EUROCONTROL
Transcription
EUROCONTROL
EUROPEAN ORGANISATION FOR THE SAFETY OF AIR NAVIGATION EUROCONTROL EUROCONTROL EXPERIMENTAL CENTRE SPACE SYSTEM SAFETY CASE - IMPACT STUDY - EGNOS SPACE SYSTEM SAFETY CASE - OUTLINE - SUPPORTING INFORMATION Executive Summary of EEC Report No. 312 EEC Task C04 EATCHIP Task FCO.6.01 Issued: June 1997 The information contained in this document is the property of the EUROCONTROL Agency and no part should be reproduced in any form without the Agency’s permission. The views expressed herein do not necessarily reflect the official views or policy of the Agency. REPORT DOCUMENTATION PAGE Reference: Executive Summary of EEC Report No. 312 Security Classification: Unclassified Originator: EEC - SNA (Satellite Navigation Applications) Originator (Corporate Author) Name/Location: EUROCONTROL Experimental Centre BP15 91222 Brétigny-sur-Orge CEDEX FRANCE Telephone : +33 (0)1 69 88 75 00 Sponsor: EATCHIP Development Directorate DED.1 Sponsor (Contract Authority) Name/Location: EUROCONTROL Agency Rue de la Fusée, 96 B -1130 BRUXELLES Telephone : +32-(0)2-729 90 11 TITLE: SPACE SYSTEM SAFETY CASE - IMPACT STUDY - EGNOS SPACE SYSTEM SAFETY CASE - OUTLINE - SUPPORTING INFORMATION Authors M.P. Cottam, D. Daniels, P.A. Fletcher Lloyd’s Register, Croydon EATCHIP Task Specification FCO.6.01 Date Pages Figures Tables Appendix References 06/97 iv + 12 1 - - - EEC Task No. C04 Task No. Sponsor Period 06/96 - 12/96 Distribution Statement: (a) Controlled by: Head of SNA (b) Special Limitations: None (c) Copy to NTIS: YES Descriptors (keywords): Certification, EGNOS, Global Navigation Satellite Systems, GNSS, GLONASS, GPS, Safety Case, Safety Regulation Abstract: This report reviews the impacts of introducing a Space System Safety Case into the safety regulation of radionavigation services. Volume I identifies the need for local (State) and international regulatory frameworks to support a Safety Case regime and assists in defining one possible structure and its implications. Volume II of this report presents an outline of the Space System Safety Case (SSSC) for the European Geostationary Navigation Overlay Service (EGNOS). Volume III presents supporting material addressing background aspects to the application of the Safety Case methodology, its history, its status world-wide, lessons learnt from previous experience, a collection of relevant references, etc. This document has been collated by mechanical means. Should there be missing pages, please report to: EUROCONTROL Experimental Centre Publications Office B.P. 15 91222 - BRETIGNY-SUR-ORGE CEDEX France FOREWORD This report presents the results of an Impact Study into the introduction of the Safety Case methodology to the safety regulation of space-based radionavigation services for civil aviation. This study is based on earlier work to establish ‘GNSS Safety Regulation Guidelines’ whose objective was to develop and propose a safety regulation mechanism which could be implemented for satellitebased aeronautical navigation services. This mechanism, based on the Safety Case, could be applicable on an international scale so as to promote global harmonisation and provide for a smooth transition from existing regulatory processes which have not, until now, had to deal with space-based radionavigation infrastructure. The Space System Safety Case Impact Study was established to explore this issue in further detail to investigate the feasibility of implementing what, to many States, is a new safety methodology, in order to meet new safety requirements. Currently, two satellite navigation systems exist - GPS and GLONASS - which are owned and operated by the United States and Russia respectively. They were designed primarily for military use although GPS in particular has been widely adopted in the civil community. However, both GPS and GLONASS suffer from technical and institutional limitations which are driving the development of a number of systems which will complement them in the medium term and, it is expected, replace them over a longer period. One of these systems is the European Geostationary Navigation Overlay Service (EGNOS) and, given the ambitious timescales for its development, a means of incorporating its safety regulation into an acceptable approval mechanism is urgently required. Existing safety regulation mechanisms consist of individual State processes which, under the proposed Safety Case regime, must be regionally or globally co-ordinated due to the extra-territorial (extra-State) provision of satellite services. It will still remain the responsibility of States, however, to regulate within their territorial boundaries. This report proposes a means to consolidate these processes in order to accept and regulate the provision of extra-State satellite services to ensure the international interoperability and safety of the systems. The differences between current regulation procedures and the specific regulation constraints for a space-based system are identified and the ‘Safety Case’ philosophy, which is proposed for the safety regulation of the space segment, is explained. When this study started in 1996 there was concern whether sufficient information existed to develop a Space System Safety Case. Several questions needed to be addressed: Would it not be better to understand how a Safety Case could be applied to the space system before embarking on the development thereof? What information would be needed to develop the Safety Case, what input would be required concerning GPS and GLONASS, if any; what sort of methodology should be employed? Therefore, rather than develop a Space System Safety Case immediately, it was decided that it would be more appropriate to undertake an “impact study” on the effect of introducing a Space System Safety Case into the safety regulation of radionavigation services. This study was specified to look at what methodology should be employed, identify what missing information would need to be gathered before a Safety Case could be successfully developed and, if such information were not forthcoming, propose alternative solutions for safety regulation of the space system. The immediate step was to develop a Strawman document describing a Space System Safety Case as a potential means for safety regulation. To achieve a certain level of clarity and simplicity EGNOS has been used as an initial example. EUROCONTROL, the European Space Agency (ESA) and the European Commission (EC) have formed a European GNSS Tripartite Group (ETG) which is responsible, among other activities, for the implementation of EGNOS. EGNOS will augment current satellite navigation systems to satisfy user requirements concerning navigation system accuracy, integrity, availability and continuity of service. EUROCONTROL’s commitment within the ETG includes operational system test and validation and the support to the European CAA’s and the Joint Aviation Authorities (JAA) to help them in their campaigns to carry out safety regulation of satellite navigation systems. Therefore, representatives from national CAA’s and from ESA were directly involved in the management of this study. ESA involvement was vital to ensure that the study could draw on ESA’s experience in qualifying space systems and also to provide ESA with the relevant information concerning safety regulation within the EGNOS project (EGNOS is being developed by ESA on behalf of the European Tripartite Group). iii The findings and results of the impact study and the draft outline of the EGNOS Space System Safety Case are presented in three Volumes and an information package: Volume I The first volume reports on the results of the impact study on the effect of introducing a Space System Safety Case into the safety regulation of radio navigation services. Volume II The second volume contains the outline of the EGNOS Space System Safety Case including detailed explanations. Volume III The third volume presents supporting material addressing background aspects to the application of the Safety Case methodology, its history, its status world-wide, lessons learnt from previous experience, a collection of relevant references, etc. Package The fourth deliverable of this study comprises an information package to present the results of the impact study and to explain the application of an EGNOS Space System Safety Case. This information package can be made available on request to interested institutions and organisations. This work has been managed on behalf of EUROCONTROL from its Experimental Centre (EEC) which is situated at Brétigny-sur-Orge, south of Paris. The EEC is responsible for carrying out Air Traffic Control simulations, studies and evaluations on behalf of EUROCONTROL within EATCHIP, the European Air Traffic Control Harmonisation and Integration Programme, which is managed by EUROCONTROL on behalf of the European Civil Aviation Conference (ECAC) States. The EATCHIP Satellite Navigations Applications (SNA) Group is responsible for overseeing the implementation of GNSS. Its work programme is carried out in turn by four Task Forces. These are: • • • • Institutional Arrangements and Requirements (IAR), Operational and Certification Requirements (OCR), Cost Benefit Studies (CBS) and System Research and Development (SRD). The work presented in this report has been carried out on behalf of the OCR Task Force, whose members contributed considerably to the management and successful completion of the Impact Study. We would like to thank all our colleagues in the OCR Task Force, as well as Lloyd’s Register, for ensuring the timely completion of this first major study into the regulation of space-based radionavigation services for civil aviation. Richard Farnworth Bernd Tiemeyer Andrew Watt EUROCONTROL Project Officers iv EXECUTIVE SUMMARY 1. INTRODUCTION A Tripartite group of the European Commission (EC), the European Space Agency (ESA) and Eurocontrol is co-ordinating planning for the provision of a satellite-based augmentation to the Global Positioning System (GPS) and the Global Orbiting Navigation Satellite System (GLONASS) known as the European Geostationary Navigation Overlay Service (EGNOS). This will provide a high quality satellite navigation service for the member States of the European Civil Aviation Conference (ECAC) under international, civil control. The service aims to provide sufficient accuracy, integrity, availability and continuity of service to allow its use for all aeronautical navigation purposes, from en-route to CAT-I precision approach. The use of existing satellite navigation systems (GPS/GLONASS) together with EGNOS within the ECAC States create a number of new issues in the areas of safety assurance and safety regulation. These arise principally from the increased degree of interdependency between States which will arise with the new service and which increases the need for consistent and transparent safety assurance processes across all user states. The present institutional arrangements may require further development if this is to be achieved. At present, an international regulatory process which would provide the necessary assurance of safety to form the basis of inter-State agreement to allow the service to proceed into operation does not exist within Europe. A Safety Case has been proposed as one possible method for demonstrating the design and operational safety of a Global Navigation Satellite System (GNSS). As part of the study objectives, an appraisal of the current safety procedures has been undertaken to determine the similarities between the existing safety practices and the proposed Safety Case regime. The Safety Case has key features which must be put in place for the process to be effective. This should include the identification of an international organisation which would be responsible for accepting the Safety Case submissions and for monitoring its implementation throughout the system. It would also require the allocation of responsibilities for design and operational safety and the associated safety justifications to existing or possibly new bodies. The Safety Case is a living document, and will require maintenance during the equipment lifecycle and thus represents the evolution of safety issues concerning the design and operation of the system. The term Safety Case is used with the knowledge that many of the elements of the safety assurance and demonstration process described here are already employed in the aviation community. The expression “Safety Case” may not specifically be used, but many of the practices of the Safety Case methodology are already in existence. 2. VOLUME I - IMPACT STUDY It is apparent from the evidence provided by ESA and by the State Regulators that the industry has a considerable safety culture incorporating many of the most capable processes regarding safety assessment. The introduction of a Safety Case approach into the safety regulation of radionavigation services is currently hindered by the absence of an international mechanism which could promote harmonisation of the Safety Case approval process, the consistency of assessment material and the resolution of inter-State problems. It is also concluded that the majority of functional processes which would be required to operate the Safety Case approach are already in place and can already be identified within the existing industry groups. The process of matching the existing practices of the existing organisations to those required by the mechanisms of international and State regulation may, however, necessitate fundamental changes in emphasis. This is seen as one of the most difficult issues for the introduction of the Safety Case to overcome. 1 2.1 The GNSS Safety Case Approach The Safety Case for GNSS will require staged development for the design, development and operation of the service. The issues raised in this study focus on the mechanisms by which a Safety Case regime could operate effectively. These mechanisms have been defined as functions which are identified on both a national and international level, to promote a consistent and comprehensive evaluation of safety within a multi-State environment. It is evident that the structure and contents of a Safety Case are already seen as viable, although at different levels, within a number of European States which have implemented this approach. This would facilitate the transition to a Safety Case approach. The primary issues which will need to be addressed in the development of the GNSS Safety Case and the implementation of the associated regulatory regime are identified as: 2.2 i) the transformation required to establish a Safety Case regime and culture, and adapting the existing Safety Regulation framework; ii) identification of groups/bodies (existing or otherwise) to develop, co-ordinate, review, monitor and audit the Safety Case material; iii) funding and co-ordination of associated organisations, groups/bodies; iv) the allocation of responsibilities to those groups/bodies and the nomination of the Safety Case ‘Dutyholders’. v) commitment from the participating States and the relevant groups/bodies within these States; vi) guidance and support in the development of the Safety Cases at all levels and at all stages; vii) international co-operation of service providers, suppliers and airspace users to ensure consistency of evidence in terms of application, quality and data; viii) training in risk analysis techniques and risk assessment concepts where required. The International Regulation Mechanism For the demonstration and approval of GNSS as a system an international mechanism is essential which will harmonise the State Safety Case approach and co-ordinate all State Safety Case activities. The international mechanism addresses the primary functions of the Legislator, Executive, Safety Regulatory Council (SRC) and Auditor, some of which may have parallels with existing functions (Fig. 8.4-iii). The Executive and SRC are possibly unique in the fact that no parallels are currently identifiable, but some form of international co-operation and understanding will be essential to GNSS as a system regardless of the mechanism by which it is achieved. Thus an international process will be essential in one form or another. The titles used to label these functions have been used deliberately to avoid prematurely associating these functions with existing bodies in the industry, although in some cases the parallel with the function of an existing body is obvious. What is essential is their function or ‘role’ regarding the preparation and approval of the Safety Case material and the criteria defining their interrelation with, or independence from, other bodies. The titles are simply meant to imply the existence of unique independent bodies irrespective of whether they already exist, which will inter-relate to allow the international process to work effectively. The key feature of the international mechanism is that it provides a basis for agreement and serves as a focus for achieving the system safety assurance objectives. 2 REPORTING GNSS-1 SAFETY REGULATORY COUNCIL (SRC) GNSS LEGISLATOR REQUIREMENTS & OBJECTIVES GNSS-1 AUDITOR REMIT GNSS-1 FINAL APPROVAL STAGE APPROVAL SARPS FINAL APPROVAL TO GROUPS PERMITTING OPERATION OF GNSS-1 GNSS-1 DUTYHOLDER GNSS-1 SAFETY CASE GNSS-1 EXECUTIVE SPACE SYSTEMSAFETY CASE STAGE- x EGNOS DESIGN SAFETY CASE COMPILATION OF GNSS-1 SAFETY CASE Inmarsat-III/NT DESIGN SC 1. CONCEPT 2. DESIGN 3. PRE-OP 4. OPERATE/ ON-GOING Inmarsat-III-SV DESIGN SC STATE X - APPROVAL/ LICENCE STATE Y - APPROVAL/ LICENCE STATE Z - APPROVAL/ LICENCE GPS-SV- HAZID INDEPENDENT ADVISOR (OPTIONAL) STATE REGULATOR STATE OPERATIONAL SAFETY CASE SARPS LOCAL DUTYHOLDER GNSS-1 GROUP STATE APPROVAL OF OPERATIONS Fig. 8.4-iii REGULATORY MECHANISM AIR TRAFFIC SERVICES PROVIDER GROUND SEGMENT OPERATOR AIRLINES & AIRSPACE USERS OTHER AIRSPACE USERS LICENCE LICENCE LICENCE LICENCE Some elements of the international mechanism should be: 2.3 i) guidance to the Executive and SRC should be explicit and derive from an international group concerned with the safety of GNSS at a global level; ii) guidance and support in respect of Safety Cases (content, structure, approval processes etc.) must be explicit and mandatory and derive from the international group defined in i) above; iii) the continued use of Standards and Recommended Practices (SARPs) to provide the high-level safety requirements and objectives of GNSS as a system. This should enable performance requirements for the system to be derived by the Dutyholder from those high-level safety requirements, such that they remain traceable from the target level of safety; iv) an auditor capable of scrutinising GNSS as a system and responsible to the SRC; v) a State approval process which develops in respect of the design, construction and operational stages of the service provision. The State Regulation Mechanism For the Safety Case to be implemented an agreed regulatory mechanism is fundamental in terms of allocating responsibilities and ensuring system safety objectives are achieved. A 3 State mechanism is identified so as to assist the international process whilst preserving the existing individual State regulation process. Some elements of the State mechanism should be: i) guidance to the State Regulator should be explicit and derive from an international group concerned with the safety of GNSS at a global level; ii) guidance and support in respect of Safety Case issues (content, structure, approval processes etc.) must be explicit and mandatory and derive from the international group; iii) the continued use of SARPs, providing the high level safety requirements and which are then decomposed by the Dutyholder to provide the technical requirements; iv) preservation of national sovereignty to the maximum extent considered practicable given the inter-State issues for which the mechanism must cater. This includes State licensing of the overlay service equipment operators, ATS providers and local airspace users; v) a process to accept safety assurance inputs from all airspace users who will use the airspace covered by the overlay services and thus must align with the requirements defined by those States in order to be licensed for GNSS-1 operation. In general the compiling of a Safety Case by each of the State ATS providers/operators is an achievable target since much of this information is already being generated by the providers and monitored by the existing State regulatory bodies. 3. VOLUME II - EGNOS SPACE SYSTEM SAFETY CASE - OUTLINE In a Safety Case regime, the legislator sets goals for safety performance without describing how these goals are to be met at a detailed technical level. This contrasts with a prescriptive regulatory approach, where a specific approach is mandated. The Dutyholder, who is responsible for the system, is free to choose the most effective approach that meets these safety requirements. The Dutyholder must demonstrate to the regulator that his chosen approach is safe in concept, design and operation, taking into account both technical and human factors. In particular, the Dutyholder is obliged to demonstrate that all risks have been reduced to “As Low As Reasonably Practicable” (ALARP). The Safety Case is a ‘living’ document, which evolves over the lifetime of the system. Submission for approval at the following lifecycle stages is recommended: i) design concept; ii) detailed design; iii) pre-operation; iv) operational (ongoing). 4 The following structure is proposed for the EGNOS Space System Safety Case, based on Safety Case structures used in other industries such as the marine, offshore, processchemical, chemical, nuclear, railway and aerospace industries: i) Volume A — Summary and Introduction, including the identification of the Dutyholder(s); ii) Volume B — Safety Standards and Acceptance Criteria, setting out the safety requirements for EGNOS; this volume provides the criteria used to judge whether an acceptable standard of safety has been reached; iii) Volume C — Description of EGNOS; a description of the equipment, systems and configuration and of operations that are undertaken is necessary to establish the boundary of the system and the operations which are the subject of the Safety Case; iv) Volume D — Safety Management System (SMS), defining the management systems that are applied to ensure safety. v) Volume E — Control of Major Accident Hazards; the Safety Case shall: vi) a) identify the major accident/incident hazards; b) screen non-significant risks; c) evaluate the remaining risks; d) identify systems to protect against the accident/incident hazards; e) set performance standards for those systems; f) demonstrate that the residual risk is ALARP. Volume F — Contingency Plans; this volume describes the contingency arrangements for the actions to be taken if there is a failure of the system. The construction of a Safety Case for the EGNOS Space System is feasible but must be considered within the context of a GNSS System Safety Case. This report has highlighted the fact that the EGNOS Space System Safety Case is only one part of the GNSS-1 system level Safety Case that will need to be generated. This outline has identified a number of system interfaces which other Safety Case documentation (e.g. the State operational Safety Cases, etc.) must assess, or at least provide reference to. The importance of the EGNOS Space System Safety Case is that it provides the foundation of the higher level Safety Case of GNSS-1. 4. VOLUME III - SUPPORTING MATERIAL The purpose of Task 3 is to assemble background supporting information regarding the development and application of the safety case regime. This document describes the historical development of the approach in the UK, surveys current use of the risk-based approach worldwide, considers the available evidence on the impact of introducing a safety case regime and examines precedents for cross border international inspection regimes. 5 TRADUCTION EN FRANÇAIS DE L’AVANT-PROPOS, DU SOMMAIRE ET DES CONCLUSIONS AVANT-PROPOS Ce rapport présente les résultats d’une étude de l’impact qu’aurait l’application de la Méthodologie « Safety Case » sur la législation concernant la sécurité des services de navigation par satellites pour l’aviation civile. Cette étude est fondée sur une analyse antérieure destinée à définir les principes de réglementation concernant la Sécurité des GNSS: « GNSS Safety Regulation Guidelines ». Cette première étude avait pour objectif de proposer et de développer un processus de législation concernant la sécurité destiné aux services de la navigation par satellites. Ce processus, basé sur le « Safety Case » pourrait être appliqué sur une échelle internationale de façon à harmoniser les législations existantes et assurer une transition souple pour les systèmes actuels qui n’ont pas encore eu à légiférer sur une infrastructure de navigation par satellites. L’étude de l’impact du « Space System Safety Case » a été menée pour analyser en détails l’application éventuelle de ce que de nombreux états considèrent déjà comme une nouvelle méthodologie en matière de sécurité. Il existe actuellement deux systèmes de navigation par satellites indépendants: GPS (Etats-Unis) et GLONASS (Russie). Chacun de ces deux états est propriétaire de son système et en assure le bon fonctionnement. Bien que conçus à l’origine principalement pour une utilisation militaire, ces systèmes de navigation par satellites (notamment GPS) ont été rapidement adoptés par l’aviation civile. Néanmoins, GPS et GLONASS sont limités d’un point de vue technique et institutionnel. Cette situation a conduit au développement d’un certain nombre de systèmes complémentaires à moyen terme et qui viendront probablement les remplacer à plus long terme. L’un de ces systèmes est le projet EGNOS: « European Geostationary Navigation Overlay Service » et, à en croire son ambitieux programme de développement, il est impératif de d’intégrer une réglementation concernant la sécurité de ce système dans son processus de validation. Les procédures actuelles en matière de sécurité se font pour l’instant pays par pays. Sous le régime « Safety Case », ces procédures devront être coordonnées sur une base régionale ou globale puisque les services de navigation par satellite seront extraterritoriaux. Il restera néanmoins à la charge de chaque pays de légiférer au sein de ses propres frontières. Ce rapport propose une méthode pour renforcer les procédures existantes afin de permettre à chaque pays d’accepter et de réglementer les services de navigation par satellites extraterritoriaux. Ceci, dans le but d’assurer une sécurité parfaite et un fonctionnement international de ces systèmes. Les différences entre les législations actuelles et les contraintes spécifiques légales d’un système de navigation par satellites sont présentées dans ce document. On trouvera également dans ce rapport une explication de la philosophie « Safety Case » qui pourrait servir de base à la législation concernant la sécurité du segment spatial. Lorsque cette étude a commencé en 1996, le problème était de savoir s’il existait suffisamment d’informations pour développer un « Space System Safety Case ». Plusieurs questions se posaient: Ne serait-il pas plus judicieux de savoir comment un « Safety Case » pourrait s’appliquer à un système spatial avant d’aborder son développement? Quelles informations seraient nécessaires au développement du « Safety Case »? Quelles données (si nécessaire) faudrait-il extraire de GPS et de GLONASS et quelle méthodologie faudrait-il utiliser? En conséquence, plutôt que de développer immédiatement un « Space System Safety Case », il a été décidé d’effectuer au préalable une étude de l’impact d’une application d’un « Space System Safety Case » sur la législation concernant la sécurité des services de navigation par satellite pour l’aviation civile. Cette étude avait pour objectif de définir la méthodologie à employer pour identifier les informations nécessaires avant de passer à la phase de développement d’un « Safety Case » et, au cas où ces informations ne pourraient être obtenues, de proposer d’autres solutions pour établir les procédures en matière de sécurité du système spatial. La première étape a été la rédaction d’un document de travail qui décrivait un « Space System Safety Case » comme étant un moyen potentiel de définition des règles de sécurité. Pour simplifier les choses, EGNOS a été choisi pour servir de premier exemple. EUROCONTROL, l’ESA (« European Space Agency ») et l’EC (« European Commission ») se sont associés pour former un groupe 6 tripartite: l’ETG (« European GNSS Tripartite Group ») qui a la responsab ilité, entre autres, de la mise en place d’EGNOS. EGNOS augmentera la capacité des systèmes actuels de navigation par satellite pour satisfaire aux exigences des utilisateurs en matière de précision, d’intégrité, de disponibilité et de fiabilité de service. Au sein du groupe ETG, le rôle d’EUROCONTROL consiste à tester et valider les systèmes opérationnels. EUROCONTROL procure aussi une assistance auprès des aviations civiles européennes (CAA’s) et des « Joint Aviation Authorities » (JAA) dans leurs diverses campagnes concernant les règles de sécurité des systèmes de navigation par satellites. En conséquence, des représentants des CAA’s et de l’ESA ont été directement associés à cette étude. La participation de l’ESA était fondamentale pour tirer parti de leur expérience dans la qualification des systèmes spatiaux mais aussi pour leur fournir toutes les informations nécessaire à l’élaboration des règles de sécurité propres au projet EGNOS (l’ESA met au point EGNOS pour le compte du groupe ETG). Les conclusions de l’étude et les grandes lignes du « Space System Safety Case » EGNOS sont présentées en trois volumes plus une documentation complémentaire: Volume I Le premier volume présente les résultats d’une étude de l’impact qu’aurait la mise en oeuvre d’un « Space System Safety Case » sur la législation concernant la sécurité des services de navigation par satellites. Volume II Le deuxième volume présente en détails les grandes lignes du Space System Safety Case EGNOS. Volume III Le troisième volume présente les données qui viennent à l’appui de la méthodologie « Safety Case », son historique, son statut à travers le monde, les leçons à tirer des expériences passées, une bibliographie détaillée, etc. Documentation La quatrième partie de ce rapport est une documentation qui présente les résultats de l’étude d’impact et les détails de la mise en place du « Space System Safety Case » EGNOS. Cette documentation est disponible sur simple demande. Ce travail a été effectué pour EUROCONTROL par son Centre Expérimental (CEE) de Brétigny-surOrge (Sud de Paris). Le CEE est l’organe d’EUROCONTROL qui a la responsabilité des simulations, études et évaluations du contrôle aérien dans le cadre du programme EATCHIP (European Air Traffic Control Harmonisation and Integration Programme). EUROCONTROL a été chargé par les pays membres de l’ECAC (European Civil Aviation Conference) de la gestion d’EATCHIP. Au sein d’EATCHIP, le groupe SNA (Satellite Navigation Applications) supervise la mise en application du GNSS. Quatre « Task Forces » se répartissent le programme de travail: • • • • IAR (Institutional Arrangements and Requirements), OCR (Operational and Certification Requirements), CBS (Cost Benefit Studies) et SRD (System Research and Development). Le travail présenté dans ce rapport a été réalisé sous le contrôle de l’OCR dont les membres ont considérablement contribué au bon déroulement de l’étude d’impact. Nous souhaitons remercier tous nos collègues de l’ORC ainsi que Lloyd’s Register pour nous avoir permis d’effectuer dans les temps voulus cette première étude de la règlementation des services de navigation par satellites pour l’aviation civile. Richard Farnworth Bernd Tiemeyer Andrew Watt Chefs de Projet EUROCONTROL 7 SOMMAIRE 1. INTRODUCTION Un groupe tripartite composé de: l’EC (« European Commission »), l’ESA (« European Space Agency ») et Eurocontrol est chargé d’élaborer un système par satellites d’augmentation du « Global Positioning System » (GPS) et du « Global Orbiting Navigation Satellite System » (GLONASS). Ce système international et civil du nom de « European Geostationary Navigation Overlay Service » (EGNOS) assurera un service de navigation par satellite de grande qualité pour les pays membres de l’ECAC (« European Civil Aviation Conference »). Le but d’EGNOS est d’assurer un service avec suffisamment de précision, d’intégrité, de disponibilité et de fiabilité pour qu’il puisse être utilisé pour toutes les phases de vol, des phases en-route jusqu’aux approches de précision de catégorie 1. Pour les pays membres de l’ECAC, l’utilisation combinée des systèmes de navigation par satellites existants (GPS/GLONASS) et d’EGNOS pose un certain nombre de problèmes de sécurité (assurance et législation). Ces problèmes résultent principalement de l’interdépendance accrue des états qui utiliseraient ce nouveau service. Ce phénomène rend impérative la mise en place de procédures d’assurance en matière de sécurité à la fois transparentes et cohérentes pour l’ensemble des pays utilisateurs. Les accords institutionnels actuels devront sans doute être approfondis si ce système est mis en service. Il n’existe pas, pour l’heure, en Europe de procédure légale internationale qui permette d’assurer le niveau de sécurité nécessaire à un accord entre tous les états autorisant l’exploitation du système. Une des méthodes proposées pour prouver la sécurité d’un système de navigation global par satellite: GNSS (« Global Navigation Satellite System »), est le « Safety Case ». Dans le cadre des objectifs de cette étude, les procédures de sécurité actuelles ont été évaluées pour déterminer les similitudes entre elles et celles proposées par le régime « Safety Case ». Le « Safety Case » présente des caractéristiques essentielles qui doivent être appliquées pour que la procédure soit réalisable. Il faut au préalable identifier l’organisation internationale qui serait responsable de l’acceptation des « Safety Case » qui lui seraient soumis et qui surveillerait leur mise en place dans tout le système. Il faudrait également déléguer les responsabilités concernant l’élaboration et l’application des procédures de sécurité des organes soit existants, soit à créer. Le « Safety Case » est un document qui n’est pas figé et devra être révisé en cours d’exploitation. Il représente l’évolution des questions de sécurité concernant la conception et l’utilisation du système. Le terme « Safety Case » est utilisé tout en sachant bien que de nombreux élements des procédures d’assurance en matière de sécurité et de démonstration présentés ici sont dejà utilisés dans le milieu aéronautique. L’expression « Safety Case » n’est peut être pas utilisée en tant que telle mais les éléments que regroupe la methodologie « Safety case » ont déjà cours. 2. VOLUME I - ETUDE DE L’IMPACT D’après les données communiquées par l’ESA et les Régulateurs de chaque état, il est évident que l’industrie bénéficie d’une culture en matière de sécurité extrêmement forte et qui comprend la plupart des procédures envisageables au niveau de l’évaluation de la sécurité. La mise en service d’une approche « Safety Case » pour les procédures de sécurité des services de radionavigation n’est pas possible actuellement en raison de l’absence d’une instance internationale chargée de la promotion du processus « Safety Case », de la standardisation des tests de matériel et de la résolution des problèmes entre états membres. La plupart des fonctions nécessaires pour l’exploitation de l’approche « Safety Case » existent déjà et peuvent être identifiées dans les différentes industries. Néanmoins, il faudra probablement les modifier fondamentalement pour faire coïncider les pratiques an cours dans les organisations actuelles avec celles des législations nationales et internationales. Ceci est sans doute l’un des points d’achoppement les plus difficiles à résoudre avant l’introduction du « Safety Case ». 8 2.1 L’Approche « Safety Case » GNSS Le « Safety Case » du GNSS nécessitera une planification précise des étapes de sa conception, de son développement et de sa mise en service. Les problèmes soulevés par cette étude sont axés sur les procédures nécessaires au bon fonctionnement du « Safety Case ». Ces procédures sont des fonctions identifiées au niveau national et international qui visent à définir une méthode cohérente et complète d’évaluation de la sécurité dans un environnement international. Il est évident que la structure et le contenu du « Safety Case » sont déjà perçus comme étant viables, bien qu’à des niveaux différents, au sein d’un certain nombre de pays européens qui ont choisi cette approche. Ceci fac iliterai la transition vers une approche « Safety Case ». Les problèmes principaux qui doivent être résolus pour le développement du « Safety Case » GNSS et l’application du régime légal inhérent sont les suivants: 2.2 i) la transformation nécessaire à l’établissement du régime et de la culture « Safety Case » et les modifications du cadre actuel de la réglementation en matière de sécurité; ii) l’identification des groupes / corps constitués (qu’ils existent déjà ou non) pour développer, coordonner, réviser, superviser et vérifier le matériel « Safety Case »; iii) le financement et la coordination de ces organisations ou groupes; iv) l’attribution des responsabilités à ces groupes et la nomination des ‘Dutyholders’ du « Safety Case ». v) l’engagement des états membres et des groupes à l’intérieur de ces états; vi) le soutien et le support à tous les niveaux et à tous les stades du « Safety Case »; vii) une coopération internationale des prestataires de service, des fournisseurs, et des utilisateurs de l’espace aérien pour standardiser l’exploitation, la qualité de service et les données; viii) une formation aux techniques d’analyse de risques et aux concepts d’évaluation de risques si nécessaire. Le Mécanisme de Réglementation International Il est indispensable qu’un mécanisme international d’harmonisation de l’approche « State Safety Case » soit mis en place ainsi qu’une coordination des activités « Safety Case » entre états pour que le GNSS soit approuvé. Le mécanisme international détermine les fonctions principales du Législateur, de l’Executif, du SRC (Safety Regulatory Council) et de l’Auditeur, dont certaines existent peut être déjà comme indiqué Fig. 8.4 iii. L’Exécutif et le SRC sont probablement uniques en leur genre étant donné qu’il n’existe pas de parallèle actuellement, mais une certaine forme de coopération internationale sera essentielle pour le GNSS. En conséquence, une procédure internationale sera nécessaire d’une façon ou d’une autre. Les titres employés pour identifier ces fonctions ont été choisis délibérément pour éviter d’associer trop vite ces fonctions à des groupes existants dans l’industrie, bien que dans certains cas le parallèle avec la fonction d’un certain groupe soit évident. Le point important est leur fonction ou « rôle » au niveau de la préparation et la validation du matériel « Safety Case » et les critères qui définissent leurs relations de dépendance ou d’indépendance vis à vis des autres groupes. Les titres servent simplement à rappeler l’existence de groupes indépendants (qu’ils existent déjà ou pas encore), et qui devront collaborer pour permettre au mécanisme international de fonctionner normalement. La caractéristique essentielle de cette procédure internationale est qu’elle propose une base d’accord et sert à regrouper les objectifs de sécurité du système. 9 Le mécanisme international devrait comprendre les éléments suivants: 2.3 i) le soutien de l’Exécutif et du SRC devrait être explicite et assuré par une instance internationale chargée de la sécurité du GNSS à un niveau global; ii) le soutien et le support concernant le « Safety Case » (contenu, structure, procédures de validation, etc.) doit être explicite, obligatoire et assuré par le groupe international défini i) ci-dessus; iii) l’utilisation permanente des SARPs (Standards and Recommended Practices) pour définir les niveaux élevés de sécurité et les objectifs du GNSS. Ceci devrait permettre au Dutyholder de définir les performances du système à partir de ces niveaux élevés de sécurité, de façon à ce qu’ils puissent être reliés aux objectifs de sécurité (Target Level of Safety) iv) un audit capable d’étudier en détail le GNSS en tant que système et responsable envers le SRC; v) une procédure de validation nationale qui puisse être conçue en fonction des étapes de conception, construction et exploitation du service. Le Mécanisme de Réglementation National Pour que le « Safety Case » soit mis en place, il est indispensable d’avoir au préalable un mécanisme légal de délégation de responsabilités qui permette de vérifier que les objectifs de sécurité du système sont atteints. Un mécanisme national est nécessaire pour servir de base à une procédure internationale tout en préservant le procédures légales actuelles de chaque état. Le mécanisme national devrait comprendre les éléments suivants: i) le soutien au Régulateur d’état devrait être explicite et être assuré par une instance internationale chargée de la sécurité du GNSS à un niveau global; ii) le soutien et le support concernant le « Safety Case » (contenu, structure, procédures de validation, etc.) doit être explicite, obligatoire et être assuré par l’instance internationale; iii) l’utilisation permanente des SARPs qui permettent de définir les minima de sécurité qui peuvent ensuite être décomposés par le Dutyholder pour définir les minima techniques; iv) le maintien de la souveraineté nationale dans la mesure du possible en raisons des contraintes internationales que le mécanisme doit prendre en compte. Ceci comprend pour chaque état la délivrance des licences aux exploitants des services d’augmentation, aux services ATS et aux utilisateurs locaux de l’espace; v) une procédure de validation des procédures de sécurité de tous les utilisateurs de l’espace couvert par les services d’augmentation et qui doivent donc s’aligner aux normes définies par ces états pour obtenir l’autorisation d’exploitation GNSS-1. En général, l’élaboration d’un « Safety Case » par chacun des fournisseurs/exploitants ATS nationaux est un objectif qui peut être atteint étant donné que la majorité des informations nécessaires est déjà fournie par ces exploitants et gérée par leurs instances législatives nationales . 10 3. VOLUME II - GRANDES LIGNES DU « SPACE SYSTEM SAFETY CASE » EGNOS Dans un régime « Safety Case », le législateur définit des objectifs de sécurité sans préciser les moyens techniques pour atteindre ces objectifs. Ceci diffère de l’approche règlementaire prescriptive, ou une approche précise est imposée. Le Dutyholder, qui est responsable du système, peut choisir l’approche qui lui convient le mieux pour répondre aux exigences de sécurité. C’est au Dutyholder de faire la preuve au régulateur que l’approche qu’il a choisie présente des garanties de sécurité au niveau de sa conception et de son exploitation en prenant en compte les facteurs techniques et humains. En particulier, c’est au Dutyholder qu’il revient de démontrer que tous les risques ont été réduits « As Low As Reasonably Practicable » (ALARP). Le « Safety Case » est un document « vivant » qui évolue avec le système. Il est recommandé de le soumettre à l’approbation à chacune des étapes suivantes: i) conception; ii) plan détaillé; iii) pré mise en service; iv) exploitation. En se basant sur les structures « Safety Case » propres aux autres industries (marine, offshore, chimie, nucléaire, chemin de fer et aérospatiale), nous proposons la structure suivante pour le « Space System Safety Case » EGNOS: i) Volume A — Résumé et Introduction, y compris l’identification du/des Dutyholder(s); ii) Volume B — Standards de Sécurité et Critères d’Acceptance, définition des critères de sécurité pour EGNOS; ce volume donne les critères utilisés pour évaluer si un standard de sécurité a pu être atteint; iii) Volume C — Description de EGNOS; la description de l’équipement, des systèmes, de la configuration et des opérations effectuées est nécessaire pour fixer la limite du système et de son exploitation dans le « Safety Case »; iv) Volume D — Safety Management System (SMS), définition des systèmes de gestion qui doivent être utilisés pour assurer la sécurité. v) Volume E — Contrôle des principaux risques d’accident; le « Safety Case » devra: i) a) identifier les principaux risques d’accident / incident; b) passer au crible les risques non significatifs; c) évaluer les risques restants; d) identifier les systèmes de protection contre ces risques d’accident / incident; e) définir des standards de performance pour ces systèmes; f) démontrer que les risques restants sont de niveau ALARP. Volume F —Plans d’urgence; ce volume décrit les procédures d’urgence en cas de panne du système. L’élaboration d’un « Safety Case » pour le « Space System » EGNOS est faisable mais doit être envisagé dans le contexte du « GNSS System Safety Case ». Ce rapport met en 11 évidence le fait que le « Space System Safety Case » EGNOS n’est qu’une partie du « GNSS-1 Safety Case » au niveau système qui devra être élaboré. Un certain nombre d’interfaces système ont été identifiées dans ce rapport. Il faudra que d’autres documentations « Safety Case » (par exemple, les « State operational Safety Cases ») évaluent ces interfaces ou du moins, y fassent référence. L’intérêt du « Space System Safety Case » EGNOS est d’être le point de départ pour le Safety Case GNSS-1 qui sera plus perfectionné. 4. VOLUME III - DOCUMENTS DE TRAVAIL L’objectif de « Tâche 3 » est de réunir les informations permettant d’étayer le développement et la mise en service du régime « Safety Case ». Ce document retrace l’historique de cette approche au Royaume-Uni et présente une vue d’ensemble de l’approche basée sur le rique à travers le monde. Ce document évalue par ailleurs les données déjà recueillies sur les conséquences de l’application d’un « Safety Case » et étudie les précédents concernant les accords internationaux d’inspection. 12