compliance
SAILSpecific Assurance and Integrity Level
SORASpecific Operations Risk Assessment
TLOSTarget Level of Safety
UAUnmanned Aircraft
UASUnmanned Aircraft System

5. Definiciones

  • Condición de fallo catastrófica: aquella de la que se espera una o más muertes.
  • Aseguramiento del desarrollo: conjunto de acciones planificadas y sistemáticas destinadas a garantizar que los errores de desarrollo se identifiquen y corrijan.
  • DAL: nivel de rigor aplicable a las tareas de aseguramiento del desarrollo.
  • Fallo: pérdida de función o mal funcionamiento de un componente, pieza o elemento.
  • Condición de fallo: situación causada o favorecida por uno o más fallos o errores con efecto sobre el UAS, la tripulación remota o terceros.
  • Peligro: condición de fallo relacionada con consecuencias mayores, peligrosas o catastróficas.

6. Objetivos de seguridad

El objetivo de Light-UAS.2510 es garantizar un nivel de seguridad aceptable para los equipos y sistemas tal como están instalados en el UAS. Light-UAS.2510 requiere que los equipos y sistemas identificados en Light-UAS.2500, considerados por separado y en relación con otros sistemas, deben estar diseñados e instalados de tal manera que los peligros se minimicen en caso de un fallo probable. Además, cabe esperar razonablemente que no se produzca una fatalidad como consecuencia de cualquier fallo único ; y que se disponga de un medio para la detección, alerta y gestión de cualquier fallo o combinación de los mismos que pueda dar lugar a un peligro.

  1. Las condiciones de fallo que conduzcan a LOC no deben ser probables.
  2. Las condiciones de fallo catastróficas no deben derivarse de un único fallo.
  3. Los elementos cuyo error de desarrollo pueda conducir directamente a LOC deben desarrollarse con un nivel de rigor adecuado.

7. Cumplimiento de Light-UAS.2510(a)(1)

La demostración de cumplimiento puede limitarse a las condiciones de fallo que conduzcan a pérdida de control de la operación. Deben identificarse las situaciones en las que se considere que la operación ha quedado fuera de control debido a causas técnicas.

Ejemplos típicos de LOC:

  • Impacto del UA con el suelo, infraestructura o personas.
  • Pérdida irrecuperable de controlabilidad.
  • Vuelo controlado contra el terreno.
  • Activación de emergencia del FTS, paracaídas u otra mitigación M2.
  • Activación errónea del FTS, paracaídas u otra mitigación M2.
  • Salida del volumen operacional.
  • Pérdida de la carga útil por fallo del sistema.

La lista anterior de eventos de pérdida de control (LOC) es ejemplar y no exhaustiva. La mayoría de los eventos mencionados conducirán finalmente a un accidente de la UA. Sin embargo, no solo debe evaluarse la consecuencia directa de un fallo técnico. Aunque la SC Light-UAS.2511 aborda el caso de la "UA saliendo del volumen operativo", este MoC también respalda la demostración de cumplimiento para los requisitos de contención. Si bien una mitigación M2 reduce la probabilidad de causar una fatalidad, no mejora la fiabilidad inherente del UAS. Un fallo técnico que provoque la activación involuntaria de los medios M2 debe considerarse como LOC. Esto no debe desincentivar al solicitante de implementar la mitigación M2, ya que se puede obtener crédito por ella mediante la reducción del SAIL.

La evaluación debe incluir fallos de la unidad de mando y control (CMU), de la aeronave no tripulada y de cualquier sistema instalado en la aeronave, como un sistema de terminación de vuelo, que afecte a la capacidad de controlar la actitud, la velocidad y la trayectoria de vuelo de la UA. Deben considerarse los factores agravantes ambientales y operativos cuando sean relevantes (por ejemplo, temperatura, formación de hielo, horario nocturno, turbulencia, etc.).

La evaluación debe demostrar que la pérdida de control de la UA debido a fallos técnicos se reduce a un nivel aceptable. En términos cuantitativos, el modelo SORA establece la probabilidad admisible de pérdida de control para una operación SAIL IV en el orden de 10-4/FH, incluyendo eventos LOC debidos a causas operativas (por ejemplo, planificación operativa errónea, errores de la tripulación, etc.). En consecuencia, se asume que la probabilidad de LOC admisible por razones técnicas es del orden de 10-5/FH (dependiendo del nivel de automatización de la operación). No se requiere una evaluación cuantitativa. Sin embargo, si la evaluación cualitativa no es concluyente, se debe considerar una evaluación cuantitativa que demuestre que la probabilidad acumulada de todas las condiciones de fallo que conducen a LOC es inferior a 10-5/FH .

En la norma ED-280 se proporciona orientación aceptable sobre el proceso de evaluación de seguridad para cumplir con los objetivos de seguridad identificados en la sección 6. El solicitante puede proponer otra orientación para el proceso de evaluación de seguridad (por ejemplo, ED-135). Se debe realizar un análisis funcional de peligros (FHA), que identifique todas las condiciones de fallo a nivel de UAS. Las condiciones de fallo que conduzcan a una LOC deben seleccionarse para una evaluación posterior. No es necesario evaluar más a fondo otras condiciones de fallo dentro del alcance de este MOC. Las condiciones de fallo peligrosas (Hazardous) y catastróficas (Catastrophic) deben entenderse como aquellas que conducen a una LOC.

Como se ha explicado, se espera que la probabilidad de LOC en SAIL IV sea inferior a 10-4/FH . Esto implica que tales operaciones no deberían provocar víctimas mortales con una frecuencia superior a una de cada 100 eventos de pérdida de control, a fin de cumplir el nivel de seguridad objetivo (TLOS) global. En consecuencia, las condiciones de fallo que provocan una pérdida de control de la operación, como un impacto contra el suelo o un obstáculo, por lo general no se espera que sean catastróficas y deben clasificarse como peligrosas (Hazardous). Sin embargo, existen excepciones:

  • Si se utilizan medios técnicos para reducir la clase de riesgo en tierra (por ejemplo, M2), una condición de fallo en la que un fallo afecte tanto a la UA como al medio de mitigación debe clasificarse como Catastrófica. Por ejemplo, un fallo que provoque que la UA impacte contra el suelo y deje ineficaz al medio de mitigación debe clasificarse como Catastrófico.Justificación: el medio de mitigación no es eficaz, la clase de riesgo en tierra no se reduce y la suposición que sustentaba la anterior clasificación de "Peligroso" (Hazardous) dejaría de ser válida.
  • Características de diseño intrínsecamente inseguras que conducirían a una fatalidad.Por ejemplo, un fallo del sistema que provoque electrocución, decapitación u otras lesiones fatales para la tripulación del UAS (incluida la tripulación de apoyo en tierra, si la hubiera).

Las mitigaciones M2 pueden utilizarse en el FHA (Análisis Funcional de Peligros) para mitigar condiciones de fallo Catastróficas. Las mitigaciones M2 y los medios de contención, como el Sistema de Terminación de Vuelo (FTS), se consideran sistemas de emergencia, ya que su propósito es reducir el riesgo después de que ya se haya perdido el control del UAS. Se proporciona información específica en MOC Light-UAS.2512 y MOC Light-UAS.2511. Sin embargo, al instalar dichos sistemas de emergencia, el mal funcionamiento (por ejemplo, la activación errónea) del sistema debe abordarse dentro de la evaluación de seguridad establecida por MOC Light-UAS.2510. La activación errónea de un sistema de terminación de vuelo, paracaídas u otros medios M2 puede provocar la pérdida de control de la aeronave. Este hecho puede determinar los objetivos de seguridad (asignación del DAL) para estos sistemas.

En el marco de la norma ED-280, se puede utilizar la experiencia de servicio relevante de sistemas similares para sustentar que la probabilidad de fallo de dicho sistema es inferior a "probable". Los datos del historial de servicio se limitan a la flota de UAS de la cual el solicitante es el propietario de los datos o, si la Agencia lo acepta, cuenta con un acuerdo con el propietario de los datos que permita su uso por parte del solicitante para este fin. El solicitante debe ser capaz de sustentar que existe una estrecha similitud tanto en el diseño del sistema como en las condiciones operativas.

El cumplimiento para la cualificación de sistemas o equipos puede demostrarse mediante evidencia de certificación o cualificación de sistemas o componentes según especificaciones aceptables, por ejemplo, motores certificados, equipos ETSO, etc.

La Evaluación de Diseño e Instalación (Design and Installation Appraisal) debe utilizarse para resumir los resultados del proceso de evaluación de seguridad. Consisten en una evaluación cualitativa de la integridad y seguridad del diseño/instalación del sistema. Se puede encontrar orientación aceptada para realizar una Evaluación de Diseño e Instalación en ASTM F3309-21 §4.4:

  • Evaluación del diseño: Es una valoración cualitativa de la integridad y seguridad del diseño del sistema. Una evaluación eficaz requiere un juicio experimentado. Las características de diseño que proporcionan integridad y seguridad deben explicarse en un formato que sea fácil de seguir.
  • Diagramas: El uso de diagramas de arquitectura del sistema o de bloques son formas eficaces de ayudar a la comprensión del sistema.
  • Herramientas adicionales: Otras herramientas que pueden ayudar en la evaluación del diseño incluyen una tabla de Análisis Funcional de Peligros (FHA) extendida, donde se pueden mostrar los efectos de los fallos junto con las mitigaciones de los mismos.
  • Consideraciones de integridad: Deben evaluarse, según proceda, consideraciones de integridad y seguridad como el uso de la cualificación de componentes, la independencia, la separación y la redundancia.Evaluación de la instalación: Es una valoración cualitativa de la integridad y seguridad de la instalación. Al igual que la de diseño, requiere un juicio experimentado. Las características de la instalación deben presentarse en formatos fáciles de seguir, como planos de instalación, requisitos de instalación de equipos y cualquier análisis necesario.
  • Interferencias y mantenimiento: La evaluación debe considerar cualquier interferencia potencial con otros sistemas de la UA y problemas introducidos por el mantenimiento. También debe considerarse el potencial de eventos o influencias fuera de los sistemas en cuestión que pudieran invalidar la independencia.

7.1 Aseguramiento del desarrollo

Cualquier análisis necesario para demostrar el cumplimiento de Light-UAS.2510(a) debe considerar la posibilidad de errores de desarrollo. Sistemas simples: Para sistemas simples que no están altamente integrados con otros sistemas de la UA, los errores cometidos durante el desarrollo todavía pueden detectarse y corregirse mediante pruebas exhaustivas realizadas al sistema y sus componentes, mediante inspección directa y por otros métodos de verificación directa capaces de caracterizar completamente el comportamiento del sistema. Rigor en sistemas simples: Dichos elementos pueden considerarse que cumplen con el rigor de garantía de desarrollo especificado cuando están plenamente asegurados mediante una combinación de pruebas y análisis. Sin embargo, los requisitos para estos elementos deben validarse con el rigor correspondiente al DAL (Nivel de Garantía de Desarrollo) de la función. Definición de complejidad: Los sistemas que contienen software y/o elementos de hardware electrónico complejo no se consideran simples.

Para sistemas más complejos o altamente integrados, las pruebas exhaustivas pueden resultar imposibles porque no se pueden determinar todos los estados del sistema, o impracticables debido al número de pruebas que deberían realizarse. Para estos tipos de sistemas, el cumplimiento puede demostrarse mediante el uso de la garantía de desarrollo. Niveles de aplicación: La garantía de desarrollo debe aplicarse a nivel de sistema y de equipo. Elementos SW/AEH: Para elementos de software (SW) o hardware electrónico aerotransportado (AEH) cuyo error de desarrollo podría resultar directamente en la pérdida de control de la operación, la garantía de desarrollo también es aplicable. Concepto de "directamente": El término "directamente" significa que los conjuntos de fallos funcionales que conducen a las condiciones de fallo de nivel superior contienen un solo miembro. Si la arquitectura del UAS o del sistema proporciona contención para el efecto del error de desarrollo, no se considera "directamente".

Los objetivos de ED-79B, AMC 20-115D y AMC 20-152A para DAL C pueden utilizarse como un medio aceptable de cumplimiento para demostrar que los errores de desarrollo han sido abordados y minimizados con un nivel de rigor apropiado al objetivo de seguridad, incluso si objetivos menos estrictos pudieran ser aceptables. Futuros estándares: Algunas organizaciones de estandarización están desarrollando medios de cumplimiento más proporcionados para la garantía de desarrollo de UAS, que podrían estar disponibles en el futuro. Alternativas: Alternativamente, el solicitante puede proponer diferentes metodologías de garantía de desarrollo a nivel de proyecto.

Se pueden utilizar consideraciones arquitectónicas para aliviar la necesidad de garantía de desarrollo a nivel de elemento, siempre que se aplique suficiente independencia. Errores de modo común: Los errores de modo común deben evaluarse y minimizarse en el marco del análisis de causa común. Prevención de errores: Si un elemento/equipo/sistema es capaz de prevenir una pérdida de control debida a un error en el desarrollo de SW/AEH en otro elemento/equipo/sistema, no se requerirían actividades de garantía de desarrollo a nivel de elemento.

8. Cumplimiento de Light-UAS.2510(a)(2)

De acuerdo con la sección 8 del documento técnico de EASA, el cumplimiento del punto Light-UAS.2510(a)(2) establece los siguientes requisitos estrictos sobre fallos de un solo componente y su contención:

El diseño del sistema debe proporcionar contención de fallos para limitar la propagación de los efectos de cualquier fallo único que se espere que conduzca a una fatalidad. Los medios para mitigar el efecto de un fallo único que de otro modo sería crítico pueden ser de naturaleza técnica u operativa.

Se pueden aceptar fallos únicos que conduzcan a condiciones de fallo peligrosas (Hazardous). Se espera que tales fallos únicos tengan una probabilidad en el orden de magnitud de 10-6 por hora de vuelo (10-6/FH).

Deben considerarse los fallos de causa común. No debe existir ningún fallo de causa común que pueda afectar tanto a los componentes, piezas o elementos individuales como a sus disposiciones de contención de fallos. Los fallos de causa común (incluidos los fallos de modo común) y los fallos en cascada deben evaluarse como fallos dependientes desde el punto de la causa raíz o el iniciador.

Se debe prestar consideración a los errores en el desarrollo, la fabricación, la instalación y el mantenimiento, los cuales pueden dar lugar a fallos de causa común (incluidos los fallos de modo común) y fallos en cascada. Se puede encontrar más orientación en el documento ED-135.

Al aplicar la norma ED-280, deben considerarse los posibles fallos de causa común (incluidos los fallos de modo común) en el análisis, y debe realizarse una Evaluación de Diseño e Instalación (Design and Installation Appraisal) para demostrar el cumplimiento con Light-UAS.2510(a)(2). Como mínimo, se debe considerar lo siguiente al analizar los modos comunes entre el componente, pieza o elemento individual y su disposición de contención de fallos:

  • Hardware común.
  • Software común.
  • Fuente de alimentación común.
  • Sistema de recursos comunes (datos de entrada, servicios externos como el GNSS).
  • Este análisis también debe considerar los riesgos particulares relevantes para el Concepto de Operaciones (ConOps), como granizo, hielo, nieve, interferencias electromagnéticas, etc.

Este análisis también debe considerar los riesgos particulares relevantes para el Concepto de Operaciones (ConOps), como por ejemplo: granizo, hielo, nieve, interferencias electromagnéticas, etc.

9. Cumplimiento de Light-UAS.2510(a)(3)

Los medios mencionados en este apartado son los elementos técnicos instalados en el UAS para detectar fallos relevantes para la seguridad y alertar a la tripulación remota. También pueden formar parte de la estrategia de gestión del fallo.

La pérdida de detección y alerta debe considerarse una condición de fallo. Deben utilizarse comprobaciones prevuelo, pruebas integradas u otros ensayos regulares para limitar la latencia del fallo del sistema de monitorización.

Cualquier fallo o combinación de estos que, si no se detecta y se gestiona adecuadamente mediante la acción de la tripulación de vuelo remota, contribuya a la pérdida de control de la operación (LOC), debe identificarse y considerarse bajo el punto Light-UAS.2510(a)(3).

Los medios técnicos instalados para la detección y alerta de fallos de seguridad deben abordarse como una función del UAS. Impacto del mal funcionamiento: Si un fallo (incluyendo comportamientos erróneos) de los medios de detección, alerta o gestión de fallos conduce a una LOC, esto puede determinar los objetivos de seguridad (niveles de rigor) para dicho sistema. Criterio del piloto remoto: Si el piloto remoto dispone de señales alternativas para detectar un comportamiento erróneo, se podría otorgar crédito en la evaluación de seguridad. Para ello, debe sustentarse la capacidad de detección del piloto (por ejemplo: cantidad y calidad de la información disponible, tiempo de reacción y entrenamiento). Se pueden utilizar las normas ED-280 o ED-135 como medios de cumplimiento para evaluar los sistemas de detección y alerta.

La pérdida de la capacidad de detección y alerta debe considerarse en sí misma como una condición de fallo. Deben utilizarse comprobaciones previas al vuelo, pruebas integradas (built-in tests) u otras pruebas regulares para limitar el tiempo en que un fallo del sistema de monitorización permanece sin ser detectado.

Las acciones esperadas de la tripulación de vuelo remota y las comprobaciones previas al vuelo deben describirse en el manual de vuelo, en cumplimiento con el punto Light-UAS.2620.

Cumplimiento de Light-UAS.2510(b)

Los equipos y sistemas que no están cubiertos por Light-UAS.2500 son normalmente aquellos cuyo fallo o funcionamiento inadecuado no debería afectar a la seguridad de la operación de la UA. Evaluación obligatoria: Debe realizarse una Evaluación de Diseño e Instalación (Design and Installation Appraisal) para demostrar que su funcionamiento normal o anormal no afecta negativamente al correcto funcionamiento de los equipos, sistemas o instalaciones cubiertos por Light-UAS.2500. Influencia en la seguridad: Asimismo, se debe demostrar que dichos sistemas no influyen negativamente de ninguna otra manera en la seguridad de la operación de la UA. Aislamiento: En general, las prácticas comunes de diseño proporcionan aislamiento físico y funcional respecto a los componentes relacionados que son esenciales para una operación segura.