NOTIFICACIÓN DE CAMBIOS EN EQUIPAMIENTO HARDWARE Y SOFTWARE EN EL MARCO DEL REGLAMENTO (UE) 1034/2011

Transcripción

1 NOTIFICACIÓN DE CAMBIOS EN EQUIPAMIENTO HARDWARE Y SOFTWARE EN EL MARCO DEL REGLAMENTO (UE) 1034/2011 Cualquier copia impresa o en soporte informático, total o parcial de este documento se considera como copia no controlada y siempre debe ser contrastada con su versión vigente

2 AGENCIA ESTATAL DE SEGURIDAD AÉREA Esta obra se acoge al amparo del Derecho de la Propiedad Intelectual. Quedan reservados todos los derechos inherentes a que ampara la Ley, así como los de traducción, reimpresión, transmisión radiofónica, de televisión, Internet (página web), de reproducción en forma fotomecánica o en cualquier otra forma y de almacenamiento en instalaciones de procesamiento de datos, aun cuando no se utilice más que parcialmente. CMBF 17 GUI 124 A01: 1.0 Cualquier copia impresa o en soporte informático, total o parcial de este documento se considera como copia no controlada y siempre debe ser contrastada con su versión vigente Página 1/9

3 Índice 1. OBJETO Y ALCANCE NOTIFICACIÓN DE CAMBIOS EN SISTEMAS ATS Y CNS (HW/SW) CASOS PARTICULARES ESTABLECIMIENTO DE ACUERDOS PARA LA INTRODUCCIÓN DE CAMBIOS EN SISTEMAS ATS Y CNS (HW/SW), EN LOS QUE SE VEN AFECTADOS VARIOS PROVEEDORES DE SERVICIOS ATS Y/O CNS PARTICIPACIÓN EN EL PROCESO DE ANÁLISIS Y MITIGACIÓN DE RIESGOS CAMBIOS FUNCIONALES DE LOS SISTEMAS ATS Y/O CNS NO SUJETOS A NOTIFICACIÓN NOTIFICACIÓN DE CAMBIOS EN SISTEMAS ATS Y CNS QUE AFECTEN A VARIOS PROVEEDORES CONSIDERACIONES SOBRE LA SEVERIDAD DE LOS EFECTOS DE LAS AMENAZAS EN LAS FASES DE DESARROLLO, INSTALACIÓN, PUESTA EN SERVICIO Y RETIRADA DEL SERVICIO DE CAMBIOS VINCULADOS A MODIFICACIONES DE SISTEMAS ATS O CNS (HW/SW) COMUNICACIÓN A LA AGENCIA ESTATAL DE SEGURIDAD AÉREA DE GRANDES CAMBIOS OTRAS ORGANIZACIONES MENCIONADAS EN EL ARTÍCULO 9 DEL REGLAMENTO (UE) 1034/ LISTA DE ACRÓNIMOS... 9 Cualquier copia impresa o en soporte informático, total o parcial de este documento se considera como copia no controlada y siempre debe ser contrastada con su versión vigente 2/9

4 1. OBJETO Y ALCANCE El documento tiene por objeto proporcionar material guía a los proveedores de servicios ATS y CNS certificados, para la notificación de cambios que afecten a la seguridad operacional en el ámbito de los equipos, es decir, equipamiento hardware y software, a la Autoridad Nacional de Supervisión en el marco del Reglamento (UE) 1034/2011 y del Real Decreto 931/2010. Esta documentación es de aplicación a los proveedores civiles ATS y CNS que se indican en el apartado 2 del artículo 2 del Real Decreto 931/2010, para cualquier cambio que realicen en los sistemas ATS o CNS, entendiendo éstos, en línea con las definiciones proporcionadas por ESARR3, ESARR 4 y EUROCAE ED 125, como el conjunto de equipamiento hardware (HW) y software (SW) que dentro de un entorno operacional se organizan para realizar una función/servicio/aplicación, quedando por tanto incluidas las modificaciones de software y de los dispositivos auxiliares que estén bajo su dirección. 2. NOTIFICACIÓN DE CAMBIOS EN SISTEMAS ATS Y CNS (HW/SW) El artículo 3.2 del Anexo II del Reglamento de Ejecución (UE) Nº 1035/2011 de la Comisión de 17 de octubre de 2011 por el que se establecen requisitos comunes para la prestación de servicios de navegación aérea y se modifican el Reglamento (CE) nº 482/2008 y el Reglamento (UE) nº 691/2010, establece que las organizaciones cuenten con una estrategia de análisis y mitigación de riesgos en relación con los cambios en la que se tenga en cuenta el ciclo completo del componente del sistema funcional de ATM considerado, es decir, abarcando las fases de definición, diseño, desarrollo, instalación, puesta en servicio, operación ordinaria (incluyendo mantenimiento) y retirada del servicio. En particular, de acuerdo a la normativa comunitaria, todo cambio planificado que afecte a la seguridad operacional de los sistemas objeto de la presente guía requiere la aplicación de un proceso de análisis y mitigación de riesgos que debe encontrarse documentado en los métodos y procedimientos de trabajo del Sistema de Gestión de la Seguridad Operacional de la organización. Deben notificarse, de acuerdo a los términos establecidos por el Reglamento (UE) 1034/2011 y el Real Decreto 931/2010, todos los cambios realizados en los sistemas ATS y CNS (HW/SW) planificados que afecten a la seguridad operacional con independencia de que introduzcan una nueva funcionalidad y modifiquen o no la operación ordinaria del sistema. A efectos de determinación de plazos, la notificación del cambio irá vinculada a la entrada en operación del nuevo equipamiento, bajo el entendimiento de que los cambios relevantes por su complejidad o porque requieran plazos prolongados en el tiempo serán comunicados a la Agencia Estatal de Seguridad Aérea anticipadamente mediante un Plan de Seguridad Operacional en los términos que indica la Sección 5 del presente documento. En ese caso, los proveedores dispondrán de la documentación de garantía de seguridad del producto (diseño, desarrollo, pruebas, validación operacional, en su caso) o de la garantía de seguridad de la instalación y puesta en servicio en el marco de su Sistema de Gestión de la Seguridad Operacional, que podría ser objeto de solicitud por parte de la Agencia Estatal de Seguridad Aérea al recibir la notificación. Cualquier copia impresa o en soporte informático, total o parcial de este documento se considera como copia no controlada y siempre debe ser contrastada con su versión vigente 3/9

5 2.1 CASOS PARTICULARES CASO PARTICULAR 1. CAMBIOS QUE NO AFECTAN LA OPERACIÓN ORDINARIA NI INTRODUCEN NUEVAS FUNCIONALIDADES Pueden existir cambios en los mencionados sistemas que siendo transparentes para los usuarios del espacio aéreo e incluso para el propio proveedor de servicios ATS requieran de un proceso de análisis y mitigación de riesgos correspondiente a las fases de desarrollo, instalación, puesta en servicio y/o retirada del servicio. Dicho proceso de análisis y mitigación deberá ser ejecutado y documentado de acuerdo a los procedimientos y métodos de trabajo recogidos en el Sistema de Gestión de la Seguridad Operacional del proveedor de acuerdo a la normativa vigente. La siguiente figura ilustra la potencial existencia de cambios en los sistemas ATS o CNS (HW/SW) que, aunque no incorporan como tales amenazas al sistema en su fase de operación ordinaria, sí lo hacen en las fases de desarrollo, instalación, puesta en servicio y retirada del servicio, por lo que se hace necesario ejecutar el correspondiente proceso de análisis y mitigación de riesgos específico para esas fases. Sirva como ejemplo ilustrativo que si el proveedor de servicios utilizara la metodología SAM de Eurocontrol para llevar a cabo el mencionado proceso en el marco de su Sistema de Gestión de la Seguridad Operacional, tal situación implicaría que las fases FHA y PSSA no incluirían ninguna nueva amenaza pues la operación ordinaria del sistema funcional no se vería alterada, pero sí se requeriría que la fase SSA identificara, analizara y mitigara los efectos de las amenazas correspondientes a las fases de desarrollo, instalación, puesta en servicio y retirada del servicio. Figura 1 Cambios que no afectan la operación ordinaria ni introducen nuevas funcionalidades Siguiendo con el ejemplo de utilización de la metodología SAM de Eurocontrol, la documentación de garantía de seguridad correspondiente a la fase SSA debería incluir, adicionalmente a la verificación del cumplimiento de los objetivos y requisitos de seguridad y a la presentación de una garantía de que el sistema ha alcanzado un nivel aceptable de seguridad operacional en la fase de operación ordinaria, los procesos de análisis y mitigación de riesgos ejecutados para las correspondientes fases del ciclo de vida del sistema de desarrollo, instalación, puesta en servicio y retirada del servicio. Cualquier copia impresa o en soporte informático, total o parcial de este documento se considera como copia no controlada y siempre debe ser contrastada con su versión vigente 4/9

6 La Sección 5 del presente documento realiza consideraciones sobre la severidad de los efectos de las amenazas en las fases de desarrollo, instalación, puesta en servicio y retirada del servicio de cambios vinculados a modificaciones de sistemas ATS o CNS (HW/SW) CASO PARTICULAR 2. CAMBIOS NO SUJETOS A NOTIFICACIÓN POR TRATARSE DE ACTIVIDADES HABITUALES DEL PROVEEDOR DE SERVICIOS Adicionalmente, cabe destacar que la operación y mantenimiento diario de un proveedor de servicios de navegación aérea debe estar documentada en la base documental de su propio Sistema de Gestión de la Seguridad Operacional. Las actividades que constituyen el día a día de la organización, y que, con carácter general, se encuentran definidas en el conjunto de Manuales, Instrucciones Técnicas y Procedimientos del proveedor, no deben ser considerados cambios del sistema funcional como tales, y por tanto no son objeto de notificación en el marco del Reglamento (UE) nº 1034/2010 y del Real Decreto 931/2010. De este modo se entiende que todas aquellas modificaciones en los sistemas ATS y CNS (HW/SW), que se realicen mediante la aplicación sistemática de un procedimiento autocontenido o conjunto de ellos, no será objeto de notificación, siempre y cuando el citado procedimiento se encuentre documentado en el marco del Sistema de Gestión de la Seguridad Operacional y haya sido revisado por el proveedor desde el punto de vista de la seguridad operacional, de modo que su aplicación sistemática garantice la modificación del sistema de una manera aceptablemente segura. Sin perjuicio de lo anterior, se deberá notificar el cambio en los sistemas ATS y CNS (HW/SW) cuando se trate de la primera vez que se aplica el procedimiento autocontenido asociado al mismo. Figura 2 Cambios no sujetos a notificación por tratarse de actividades habituales del proveedor de servicios 3. ESTABLECIMIENTO DE ACUERDOS PARA LA INTRODUCCIÓN DE CAMBIOS EN SISTEMAS ATS Y CNS (HW/SW), EN LOS QUE SE VEN AFECTADOS VARIOS PROVEEDORES DE SERVICIOS ATS Y/O CNS Dado que puede darse el caso de que un mismo cambio en los sistemas ATS o CNS (HW/SW), afecte potencialmente la prestación del servicio de distintos proveedores ATS y/o CNS, es necesario que dichos proveedores suscriban entre ellos acuerdos que garanticen la seguridad Cualquier copia impresa o en soporte informático, total o parcial de este documento se considera como copia no controlada y siempre debe ser contrastada con su versión vigente 5/9

7 operacional en todas las fases del ciclo de vida del cambio funcional. Dichos acuerdos, deberán abordar, al menos, los aspectos que se relacionan a continuación. 3.1 PARTICIPACIÓN EN EL PROCESO DE ANÁLISIS Y MITIGACIÓN DE RIESGOS Atendiendo a la naturaleza y complejidad del cambio, el proveedor de servicios responsable de la implantación segura del mismo identificará al resto de proveedores de servicios potencialmente afectados y acordará los términos de su participación en el proceso de análisis y mitigación de riesgos para cada una de las fases del ciclo de vida relevantes del cambio funcional. En particular, se acordará en qué casos la modificación de los sistemas ATS y/o CNS no conllevará la participación directa de los otros proveedores afectados durante la elaboración de la documentación de garantía de seguridad. En cualquier caso se acordarán los términos de la comunicación del cambio por parte del proveedor de servicios responsable de su introducción al resto de proveedores afectados con antelación suficiente antes de la puesta en servicio del mismo para su tratamiento, si procede, en el marco de los respectivos Sistemas de Gestión de la Seguridad Operacional. 3.2 CAMBIOS FUNCIONALES DE LOS SISTEMAS ATS Y/O CNS NO SUJETOS A NOTIFICACIÓN Se acordará igualmente la necesidad y en su caso, la forma en que deben comunicarse entre los distintos proveedores afectados todas aquellas modificaciones en los sistemas que por haber sido incorporadas dentro del marco del Sistema de Gestión de la Seguridad de uno de los proveedores de servicios y tener la consideración de operación ordinaria no son objeto de notificación en el marco del reglamento Real Decreto 931/2010, ref.[3]. 3.3 NOTIFICACIÓN DE CAMBIOS EN SISTEMAS ATS Y CNS QUE AFECTEN A VARIOS PROVEEDORES Teniendo en cuenta las consideraciones previas efectuadas en esta sección en relación a la participación en los procesos de análisis y mitigación de riesgos y la comunicación que de los mismos debe producirse entre los distintos proveedores, los proveedores de servicios CNS notificarán a la Agencia Estatal de Seguridad Aérea en lo términos establecidos por el Real Decreto 931/2010, ref.[3], los cambios funcionales sujetos a notificación vinculados a las modificaciones en los sistemas CNS (HW/SW), incluidas las modificaciones software. Análogamente, los proveedores de servicios ATS notificarán los cambios funcionales sujetos a notificación vinculados a las modificaciones en los sistemas ATS (HW/SW). 4. CONSIDERACIONES SOBRE LA SEVERIDAD DE LOS EFECTOS DE LAS AMENAZAS EN LAS FASES DE DESARROLLO, INSTALACIÓN, PUESTA EN SERVICIO Y RETIRADA DEL SERVICIO DE CAMBIOS VINCULADOS A MODIFICACIONES DE SISTEMAS ATS O CNS (HW/SW) El Reglamento (UE) 1035/2011 obliga a la determinación de las amenazas que afecten la seguridad operacional de las operaciones y a una evaluación en términos de severidad de los efectos de las mismas en todas las fases del ciclo de vida. En particular, el artículo del Anexo II establece que la clasificación de la severidad se basará en una argumentación específica que demuestre el efecto más probable de las situaciones peligrosas [i.e. amenazas], en la hipótesis menos favorable. Así mismo, dicho Reglamento obliga también a la determinación de unos objetivos de seguridad a Cualquier copia impresa o en soporte informático, total o parcial de este documento se considera como copia no controlada y siempre debe ser contrastada con su versión vigente 6/9

8 cumplir por el componente afectado, basados entre otros en la evaluación de la severidad de los efectos de las situaciones peligrosas identificadas. No obstante, durante las fases de desarrollo, instalación, puesta en servicio y retirada del servicio, por la propia naturaleza de las mencionadas fases y por su reducida duración en el tiempo no es posible la determinación de objetivos de seguridad definidos como probabilidades máximas de ocurrencia para una monitorización del proceso. Por tanto, para las fases mencionadas, si bien no se considerará imprescindible determinar los correspondientes objetivos de seguridad, será necesario en todo caso determinar la severidad de los efectos de las amenazas teniendo en cuenta que dichas fases deben quedar englobadas en la zona ALARP (As Low As Reasonably Practicable; Tan Bajo Como Razonablemente Posible) en términos de gestión del riesgo. El correspondiente Sistema de Gestión de la Seguridad Operacional deberá presentar las garantías correspondientes de que el riesgo en esas fases es aceptable. De este modo, los procesos de análisis y mitigación de riesgos para las mencionadas fases del ciclo de vida identificarán las amenazas correspondientes a cada una de estas fases, evaluarán la severidad de sus posibles efectos y mitigarán su riesgo tanto como sea razonablemente posible, incluyendo la determinación formal de Requisitos de Seguridad. Adicionalmente deberá especificarse la evidencia documental que garantice el cumplimiento del mencionado requisito en términos de viabilidad y eficacia, así como el responsable de la elaboración de la mencionada evidencia y la fecha en que ésta debe encontrarse disponible. En particular, los acuerdos especificados en la Sección 4 de este documento deben garantizar que el proveedor ATS responsable de la prestación de este servicio conoce con antelación suficiente las modificaciones en los sistemas ATS y CNS (HW/SW), que pudieran afectarle, de modo que su Sistema de Gestión de la Seguridad Operacional pueda gestionar el riesgo adecuadamente. Cuando se produzca la notificación de este tipo de cambios se indicará la correspondiente severidad en la casilla de Grado de severidad más alto de los peores efectos potenciales creíbles de los peligros asociados al cambio y se referenciará el procedimiento de análisis y mitigación de riesgos seguido dentro de la base documental del Sistema de Gestión de la Seguridad Operacional del proveedor. 5. COMUNICACIÓN A LA AGENCIA ESTATAL DE SEGURIDAD AÉREA DE GRANDES CAMBIOS Se consideran grandes cambios aquellos que requieran la implantación de un proyecto, programa y/o sistema especialmente relevante por su complejidad y porque requiera de plazos prolongados en el tiempo. El proveedor de servicios responsable de la implantación del cambio proporcionará a la Agencia Estatal de Seguridad Aérea un Plan de Seguridad Operacional. El mencionado plan permitirá el seguimiento tanto por parte del proveedor de servicios como de la Agencia Estatal de Seguridad Aérea de las distintas fases y actividades planificadas para la implantación segura del cambio. El Plan de Seguridad Operacional, así como las actualizaciones del mismo, será remitido a la Agencia con la suficiente antelación como para que ésta pueda llevar a cabo las funciones pertinentes de supervisión y seguimiento de las distintas actividades planificadas. El Plan de Seguridad Operacional abarcará las diferentes fases del ciclo de vida del sistema funcional e incluirá, al menos, una descripción del alcance del cambio; la normativa y las principales referencias técnicas de aplicación; los acuerdos alcanzados con los distintos proveedores de servicios ATS y/o CNS afectados en materia de seguridad operacional, si procede; Cualquier copia impresa o en soporte informático, total o parcial de este documento se considera como copia no controlada y siempre debe ser contrastada con su versión vigente 7/9

9 las principales actividades que se llevarán a cabo en materia de seguridad operacional; los principales productos de garantía de seguridad asociados a las mismas; los responsables de cada uno de ellos y los plazos en los que se producirán. 6. OTRAS ORGANIZACIONES MENCIONADAS EN EL ARTÍCULO 9 DEL REGLAMENTO (UE) 1034/2011 Adicionalmente a los proveedores certificados de servicios ATS y CNS, el artículo 9 del Reglamento (UE) 1034/2011 define otras organizaciones que deben utilizar únicamente procedimientos aceptados por su autoridad competente para decidir acerca de la introducción de un cambio que afecte a la seguridad de sus sistemas funcionales. La definición que proporciona el mencionado Reglamento del término organización engloba tanto a proveedores de servicios de navegación aérea (ATS, CNS, AIS, MET 1 ) como a entidades que proveen gestión de la afluencia del tráfico aéreo (ATFM), gestión del espacio aéreo (ASM) u otras funciones de red. Si bien no todas las organizaciones identificadas en el artículo 9 del Reglamento (UE) 1034/2011 se encuentran en el ámbito de aplicación del Real Decreto 931/2010, se recomienda la utilización de la presente guía como material de apoyo para la notificación de los cambios en el equipamiento hardware y software que afecten a la seguridad operacional. 1 Las funciones de supervisión de los servicios meteorológicos de apoyo a la navegación aérea (MET) no aparecen recogidas en el ámbito de las competencias atribuidas a la Agencia Estatal de Seguridad Aérea, en virtud del Real Decreto 184/2008, de 8 de febrero, por el que se aprueba el Estatuto de la Agencia Estatal de Seguridad Aérea, y por tanto quedan fuera del ámbito del presente documento. Cualquier copia impresa o en soporte informático, total o parcial de este documento se considera como copia no controlada y siempre debe ser contrastada con su versión vigente 8/9

10 7. LISTA DE ACRÓNIMOS ACRÓNIMO AESA AIS ALARP AMR ASM ATFM ATS CNS CMBF CSNA DSANA ESARR EUROCAE FHA HW MET PSSA SAM SSA SW DESCRIPCIÓN Agencia Estatal de Seguridad Aérea Aeronautical Information Services As Low As Reasonable Possible (Tan bajo como sea razonablemente posible) Análisis y Mitigación de Riesgos Air Space Management Air Traffic Flow Management Air Traffic Services Communications, Navigation and Surveillance Unidad de Supervisión de Cambios Funcionales Coordinatura de Seguridad de la Navegación Aérea Dirección de Seguridad de Aeropuertos y Navegación Aérea Eurocontrol Safety Regulatory Requirement European Organisation for Civil Aviation Equipment Functional Hazard Assessment Hardware Servicios meteorológicos de apoyo a la navegación aérea Preliminary System Safety Analysis Safety Assessment Methodology System Safety Assessment Software Cualquier copia impresa o en soporte informático, total o parcial de este documento se considera como copia no controlada y siempre debe ser contrastada con su versión vigente 9/9