EUROCONTROL

EUROPEAN ORGANISATION
FOR THE SAFETY OF AIR NAVIGATION
EUROCONTROL
EUROCONTROL EXPERIMENTAL CENTRE
SPACE SYSTEM SAFETY CASE
- IMPACT STUDY - EGNOS SPACE SYSTEM SAFETY CASE - OUTLINE - SUPPORTING INFORMATION Executive Summary of
EEC Report No. 312
EEC Task C04
EATCHIP Task FCO.6.01
Issued: June 1997
The information contained in this document is the property of the EUROCONTROL Agency and no part should be reproduced in any
form without the Agency’s permission.
The views expressed herein do not necessarily reflect the official views or policy of the Agency.
REPORT DOCUMENTATION PAGE
Reference:
Executive Summary of
EEC Report No. 312
Security Classification:
Unclassified
Originator:
EEC - SNA
(Satellite Navigation Applications)
Originator (Corporate Author) Name/Location:
EUROCONTROL Experimental Centre
BP15
91222 Brétigny-sur-Orge CEDEX
FRANCE
Telephone : +33 (0)1 69 88 75 00
Sponsor:
EATCHIP Development Directorate
DED.1
Sponsor (Contract Authority) Name/Location:
EUROCONTROL Agency
Rue de la Fusée, 96
B -1130 BRUXELLES
Telephone : +32-(0)2-729 90 11
TITLE:
SPACE SYSTEM SAFETY CASE
- IMPACT STUDY - EGNOS SPACE SYSTEM SAFETY CASE - OUTLINE - SUPPORTING INFORMATION Authors
M.P. Cottam, D. Daniels,
P.A. Fletcher
Lloyd’s Register,
Croydon
EATCHIP Task
Specification
FCO.6.01
Date
Pages
Figures
Tables
Appendix
References
06/97
iv + 12
1
-
-
-
EEC Task No.
C04
Task No. Sponsor
Period
06/96 - 12/96
Distribution Statement:
(a) Controlled by:
Head of SNA
(b) Special Limitations: None
(c) Copy to NTIS:
YES
Descriptors (keywords):
Certification, EGNOS, Global Navigation Satellite Systems, GNSS, GLONASS, GPS, Safety Case,
Safety Regulation
Abstract:
This report reviews the impacts of introducing a Space System Safety Case into the safety regulation
of radionavigation services. Volume I identifies the need for local (State) and international regulatory
frameworks to support a Safety Case regime and assists in defining one possible structure and its
implications. Volume II of this report presents an outline of the Space System Safety Case (SSSC) for
the European Geostationary Navigation Overlay Service (EGNOS). Volume III presents supporting
material addressing background aspects to the application of the Safety Case methodology, its history,
its status world-wide, lessons learnt from previous experience, a collection of relevant references, etc.
This document has been collated by mechanical means. Should there be missing pages, please report
to:
EUROCONTROL Experimental Centre
Publications Office
B.P. 15
91222 - BRETIGNY-SUR-ORGE CEDEX
France
FOREWORD
This report presents the results of an Impact Study into the introduction of the Safety Case
methodology to the safety regulation of space-based radionavigation services for civil aviation. This
study is based on earlier work to establish ‘GNSS Safety Regulation Guidelines’ whose objective was
to develop and propose a safety regulation mechanism which could be implemented for satellitebased aeronautical navigation services. This mechanism, based on the Safety Case, could be
applicable on an international scale so as to promote global harmonisation and provide for a smooth
transition from existing regulatory processes which have not, until now, had to deal with space-based
radionavigation infrastructure. The Space System Safety Case Impact Study was established to
explore this issue in further detail to investigate the feasibility of implementing what, to many States,
is a new safety methodology, in order to meet new safety requirements.
Currently, two satellite navigation systems exist - GPS and GLONASS - which are owned and
operated by the United States and Russia respectively. They were designed primarily for military use
although GPS in particular has been widely adopted in the civil community. However, both GPS and
GLONASS suffer from technical and institutional limitations which are driving the development of a
number of systems which will complement them in the medium term and, it is expected, replace them
over a longer period. One of these systems is the European Geostationary Navigation Overlay
Service (EGNOS) and, given the ambitious timescales for its development, a means of incorporating
its safety regulation into an acceptable approval mechanism is urgently required.
Existing safety regulation mechanisms consist of individual State processes which, under the
proposed Safety Case regime, must be regionally or globally co-ordinated due to the extra-territorial
(extra-State) provision of satellite services. It will still remain the responsibility of States, however, to
regulate within their territorial boundaries. This report proposes a means to consolidate these
processes in order to accept and regulate the provision of extra-State satellite services to ensure the
international interoperability and safety of the systems. The differences between current regulation
procedures and the specific regulation constraints for a space-based system are identified and the
‘Safety Case’ philosophy, which is proposed for the safety regulation of the space segment, is
explained.
When this study started in 1996 there was concern whether sufficient information existed to develop a
Space System Safety Case. Several questions needed to be addressed: Would it not be better to
understand how a Safety Case could be applied to the space system before embarking on the
development thereof? What information would be needed to develop the Safety Case, what input
would be required concerning GPS and GLONASS, if any; what sort of methodology should be
employed? Therefore, rather than develop a Space System Safety Case immediately, it was decided
that it would be more appropriate to undertake an “impact study” on the effect of introducing a Space
System Safety Case into the safety regulation of radionavigation services. This study was specified to
look at what methodology should be employed, identify what missing information would need to be
gathered before a Safety Case could be successfully developed and, if such information were not
forthcoming, propose alternative solutions for safety regulation of the space system.
The immediate step was to develop a Strawman document describing a Space System Safety Case
as a potential means for safety regulation. To achieve a certain level of clarity and simplicity EGNOS
has been used as an initial example. EUROCONTROL, the European Space Agency (ESA) and the
European Commission (EC) have formed a European GNSS Tripartite Group (ETG) which is
responsible, among other activities, for the implementation of EGNOS. EGNOS will augment current
satellite navigation systems to satisfy user requirements concerning navigation system accuracy,
integrity, availability and continuity of service. EUROCONTROL’s commitment within the ETG
includes operational system test and validation and the support to the European CAA’s and the Joint
Aviation Authorities (JAA) to help them in their campaigns to carry out safety regulation of satellite
navigation systems. Therefore, representatives from national CAA’s and from ESA were directly
involved in the management of this study. ESA involvement was vital to ensure that the study could
draw on ESA’s experience in qualifying space systems and also to provide ESA with the relevant
information concerning safety regulation within the EGNOS project (EGNOS is being developed by
ESA on behalf of the European Tripartite Group).
iii
The findings and results of the impact study and the draft outline of the EGNOS Space System Safety
Case are presented in three Volumes and an information package:
Volume I
The first volume reports on the results of the impact study on the effect of introducing
a Space System Safety Case into the safety regulation of radio navigation services.
Volume II
The second volume contains the outline of the EGNOS Space System Safety Case
including detailed explanations.
Volume III
The third volume presents supporting material addressing background aspects to the
application of the Safety Case methodology, its history, its status world-wide, lessons
learnt from previous experience, a collection of relevant references, etc.
Package
The fourth deliverable of this study comprises an information package to present the
results of the impact study and to explain the application of an EGNOS Space System
Safety Case. This information package can be made available on request to interested
institutions and organisations.
This work has been managed on behalf of EUROCONTROL from its Experimental Centre (EEC)
which is situated at Brétigny-sur-Orge, south of Paris. The EEC is responsible for carrying out Air
Traffic Control simulations, studies and evaluations on behalf of EUROCONTROL within EATCHIP,
the European Air Traffic Control Harmonisation and Integration Programme, which is managed by
EUROCONTROL on behalf of the European Civil Aviation Conference (ECAC) States.
The EATCHIP Satellite Navigations Applications (SNA) Group is responsible for overseeing the
implementation of GNSS. Its work programme is carried out in turn by four Task Forces. These are:
•
•
•
•
Institutional Arrangements and Requirements (IAR),
Operational and Certification Requirements (OCR),
Cost Benefit Studies (CBS) and
System Research and Development (SRD).
The work presented in this report has been carried out on behalf of the OCR Task Force, whose
members contributed considerably to the management and successful completion of the Impact
Study. We would like to thank all our colleagues in the OCR Task Force, as well as Lloyd’s Register,
for ensuring the timely completion of this first major study into the regulation of space-based
radionavigation services for civil aviation.
Richard Farnworth
Bernd Tiemeyer
Andrew Watt
EUROCONTROL Project Officers
iv
EXECUTIVE SUMMARY
1.
INTRODUCTION
A Tripartite group of the European Commission (EC), the European Space Agency (ESA) and
Eurocontrol is co-ordinating planning for the provision of a satellite-based augmentation to the
Global Positioning System (GPS) and the Global Orbiting Navigation Satellite System
(GLONASS) known as the European Geostationary Navigation Overlay Service (EGNOS).
This will provide a high quality satellite navigation service for the member States of the
European Civil Aviation Conference (ECAC) under international, civil control. The service
aims to provide sufficient accuracy, integrity, availability and continuity of service to allow its
use for all aeronautical navigation purposes, from en-route to CAT-I precision approach.
The use of existing satellite navigation systems (GPS/GLONASS) together with EGNOS
within the ECAC States create a number of new issues in the areas of safety assurance and
safety regulation. These arise principally from the increased degree of interdependency
between States which will arise with the new service and which increases the need for
consistent and transparent safety assurance processes across all user states. The present
institutional arrangements may require further development if this is to be achieved. At
present, an international regulatory process which would provide the necessary assurance of
safety to form the basis of inter-State agreement to allow the service to proceed into
operation does not exist within Europe. A Safety Case has been proposed as one possible
method for demonstrating the design and operational safety of a Global Navigation Satellite
System (GNSS). As part of the study objectives, an appraisal of the current safety procedures
has been undertaken to determine the similarities between the existing safety practices and
the proposed Safety Case regime.
The Safety Case has key features which must be put in place for the process to be effective.
This should include the identification of an international organisation which would be
responsible for accepting the Safety Case submissions and for monitoring its implementation
throughout the system. It would also require the allocation of responsibilities for design and
operational safety and the associated safety justifications to existing or possibly new bodies.
The Safety Case is a living document, and will require maintenance during the equipment
lifecycle and thus represents the evolution of safety issues concerning the design and
operation of the system.
The term Safety Case is used with the knowledge that many of the elements of the safety
assurance and demonstration process described here are already employed in the aviation
community. The expression “Safety Case” may not specifically be used, but many of the
practices of the Safety Case methodology are already in existence.
2.
VOLUME I - IMPACT STUDY
It is apparent from the evidence provided by ESA and by the State Regulators that the
industry has a considerable safety culture incorporating many of the most capable processes
regarding safety assessment. The introduction of a Safety Case approach into the safety
regulation of radionavigation services is currently hindered by the absence of an international
mechanism which could promote harmonisation of the Safety Case approval process, the
consistency of assessment material and the resolution of inter-State problems. It is also
concluded that the majority of functional processes which would be required to operate the
Safety Case approach are already in place and can already be identified within the existing
industry groups. The process of matching the existing practices of the existing organisations
to those required by the mechanisms of international and State regulation may, however,
necessitate fundamental changes in emphasis. This is seen as one of the most difficult issues
for the introduction of the Safety Case to overcome.
1
2.1
The GNSS Safety Case Approach
The Safety Case for GNSS will require staged development for the design, development and
operation of the service. The issues raised in this study focus on the mechanisms by which a
Safety Case regime could operate effectively. These mechanisms have been defined as
functions which are identified on both a national and international level, to promote a
consistent and comprehensive evaluation of safety within a multi-State environment. It is
evident that the structure and contents of a Safety Case are already seen as viable, although
at different levels, within a number of European States which have implemented this
approach. This would facilitate the transition to a Safety Case approach.
The primary issues which will need to be addressed in the development of the GNSS Safety
Case and the implementation of the associated regulatory regime are identified as:
2.2
i)
the transformation required to establish a Safety Case regime and culture, and
adapting the existing Safety Regulation framework;
ii)
identification of groups/bodies (existing or otherwise) to develop, co-ordinate, review,
monitor and audit the Safety Case material;
iii)
funding and co-ordination of associated organisations, groups/bodies;
iv)
the allocation of responsibilities to those groups/bodies and the nomination of the
Safety Case ‘Dutyholders’.
v)
commitment from the participating States and the relevant groups/bodies within these
States;
vi)
guidance and support in the development of the Safety Cases at all levels and at all
stages;
vii)
international co-operation of service providers, suppliers and airspace users to ensure
consistency of evidence in terms of application, quality and data;
viii)
training in risk analysis techniques and risk assessment concepts where required.
The International Regulation Mechanism
For the demonstration and approval of GNSS as a system an international mechanism is
essential which will harmonise the State Safety Case approach and co-ordinate all State
Safety Case activities. The international mechanism addresses the primary functions of the
Legislator, Executive, Safety Regulatory Council (SRC) and Auditor, some of which may have
parallels with existing functions (Fig. 8.4-iii). The Executive and SRC are possibly unique in
the fact that no parallels are currently identifiable, but some form of international co-operation
and understanding will be essential to GNSS as a system regardless of the mechanism by
which it is achieved. Thus an international process will be essential in one form or another.
The titles used to label these functions have been used deliberately to avoid prematurely
associating these functions with existing bodies in the industry, although in some cases the
parallel with the function of an existing body is obvious. What is essential is their function or
‘role’ regarding the preparation and approval of the Safety Case material and the criteria
defining their interrelation with, or independence from, other bodies. The titles are simply
meant to imply the existence of unique independent bodies irrespective of whether they
already exist, which will inter-relate to allow the international process to work effectively. The
key feature of the international mechanism is that it provides a basis for agreement and
serves as a focus for achieving the system safety assurance objectives.
2
REPORTING
GNSS-1
SAFETY
REGULATORY
COUNCIL (SRC)
GNSS
LEGISLATOR
REQUIREMENTS &
OBJECTIVES
GNSS-1
AUDITOR
REMIT
GNSS-1 FINAL APPROVAL
STAGE APPROVAL
SARPS
FINAL
APPROVAL TO
GROUPS
PERMITTING
OPERATION
OF GNSS-1
GNSS-1 DUTYHOLDER
GNSS-1
SAFETY CASE
GNSS-1 EXECUTIVE
SPACE SYSTEMSAFETY CASE
STAGE- x
EGNOS DESIGN SAFETY CASE
COMPILATION
OF GNSS-1
SAFETY CASE
Inmarsat-III/NT DESIGN SC
1. CONCEPT
2. DESIGN
3. PRE-OP
4. OPERATE/
ON-GOING
Inmarsat-III-SV DESIGN SC
STATE X - APPROVAL/ LICENCE
STATE Y - APPROVAL/ LICENCE
STATE Z - APPROVAL/ LICENCE
GPS-SV- HAZID
INDEPENDENT
ADVISOR
(OPTIONAL)
STATE
REGULATOR
STATE OPERATIONAL SAFETY CASE
SARPS
LOCAL DUTYHOLDER
GNSS-1 GROUP
STATE APPROVAL
OF OPERATIONS
Fig. 8.4-iii
REGULATORY
MECHANISM
AIR
TRAFFIC
SERVICES
PROVIDER
GROUND
SEGMENT
OPERATOR
AIRLINES
& AIRSPACE
USERS
OTHER
AIRSPACE
USERS
LICENCE
LICENCE
LICENCE
LICENCE
Some elements of the international mechanism should be:
2.3
i)
guidance to the Executive and SRC should be explicit and derive from an
international group concerned with the safety of GNSS at a global level;
ii)
guidance and support in respect of Safety Cases (content, structure, approval
processes etc.) must be explicit and mandatory and derive from the international
group defined in i) above;
iii)
the continued use of Standards and Recommended Practices (SARPs) to provide the
high-level safety requirements and objectives of GNSS as a system. This should
enable performance requirements for the system to be derived by the Dutyholder
from those high-level safety requirements, such that they remain traceable from the
target level of safety;
iv)
an auditor capable of scrutinising GNSS as a system and responsible to the SRC;
v)
a State approval process which develops in respect of the design, construction and
operational stages of the service provision.
The State Regulation Mechanism
For the Safety Case to be implemented an agreed regulatory mechanism is fundamental in
terms of allocating responsibilities and ensuring system safety objectives are achieved. A
3
State mechanism is identified so as to assist the international process whilst preserving the
existing individual State regulation process.
Some elements of the State mechanism should be:
i)
guidance to the State Regulator should be explicit and derive from an international
group concerned with the safety of GNSS at a global level;
ii)
guidance and support in respect of Safety Case issues (content, structure, approval
processes etc.) must be explicit and mandatory and derive from the international
group;
iii)
the continued use of SARPs, providing the high level safety requirements and which
are then decomposed by the Dutyholder to provide the technical requirements;
iv)
preservation of national sovereignty to the maximum extent considered practicable
given the inter-State issues for which the mechanism must cater. This includes State
licensing of the overlay service equipment operators, ATS providers and local
airspace users;
v)
a process to accept safety assurance inputs from all airspace users who will use the
airspace covered by the overlay services and thus must align with the requirements
defined by those States in order to be licensed for GNSS-1 operation.
In general the compiling of a Safety Case by each of the State ATS providers/operators is an
achievable target since much of this information is already being generated by the providers
and monitored by the existing State regulatory bodies.
3.
VOLUME II - EGNOS SPACE SYSTEM SAFETY CASE - OUTLINE In a Safety Case regime, the legislator sets goals for safety performance without describing
how these goals are to be met at a detailed technical level. This contrasts with a prescriptive
regulatory approach, where a specific approach is mandated. The Dutyholder, who is
responsible for the system, is free to choose the most effective approach that meets these
safety requirements. The Dutyholder must demonstrate to the regulator that his chosen
approach is safe in concept, design and operation, taking into account both technical and
human factors. In particular, the Dutyholder is obliged to demonstrate that all risks have been
reduced to “As Low As Reasonably Practicable” (ALARP).
The Safety Case is a ‘living’ document, which evolves over the lifetime of the system.
Submission for approval at the following lifecycle stages is recommended:
i)
design concept;
ii)
detailed design;
iii)
pre-operation;
iv)
operational (ongoing).
4
The following structure is proposed for the EGNOS Space System Safety Case, based on
Safety Case structures used in other industries such as the marine, offshore, processchemical, chemical, nuclear, railway and aerospace industries:
i)
Volume A — Summary and Introduction, including the identification of the
Dutyholder(s);
ii)
Volume B — Safety Standards and Acceptance Criteria, setting out the safety
requirements for EGNOS; this volume provides the criteria used to judge whether an
acceptable standard of safety has been reached;
iii)
Volume C — Description of EGNOS; a description of the equipment, systems and
configuration and of operations that are undertaken is necessary to establish the
boundary of the system and the operations which are the subject of the Safety Case;
iv)
Volume D — Safety Management System (SMS), defining the management systems
that are applied to ensure safety.
v)
Volume E — Control of Major Accident Hazards; the Safety Case shall:
vi)
a)
identify the major accident/incident hazards;
b)
screen non-significant risks;
c)
evaluate the remaining risks;
d)
identify systems to protect against the accident/incident hazards;
e)
set performance standards for those systems;
f)
demonstrate that the residual risk is ALARP.
Volume F — Contingency Plans; this volume describes the contingency arrangements
for the actions to be taken if there is a failure of the system.
The construction of a Safety Case for the EGNOS Space System is feasible but must be
considered within the context of a GNSS System Safety Case. This report has highlighted the
fact that the EGNOS Space System Safety Case is only one part of the GNSS-1 system level
Safety Case that will need to be generated. This outline has identified a number of system
interfaces which other Safety Case documentation (e.g. the State operational Safety Cases,
etc.) must assess, or at least provide reference to. The importance of the EGNOS Space
System Safety Case is that it provides the foundation of the higher level Safety Case of
GNSS-1.
4.
VOLUME III - SUPPORTING MATERIAL
The purpose of Task 3 is to assemble background supporting information regarding the
development and application of the safety case regime. This document describes the
historical development of the approach in the UK, surveys current use of the risk-based
approach worldwide, considers the available evidence on the impact of introducing a safety
case regime and examines precedents for cross border international inspection regimes.
5
TRADUCTION EN FRANÇAIS DE L’AVANT-PROPOS, DU SOMMAIRE ET DES CONCLUSIONS
AVANT-PROPOS
Ce rapport présente les résultats d’une étude de l’impact qu’aurait l’application de la Méthodologie
« Safety Case » sur la législation concernant la sécurité des services de navigation par satellites pour
l’aviation civile. Cette étude est fondée sur une analyse antérieure destinée à définir les principes de
réglementation concernant la Sécurité des GNSS: « GNSS Safety Regulation Guidelines ». Cette
première étude avait pour objectif de proposer et de développer un processus de législation
concernant la sécurité destiné aux services de la navigation par satellites. Ce processus, basé sur le
« Safety Case » pourrait être appliqué sur une échelle internationale de façon à harmoniser les
législations existantes et assurer une transition souple pour les systèmes actuels qui n’ont pas encore
eu à légiférer sur une infrastructure de navigation par satellites. L’étude de l’impact du « Space
System Safety Case » a été menée pour analyser en détails l’application éventuelle de ce que de
nombreux états considèrent déjà comme une nouvelle méthodologie en matière de sécurité.
Il existe actuellement deux systèmes de navigation par satellites indépendants: GPS (Etats-Unis) et
GLONASS (Russie). Chacun de ces deux états est propriétaire de son système et en assure le bon
fonctionnement. Bien que conçus à l’origine principalement pour une utilisation militaire, ces
systèmes de navigation par satellites (notamment GPS) ont été rapidement adoptés par l’aviation
civile. Néanmoins, GPS et GLONASS sont limités d’un point de vue technique et institutionnel. Cette
situation a conduit au développement d’un certain nombre de systèmes complémentaires à moyen
terme et qui viendront probablement les remplacer à plus long terme. L’un de ces systèmes est le
projet EGNOS: « European Geostationary Navigation Overlay Service » et, à en croire son ambitieux
programme de développement, il est impératif de d’intégrer une réglementation concernant la
sécurité de ce système dans son processus de validation.
Les procédures actuelles en matière de sécurité se font pour l’instant pays par pays. Sous le régime
« Safety Case », ces procédures devront être coordonnées sur une base régionale ou globale puisque
les services de navigation par satellite seront extraterritoriaux. Il restera néanmoins à la charge de
chaque pays de légiférer au sein de ses propres frontières. Ce rapport propose une méthode pour
renforcer les procédures existantes afin de permettre à chaque pays d’accepter et de réglementer les
services de navigation par satellites extraterritoriaux. Ceci, dans le but d’assurer une sécurité parfaite
et un fonctionnement international de ces systèmes. Les différences entre les législations actuelles et
les contraintes spécifiques légales d’un système de navigation par satellites sont présentées dans ce
document. On trouvera également dans ce rapport une explication de la philosophie « Safety Case »
qui pourrait servir de base à la législation concernant la sécurité du segment spatial.
Lorsque cette étude a commencé en 1996, le problème était de savoir s’il existait suffisamment
d’informations pour développer un « Space System Safety Case ». Plusieurs questions se posaient:
Ne serait-il pas plus judicieux de savoir comment un « Safety Case » pourrait s’appliquer à un
système spatial avant d’aborder son développement? Quelles informations seraient nécessaires au
développement du « Safety Case »? Quelles données (si nécessaire) faudrait-il extraire de GPS et de
GLONASS et quelle méthodologie faudrait-il utiliser? En conséquence, plutôt que de développer
immédiatement un « Space System Safety Case », il a été décidé d’effectuer au préalable une étude
de l’impact d’une application d’un « Space System Safety Case » sur la législation concernant la
sécurité des services de navigation par satellite pour l’aviation civile. Cette étude avait pour objectif
de définir la méthodologie à employer pour identifier les informations nécessaires avant de passer à
la phase de développement d’un « Safety Case » et, au cas où ces informations ne pourraient être
obtenues, de proposer d’autres solutions pour établir les procédures en matière de sécurité du
système spatial.
La première étape a été la rédaction d’un document de travail qui décrivait un « Space System Safety
Case » comme étant un moyen potentiel de définition des règles de sécurité. Pour simplifier les
choses, EGNOS a été choisi pour servir de premier exemple. EUROCONTROL, l’ESA (« European
Space Agency ») et l’EC (« European Commission ») se sont associés pour former un groupe
6
tripartite: l’ETG (« European GNSS Tripartite Group ») qui a la responsab
ilité, entre autres, de la mise
en place d’EGNOS. EGNOS augmentera la capacité des systèmes actuels de navigation par satellite
pour satisfaire aux exigences des utilisateurs en matière de précision, d’intégrité, de disponibilité et
de fiabilité de service. Au sein du groupe ETG, le rôle d’EUROCONTROL consiste à tester et valider
les systèmes opérationnels. EUROCONTROL procure aussi une assistance auprès des aviations
civiles européennes (CAA’s) et des « Joint Aviation Authorities » (JAA) dans leurs diverses
campagnes concernant les règles de sécurité des systèmes de navigation par satellites. En
conséquence, des représentants des CAA’s et de l’ESA ont été directement associés à cette étude.
La participation de l’ESA était fondamentale pour tirer parti de leur expérience dans la qualification
des systèmes spatiaux mais aussi pour leur fournir toutes les informations nécessaire à l’élaboration
des règles de sécurité propres au projet EGNOS (l’ESA met au point EGNOS pour le compte du
groupe ETG).
Les conclusions de l’étude et les grandes lignes du « Space System Safety Case » EGNOS sont
présentées en trois volumes plus une documentation complémentaire:
Volume I
Le premier volume présente les résultats d’une étude de l’impact qu’aurait la mise
en oeuvre d’un « Space System Safety Case » sur la législation concernant la
sécurité des services de navigation par satellites.
Volume II
Le deuxième volume présente en détails les grandes lignes du Space System
Safety Case EGNOS.
Volume III
Le troisième volume présente les données qui viennent à l’appui de la
méthodologie « Safety Case », son historique, son statut à travers le monde, les
leçons à tirer des expériences passées, une bibliographie détaillée, etc.
Documentation
La quatrième partie de ce rapport est une documentation qui présente les
résultats de l’étude d’impact et les détails de la mise en place du « Space System
Safety Case » EGNOS. Cette documentation est disponible sur simple demande.
Ce travail a été effectué pour EUROCONTROL par son Centre Expérimental (CEE) de Brétigny-surOrge (Sud de Paris). Le CEE est l’organe d’EUROCONTROL qui a la responsabilité des simulations,
études et évaluations du contrôle aérien dans le cadre du programme EATCHIP (European Air Traffic
Control Harmonisation and Integration Programme). EUROCONTROL a été chargé par les pays
membres de l’ECAC (European Civil Aviation Conference) de la gestion d’EATCHIP.
Au sein d’EATCHIP, le groupe SNA (Satellite Navigation Applications) supervise la mise en
application du GNSS. Quatre « Task Forces » se répartissent le programme de travail:
•
•
•
•
IAR (Institutional Arrangements and Requirements),
OCR (Operational and Certification Requirements),
CBS (Cost Benefit Studies) et
SRD (System Research and Development).
Le travail présenté dans ce rapport a été réalisé sous le contrôle de l’OCR dont les membres ont
considérablement contribué au bon déroulement de l’étude d’impact. Nous souhaitons remercier tous
nos collègues de l’ORC ainsi que Lloyd’s Register pour nous avoir permis d’effectuer dans les temps
voulus cette première étude de la règlementation des services de navigation par satellites pour
l’aviation civile.
Richard Farnworth
Bernd Tiemeyer
Andrew Watt
Chefs de Projet EUROCONTROL
7
SOMMAIRE
1.
INTRODUCTION
Un groupe tripartite composé de: l’EC (« European Commission »), l’ESA (« European Space
Agency ») et Eurocontrol est chargé d’élaborer un système par satellites d’augmentation du
« Global Positioning System » (GPS) et du « Global Orbiting Navigation Satellite System »
(GLONASS). Ce système international et civil du nom de « European Geostationary
Navigation Overlay Service » (EGNOS) assurera un service de navigation par satellite de
grande qualité pour les pays membres de l’ECAC (« European Civil Aviation Conference »).
Le but d’EGNOS est d’assurer un service avec suffisamment de précision, d’intégrité, de
disponibilité et de fiabilité pour qu’il puisse être utilisé pour toutes les phases de vol, des
phases en-route jusqu’aux approches de précision de catégorie 1.
Pour les pays membres de l’ECAC, l’utilisation combinée des systèmes de navigation par
satellites existants (GPS/GLONASS) et d’EGNOS pose un certain nombre de problèmes de
sécurité (assurance et législation). Ces problèmes résultent principalement de
l’interdépendance accrue des états qui utiliseraient ce nouveau service. Ce phénomène rend
impérative la mise en place de procédures d’assurance en matière de sécurité à la fois
transparentes et cohérentes pour l’ensemble des pays utilisateurs. Les accords institutionnels
actuels devront sans doute être approfondis si ce système est mis en service. Il n’existe pas,
pour l’heure, en Europe de procédure légale internationale qui permette d’assurer le niveau
de sécurité nécessaire à un accord entre tous les états autorisant l’exploitation du système.
Une des méthodes proposées pour prouver la sécurité d’un système de navigation global par
satellite: GNSS (« Global Navigation Satellite System »), est le « Safety Case ». Dans le
cadre des objectifs de cette étude, les procédures de sécurité actuelles ont été évaluées pour
déterminer les similitudes entre elles et celles proposées par le régime « Safety Case ».
Le « Safety Case » présente des caractéristiques essentielles qui doivent être appliquées
pour que la procédure soit réalisable. Il faut au préalable identifier l’organisation internationale
qui serait responsable de l’acceptation des « Safety Case » qui lui seraient soumis et qui
surveillerait leur mise en place dans tout le système. Il faudrait également déléguer les
responsabilités concernant l’élaboration et l’application des procédures de sécurité des
organes soit existants, soit à créer. Le « Safety Case » est un document qui n’est pas figé et
devra être révisé en cours d’exploitation. Il représente l’évolution des questions de sécurité
concernant la conception et l’utilisation du système.
Le terme « Safety Case » est utilisé tout en sachant bien que de nombreux élements des
procédures d’assurance en matière de sécurité et de démonstration présentés ici sont dejà
utilisés dans le milieu aéronautique. L’expression « Safety Case » n’est peut être pas utilisée
en tant que telle mais les éléments que regroupe la methodologie « Safety case » ont déjà
cours.
2.
VOLUME I - ETUDE DE L’IMPACT
D’après les données communiquées par l’ESA et les Régulateurs de chaque état, il est
évident que l’industrie bénéficie d’une culture en matière de sécurité extrêmement forte et qui
comprend la plupart des procédures envisageables au niveau de l’évaluation de la sécurité.
La mise en service d’une approche « Safety Case » pour les procédures de sécurité des
services de radionavigation n’est pas possible actuellement en raison de l’absence d’une
instance internationale chargée de la promotion du processus « Safety Case », de la
standardisation des tests de matériel et de la résolution des problèmes entre états membres.
La plupart des fonctions nécessaires pour l’exploitation de l’approche « Safety Case » existent
déjà et peuvent être identifiées dans les différentes industries. Néanmoins, il faudra
probablement les modifier fondamentalement pour faire coïncider les pratiques an cours
dans les organisations actuelles avec celles des législations nationales et internationales.
Ceci est sans doute l’un des points d’achoppement les plus difficiles à résoudre avant
l’introduction du « Safety Case ».
8
2.1
L’Approche « Safety Case » GNSS
Le « Safety Case » du GNSS nécessitera une planification précise des étapes de sa
conception, de son développement et de sa mise en service. Les problèmes soulevés par
cette étude sont axés sur les procédures nécessaires au bon fonctionnement du « Safety
Case ». Ces procédures sont des fonctions identifiées au niveau national et international qui
visent à définir une méthode cohérente et complète d’évaluation de la sécurité dans un
environnement international. Il est évident que la structure et le contenu du « Safety Case »
sont déjà perçus comme étant viables, bien qu’à des niveaux différents, au sein d’un certain
nombre de pays européens qui ont choisi cette approche. Ceci fac
iliterai la transition vers une
approche « Safety Case ».
Les problèmes principaux qui doivent être résolus pour le développement du « Safety Case »
GNSS et l’application du régime légal inhérent sont les suivants:
2.2
i)
la transformation nécessaire à l’établissement du régime et de la culture « Safety
Case » et les modifications du cadre actuel de la réglementation en matière de
sécurité;
ii)
l’identification des groupes / corps constitués (qu’ils existent déjà ou non) pour
développer, coordonner, réviser, superviser et vérifier le matériel « Safety Case »;
iii)
le financement et la coordination de ces organisations ou groupes;
iv)
l’attribution des responsabilités à ces groupes et la nomination des ‘Dutyholders’ du
« Safety Case ».
v)
l’engagement des états membres et des groupes à l’intérieur de ces états;
vi)
le soutien et le support à tous les niveaux et à tous les stades du « Safety Case »;
vii)
une coopération internationale des prestataires de service, des fournisseurs, et des
utilisateurs de l’espace aérien pour standardiser l’exploitation, la qualité de service et
les données;
viii)
une formation aux techniques d’analyse de risques et aux concepts d’évaluation de
risques si nécessaire.
Le Mécanisme de Réglementation International
Il est indispensable qu’un mécanisme international d’harmonisation de l’approche « State
Safety Case » soit mis en place ainsi qu’une coordination des activités « Safety Case » entre
états pour que le GNSS soit approuvé. Le mécanisme international détermine les fonctions
principales du Législateur, de l’Executif, du SRC (Safety Regulatory Council) et de l’Auditeur,
dont certaines existent peut être déjà comme indiqué Fig. 8.4 iii. L’Exécutif et le SRC sont
probablement uniques en leur genre étant donné qu’il n’existe pas de parallèle actuellement,
mais une certaine forme de coopération internationale sera essentielle pour le GNSS. En
conséquence, une procédure internationale sera nécessaire d’une façon ou d’une autre.
Les titres employés pour identifier ces fonctions ont été choisis délibérément pour éviter
d’associer trop vite ces fonctions à des groupes existants dans l’industrie, bien que dans
certains cas le parallèle avec la fonction d’un certain groupe soit évident. Le point important
est leur fonction ou « rôle » au niveau de la préparation et la validation du matériel « Safety
Case » et les critères qui définissent leurs relations de dépendance ou d’indépendance vis à
vis des autres groupes. Les titres servent simplement à rappeler l’existence de groupes
indépendants (qu’ils existent déjà ou pas encore), et qui devront collaborer pour permettre au
mécanisme international de fonctionner normalement. La caractéristique essentielle de cette
procédure internationale est qu’elle propose une base d’accord et sert à regrouper les
objectifs de sécurité du système.
9
Le mécanisme international devrait comprendre les éléments suivants:
2.3
i)
le soutien de l’Exécutif et du SRC devrait être explicite et assuré par une instance
internationale chargée de la sécurité du GNSS à un niveau global;
ii)
le soutien et le support concernant le « Safety Case » (contenu, structure, procédures
de validation, etc.) doit être explicite, obligatoire et assuré par le groupe international
défini i) ci-dessus;
iii)
l’utilisation permanente des SARPs (Standards and Recommended Practices) pour
définir les niveaux élevés de sécurité et les objectifs du GNSS. Ceci devrait
permettre au Dutyholder de définir les performances du système à partir de ces
niveaux élevés de sécurité, de façon à ce qu’ils puissent être reliés aux objectifs de
sécurité (Target Level of Safety)
iv)
un audit capable d’étudier en détail le GNSS en tant que système et responsable
envers le SRC;
v)
une procédure de validation nationale qui puisse être conçue en fonction des étapes
de conception, construction et exploitation du service.
Le Mécanisme de Réglementation National
Pour que le « Safety Case » soit mis en place, il est indispensable d’avoir au préalable un
mécanisme légal de délégation de responsabilités qui permette de vérifier que les objectifs de
sécurité du système sont atteints. Un mécanisme national est nécessaire pour servir de base
à une procédure internationale tout en préservant le procédures légales actuelles de chaque
état.
Le mécanisme national devrait comprendre les éléments suivants:
i)
le soutien au Régulateur d’état devrait être explicite et être assuré par une instance
internationale chargée de la sécurité du GNSS à un niveau global;
ii)
le soutien et le support concernant le « Safety Case » (contenu, structure, procédures
de validation, etc.) doit être explicite, obligatoire et être assuré par l’instance
internationale;
iii)
l’utilisation permanente des SARPs qui permettent de définir les minima de sécurité
qui peuvent ensuite être décomposés par le Dutyholder pour définir les minima
techniques;
iv)
le maintien de la souveraineté nationale dans la mesure du possible en raisons des
contraintes internationales que le mécanisme doit prendre en compte. Ceci comprend
pour chaque état la délivrance des licences aux exploitants des services
d’augmentation, aux services ATS et aux utilisateurs locaux de l’espace;
v)
une procédure de validation des procédures de sécurité de tous les utilisateurs de
l’espace couvert par les services d’augmentation et qui doivent donc s’aligner aux
normes définies par ces états pour obtenir l’autorisation d’exploitation GNSS-1.
En général, l’élaboration d’un « Safety Case » par chacun des fournisseurs/exploitants ATS
nationaux est un objectif qui peut être atteint étant donné que la majorité des informations
nécessaires est déjà fournie par ces exploitants et gérée par leurs instances législatives
nationales .
10
3.
VOLUME II - GRANDES LIGNES DU « SPACE SYSTEM SAFETY CASE »
EGNOS
Dans un régime « Safety Case », le législateur définit des objectifs de sécurité sans préciser
les moyens techniques pour atteindre ces objectifs. Ceci diffère de l’approche règlementaire
prescriptive, ou une approche précise est imposée. Le Dutyholder, qui est responsable du
système, peut choisir l’approche qui lui convient le mieux pour répondre aux exigences de
sécurité. C’est au Dutyholder de faire la preuve au régulateur que l’approche qu’il a choisie
présente des garanties de sécurité au niveau de sa conception et de son exploitation en
prenant en compte les facteurs techniques et humains. En particulier, c’est au Dutyholder qu’il
revient de démontrer que tous les risques ont été réduits « As Low As Reasonably
Practicable » (ALARP).
Le « Safety Case » est un document « vivant » qui évolue avec le système. Il est
recommandé de le soumettre à l’approbation à chacune des étapes suivantes:
i)
conception;
ii)
plan détaillé;
iii)
pré mise en service;
iv)
exploitation.
En se basant sur les structures « Safety Case » propres aux autres industries (marine,
offshore, chimie, nucléaire, chemin de fer et aérospatiale), nous proposons la structure
suivante pour le « Space System Safety Case » EGNOS:
i)
Volume A — Résumé et Introduction, y compris l’identification du/des Dutyholder(s);
ii)
Volume B — Standards de Sécurité et Critères d’Acceptance, définition des critères
de sécurité pour EGNOS; ce volume donne les critères utilisés pour évaluer si un
standard de sécurité a pu être atteint;
iii)
Volume C — Description de EGNOS; la description de l’équipement, des systèmes,
de la configuration et des opérations effectuées est nécessaire pour fixer la limite du
système et de son exploitation dans le « Safety Case »;
iv)
Volume D — Safety Management System (SMS), définition des systèmes de gestion
qui doivent être utilisés pour assurer la sécurité.
v)
Volume E — Contrôle des principaux risques d’accident; le « Safety Case » devra:
i)
a)
identifier les principaux risques d’accident / incident;
b)
passer au crible les risques non significatifs;
c)
évaluer les risques restants;
d)
identifier les systèmes de protection contre ces risques d’accident / incident;
e)
définir des standards de performance pour ces systèmes;
f)
démontrer que les risques restants sont de niveau ALARP.
Volume F —Plans d’urgence; ce volume décrit les procédures d’urgence en cas de
panne du système.
L’élaboration d’un « Safety Case » pour le « Space System » EGNOS est faisable mais doit
être envisagé dans le contexte du « GNSS System Safety Case ». Ce rapport met en
11
évidence le fait que le « Space System Safety Case » EGNOS n’est qu’une partie du
« GNSS-1 Safety Case » au niveau système qui devra être élaboré. Un certain nombre
d’interfaces système ont été identifiées dans ce rapport. Il faudra que d’autres
documentations « Safety Case » (par exemple, les « State operational Safety Cases »)
évaluent ces interfaces ou du moins, y fassent référence. L’intérêt du « Space System Safety
Case » EGNOS est d’être le point de départ pour le Safety Case GNSS-1 qui sera plus
perfectionné.
4.
VOLUME III - DOCUMENTS DE TRAVAIL
L’objectif de « Tâche 3 » est de réunir les informations permettant d’étayer le développement
et la mise en service du régime « Safety Case ». Ce document retrace l’historique de cette
approche au Royaume-Uni et présente une vue d’ensemble de l’approche basée sur le rique
à travers le monde. Ce document évalue par ailleurs les données déjà recueillies sur les
conséquences de l’application d’un « Safety Case » et étudie les précédents concernant les
accords internationaux d’inspection.
12