Circulaire d'information (CI) No. 922-001

Sujet : Assurance de la sécurité des systèmes d’aéronefs télépilotés

Bureau émetteur :	Aviation civile, Groupe de travail relatif aux systèmes d’aéronefs télépilotés
Numéro de document :	CI 922-001
Numéro de classification du dossier :	Z 5000-32
Numéro d’édition :	02
Numéro du SGDDI :	14723257-V15
Date d’entrée en vigueur :	2025-04-01

Table des matières

1.0 Introduction
2.0 Références et exigences
3.0 Contexte
4.0 Méthodes pour démontrer la conformité
5.0 Considérations relatives à la conception des SATP
6.0 Modifications
7.0 Instructions et limites d’utilisation
8.0 Gestion de la configuration des SATP
9.0 Obligations du déclarant de SATP
10.0 Gestion de l’information
11.0 Historique du document
12.0 Bureau responsable
Annexe A – Normes consensuelles reconnues par l’industrie
Annexe B – Méthodes d’évaluation de la sécurité des systèmes
Annexe C – Méthodes d’essai pour déterminer la gravité d’une blessure
Annexe D – Éléments à prendre en compte dans le manuel d’exploitation d’un SATP
- 1.0 Manuel d’exploitation du SATP
  - 1.1 Généralités
  - 1.2 Utilisation des normes industrielles

1.0 Introduction

1) La présente circulaire d’information (CI) fournit de l’information et des orientations en décrivant des considérations pertinentes pour aider le public à se conformer aux règlements et aux normes. La présente CI ne modifie pas, ne crée pas, ne modifie pas et ne permet pas de déroger aux exigences réglementaires, ni n’établit de normes minimales.

1.1 Objet

1) Cette CI fournit de l’information et des conseils aux constructeurs qui font des déclarations et des déclarations validées au préalable (DVP) au ministre pour les systèmes d’aéronefs télépilotés (SATP) destinés aux opérations avancées (réf. RAC, partie IX, section V) et aux opérations complexes de niveau 1 (réf. RAC, partie IX, section VI), conformément aux exigences de la partie IX du Règlement de l’aviation canadien (RAC). En outre, cette CI fournit des conseils aux constructeurs sur la façon de se conformer aux exigences en matière de documentation de la partie IX du RAC associées à la déclaration, y compris le contenu attendu des manuels d’exploitation et des programmes de maintenance applicables.

2) Les constructeurs de SATP sont responsables d’effectuer les tests, estimations et évaluations nécessaires et de consigner les résultats dans un formulaire que le ministre peut inspecter à sa demande. Cette CI décrit le processus d’assurance de sécurité et guide les constructeurs de SATP dans l’élaboration des preuves nécessaires pour accompagner leur déclaration. Celle-ci est donc un énoncé du constructeur selon lequel son système répond aux exigences d’assurance de sécurité applicables et convient aux opérations avancées ou complexes prévues lorsque le SATP est utilisé et entretenu conformément aux instructions du constructeur.

3) Cette CI se concentre sur le contenu de la Norme 922 du RAC et sur les moyens acceptables de conformité à cette norme. Elle n’entre pas dans les détails de la procédure de déclaration, ni dans la documentation nécessaire pour étayer une demande de DVP. Pour plus de détails sur les processus de déclaration et de DVP, voir la CI 901-001 – Processus de déclaration et de DVP d’assurance de la sécurité des SATP).

1.2 Applicabilité

1) Le présent document s’applique aux constructeurs de SATP destinés aux opérations avancées décrites dans l’article 901.62 du RAC et aux opérations complexes de niveau 1 décrites dans l’article 901.97 du RAC pour lesquels une déclaration est requise conformément à la section V, Opérations avancées, de la partie IX du RAC.

2) Cette CI fournit des conseils sur les aspects techniques et les moyens recommandés pour se conformer à la Norme 922 du RAC. Pour des conseils sur les processus de déclaration et de déclaration validée au préalable, voir la CI 901-###.

3) La Tableau 1 fournit une référence croisée entre les exigences réglementaires et la présente CI.

Tableau 1 – Référence croisée d’exigence/CI
Dispositions du RAC	Section de la CI
901.194(1)	4.0
901.194(2)	7.4
901.194(4)	7.5
901.195	7.6
901.197	7.7
901.200	7.8
901.200(c)(v)	7.9
901.200(c)(vi)	7.4
901.200(c)(vii)	7.5
901.201	7.6
Norme 922.04	7.7
Norme 922.05	7.8
Norme 922.06	7.9
Norme 922.07	7.4
Norme 922.08	7.5
Norme 922.09	7.6
Norme 922.10	7.7
Norme 922.11	7.8
Norme 922.12	7.9

1.3 Description des modifications

1) Ce document, anciennement CI 922-001 avec une date d’entrée en vigueur de 2021-11-02 a été mis à jour pour couvrir les changements de la norme 922 qui prennent en charge les opérations en VLOS des systèmes d’aéronefs télépilotés moyens (SATPm), ainsi que les opérations BVLOS des systèmes de petits aéronefs télépilotés (SpATP) et des SATPm.

2.0 Références et exigences

2.1 Documents de référence

1) Les documents de référence suivants sont destinés à être utilisés conjointement avec le présent document :

a) Partie IX du Règlement de l’aviation canadien (RAC) – Systèmes d’aéronefs télépilotés;
b) Norme 922 du RAC – Assurance de la sécurité des systèmes d’aéronefs télépilotés;
c) CI 90X-À déterminer – Circulaire d’information sur les processus de déclaration et de déclaration validée au préalable.

2.2 Documents annulés

1) Sans objet.

2.3 Définitions et abréviations

Remarque : Les définitions fournies ci-dessous sont strictement destinées aux fins liées à l’assurance de la sécurité des SATP, telles que décrites dans le reste du document. En cas de conflit entre ces définitions et les définitions provenant d’autres sources (p. ex. le RAC), ces définitions ne doivent être utilisées que dans le contexte de l’assurance de la sécurité des SATP.

1) Les définitions suivantes s’appliquent aux fins du présent document :

a) Échelle abrégée des traumatismes (EAT) : Système mondial de gradation de sévérité fondé sur l’anatomie et reposant sur un consensus d’experts pour classer chaque blessure selon la partie du corps et décrire la gravité des blessures au moyen d’une échelle ordinale de 1 à 6. L’EAT est la base sur laquelle repose le calcul de l’indice de gravité de la blessure (IGB) chez un blessé ayant subi des lésions multiples.
b) Concept d’opérations (CONOPS) : La raison d’être clairement définie et détaillée de l’opération/du système voulue pour le SATP. Cela comprend une description des aspects opérationnels de l’équipage, du SATP, des processus et des procédures, et de l’environnement attendu.
c) Exploitant : Une personne, un groupe de personnes ou une organisation qui possède le SATP en tant que propriétaire, locataire ou autre et qui effectue des opérations d’un SATP en vertu de la Partie IX du RAC.
d) Volume opérationnel : Désigne la zone composée de la géographie de vol, du volume de contingence et de la zone tampon pour les risques liés au sol.
e) Géographie de vol : Désigne la zone dans laquelle un aéronef télépiloté est destiné à voler pour une opération particulière.
f) Volume de contingence : Désigne la zone entourant immédiatement la géographie de vol dans laquelle les procédures de contingence sont censées être utilisées pour ramener un aéronef télépiloté dans la géographie de vol ou mettre fin au vol en toute sécurité.
g) Zone tampon pour les risques liés au sol : Désigne la zone entourant immédiatement le volume de contingence qui, mesurée horizontalement à partir du périmètre du volume de contingence, est au moins égale à l’altitude maximale prévue de l’aéronef télépiloté pour le vol.
h) Propriétaire : La personne ou l’entité qui détient un certificat d’immatriculation de SATP valide et qui en a la garde et la responsabilité légale.
i) Constructeur de SATP : Une personne, un groupe de personnes ou une organisation qui construit, entretient ou exploite des installations qui produisent, assemblent ou vendent des SATP, y compris tous ses produits techniques associés (par exemple, les manuels), en détenant la propriété intellectuelle pour justifier la conception, et le rendement (ci-après dénommé « constructeur »).
j) Demandeur : La personne ou l’entité qui cherche à faire une déclaration ou à demander une déclaration validée au préalable pour une section donnée de la Norme 922 du RAC. Dans le présent document, le terme « demandeur » est généralement utilisé pour désigner des personnes ou des entités avant qu’elles ne soumettent une déclaration d’assurance de sécurité à Transports Canada. Une fois la déclaration d’assurance de sécurité effectuée, le demandeur est appelé « déclarant de SATP ».
k) Déclarant de SATP : La personne ou l’entité qui assume la responsabilité et fait une déclaration selon laquelle un SATP spécifié est conforme à une section donnée de la norme 922 du RAC.
l) Action obligatoire : L’inspection, la réparation ou la modification d’un système d’aéronef téléguidé qui est nécessaire pour éviter une situation dangereuse ou potentiellement dangereuse. Les actions obligatoires sont généralement précisées par le déclarant de SATP en réponse à un rapport de difficultés en service. Se référer à la CI 9XX-À déterminer sur les DVP et les déclarations pour plus d’informations sur les actions obligatoires.
m) Petit aéronef télépiloté (pATP, SpATP) : Désigne un aéronef télépiloté dont le poids en ordre de marche est d’au moins 250 g, mais pas plus de 25 kg.
n) Aéronef moyen télépiloté (ATPm, SATPm) : est un aéronef télépiloté dont le poids en ordre de marche est supérieur à 25 kg, mais inférieur ou égal à 150 kg.

2) Les abréviations suivantes s’appliquent aux fins du présent document :

a) AAAM : Association for the Advancement of Automotive Medicine
b) AGL : Au-dessus du sol
c) ASSURE : Alliance for System Safety of UAS Through Research Excellence
d) ATP : Aéronef télépiloté
e) BVLOS : Au-delà de la visibilité directe
f) CE : Conformité européenne
g) CFR : Code of Federal Regulations (États-Unis)
h) CI : Circulaire d’information
i) CONOPS : Concept d’opérations
j) DAE : Dispositif anthropomorphe d’essai
k) DVP : Déclaration validée au préalable
l) EAT : Échelle abrégée des traumatismes
m) EM : Électromagnétique
n) EMI : Interférence ou brouillage électromagnétique
o) FAA : Federal Aviation Administration
p) FDAL : Niveau d’assurance de la conception fonctionnelle
q) FMEA : Analyse des modes de défaillance et de leurs effets
r) FMVSS : Federal Motor Vehicle Safety Standards
s) FSC2 : Fournisseurs de services de commande et de contrôle
t) GNSS : Système mondial de navigation par satellite
u) HIC : Critère de blessure à la tête
v) IHM : Interface homme-machine
w) ISDE : Innovation, Sciences et Développement économique Canada
x) Liaison C2 : Liaison de commande et de contrôle
y) MTOW : Masse maximale au décollage
z) PC : Poste de contrôle
aa) RAC : Règlement de l’aviation canadien
bb) RF : Radiofréquence
cc) SATP : Système d’aéronef télépiloté
dd) SATPm : Système d’aéronef télépiloté moyen
ee) SpATP : Système de petit aéronef télépiloté
ff) SSA : Évaluation de la sécurité des systèmes
gg) TCAC : Transports Canada, Aviation civile
hh) TSO : Technical Standard Order
ii) UE : Union européenne
jj) VLOS : Visibilité directe

3.0 Contexte

1) La norme 922 du RAC, Assurance de la sécurité des SATP, vise à stimuler cet esprit d’innovation tout en établissant un juste équilibre entre les objectifs en matière de sécurité de SATP dans l’espace aérien national, les exigences en matière de conception et la surveillance de l’industrie. À cette fin, des catégories opérationnelles ont été définies, assorties d’exigences particulières visant la conception, la construction et la fiabilité des SATP.

2) La norme 922 contient des exigences basées sur les performances qui visent à assurer la sécurité des opérations des SATP, qu’il s’agisse d’opérations VLOS à courte distance avec des SpATP ou d’opérations BVLOS avec des SATPm. En fonction du CONOPS prévu pour le SATP, plusieurs sections de la norme 922 peuvent être applicables. Le cas échéant, une déclaration ou une déclaration validée au préalable devra être reçue avant que le SATP soit autorisé à fonctionner (voir CI 9XX-#### pour des conseils sur ces processus). Les sections de la norme 922 sont les suivantes :

a) 922.04 : Opérations dans un espace aérien contrôlé
b) 922.05 : Opérations à proximité de personnes
c) 922.06 : Opérations au-dessus de personnes
d) 922.07 : Sécurité et fiabilité
e) 922.08 : Confinement
f) 922.09 : Fiabilité des liaisons de commandement et de contrôle et comportement des liaisons perdues
g) 922.10 : Systèmes de détection, d’alerte et d’évitement
h) 922.11 : Conception du poste de contrôle
i) 922.12 : Enveloppe environnementale démontrée

3) La conformité à toute partie de la norme 922 est assurée par une déclaration faite par un organisme ou une personne qui assume la responsabilité de la conformité du SATP à la norme 922 du RAC. Pour prendre en charge les différents niveaux de risque associés aux opérations des SATP, le système de déclaration comporte deux niveaux de robustesse. Pour les opérations à moindre risque (c’est-à-dire les opérations SpATP VLOS et certaines opérations BVLOS), le demandeur n’est tenu que de soumettre à TCAC une déclaration attestant qu’il respecte une norme particulière. Pour les opérations à haut risque, un niveau plus élevé de robustesse est atteint en exigeant du demandeur qu’il obtienne une déclaration validée au préalable.

4) Les déclarations validées au préalable exigent que le demandeur soumette des documents supplémentaires à l’examen de TCAC avant d’être autorisé à déclarer la conformité à une partie de la norme 922. Les détails de ce processus de demande sont décrits dans la CI 901-001, Processus de déclaration et de déclaration validée au préalable.

5) Les opérations VLOS utilisant de petits SATP comportent trois catégories de risques opérationnels pour lesquels l’assurance de la sécurité des SATP est jugée nécessaire. Elles sont énumérées dans le tableau ci-dessous.

Référence du RAC	Taille du SATP	Opération	Section applicable de la norme 922.	Type de déclaration requise	Section de référence
901.69(a)	Petit	Espace aérien contrôlé	922.04	Déclaration	4.2
901.69(b)	Petit	Opérations à proximité de personnes	922.05	Déclaration	4.3
901.69(c)	Petit	Opérations au-dessus de personnes	922.06	Déclaration	4.4

6) Dans le cadre des opérations VLOS utilisant des SATP moyens, l’augmentation de la masse et de la complexité des SATP nécessite que des déclarations d’assurance de sécurité soient requises pour toutes les opérations. Les catégories opérationnelles et les déclarations requises sont résumées dans le tableau suivant :

Référence du RAC	Taille du SATP	Opération	Section applicable de la norme 922.	Type de déclaration requise	Section de référence
901.69(e)	Moyen	Opérations loin de personnes	922.08	Déclaration	4.6
901.69(f)	Moyen	Opérations à proximité de personnes	922.07	Déclaration validée au préalable	4.5
901.69(g)	Moyen	Opérations au-dessus de personnes	922.07	Déclaration validée au préalable	4.5
901.69(h)	Moyen	Espace aérien contrôlé	922.04	Déclaration	4.2

7) Les opérations BVLOS sont divisées par la proximité de zones peuplées ainsi que par la taille du SATP. Les classifications opérationnelles suivantes existent :

Référence du RAC	Taille du SATP	Opération	Section applicable de la norme 922.	Type de déclaration requise	Section de référence
901.87(a)	Petit	Opérations à plus d’un kilomètre des zones habitées	922.08 (1,2) 922.09 922.10 922.11	Déclaration	4.6 4.7 4.8 4.9
901.87(a)	Moyen	Opérations à plus d’un kilomètre des zones habitées	922.08 (3,4,5,6) 922.09 922.10 922.11	Déclaration	4.6 4.7 4.8 4.9
901.87(a)	Petit	Opérations à moins d’un kilomètre des zones habitées ou au-dessus de zones faiblement peuplées.	922.07 922.09 922.10 922.11 922.12	Déclaration validée au préalable	4.5 4.7 4.8 4.9

8) En plus des normes de conception mentionnées dans la norme 922 du RAC, les déclarants de SATP ont l’obligation légale de mettre à la disposition de chaque propriétaire l’information prescrite par l’article 901.200 du RAC. Cette information peut être contenue dans le manuel d’exploitation publié pour chaque modèle SATP.

4.0 Méthodes pour démontrer la conformité

4.1 Généralités

1) Les constructeurs de SATP sont tenus de déclarer la conformité de leur système par rapport aux exigences d’assurance de sécurité de la norme 922. Cette section se concentre sur les méthodes permettant de démontrer la conformité à chacune des exigences particulières en matière d’assurance de la sécurité. Ces exigences d’assurance de sécurité reposent sur le risque que ces opérations présentent pour le public et sur les attentes du public en ce qui concerne la fiabilité des produits aéronautiques.

2) Les sous-sections suivantes fournissent des informations sur chaque partie de la norme 922 du RAC et sont destinées à guider les déclarants sur la manière de développer un niveau élevé de confiance dans la conformité d’un ATP à la norme.

Moyens de conformité aux différentes sections de la norme 922 du RAC. L’annexe A contient une liste des normes industrielles reconnues par TC.

3) Méthodes de vérification. Il existe quatre méthodes de vérification principales utilisées dans la conception de produits critiques pour la sécurité. Ces mesures sont les suivantes :

a) Inspection ou examen
b) Analyse
c) Essai ou démonstration
d) Expérience en matière de services

4) Inspection ou examen. Il s’agit d’une inspection ou d’un examen systématique des dessins, des conceptions, du matériel et des logiciels. En général, cette méthode est utilisée pour vérifier les exigences qui peuvent être facilement observées et comprises, telles que l’exécution, les dimensions (taille, poids, etc.) et la mise en œuvre physique.

5) Analyse. L’analyse implique un examen détaillé d’aspects particuliers de la conception et peut inclure des éléments tels que des calculs, une simulation ou une modélisation, ou la traçabilité des exigences par rapport à la mise en œuvre de la conception.

6) Essai ou démonstration. L’essai ou la démonstration est généralement utilisé pour vérifier les exigences de performance et de comportement du système conçu. Les essais vérifient à la fois que le système met correctement en œuvre toutes les fonctionnalités souhaitées et qu’il n’y a pas de comportements non intentionnels ou indésirables du système.

7) Expérience en matière de services. La similitude et l’expérience de service peuvent être utilisées lorsqu’une caractéristique d’un dessin ou modèle est suffisamment semblable à celles des dessins ou modèles existants, et que ces dessins ou modèles existants présentent une fiabilité adéquate. Cette méthode s’appuie sur l’expérience de service documentée ainsi que sur le jugement des ingénieurs pour vérifier que le système se comportera comme prévu avec une fiabilité suffisante.

4.2 922.04 Opérations dans un espace aérien contrôlé

1) Généralités. Concernant l’utilisation d’un SATP dans un espace aérien contrôlé, l’article 922.04 de la norme 922 du RAC impose le respect des exigences relatives à la conception pour permettre la communication de la position et de l’altitude aux contrôleurs de la circulation aérienne et aux autres aéronefs participants à un niveau de précision déterminé.

Même s’il est entendu que ces exigences en matière de précision seules n’apportent aucune robustesse ni aucun objectif de fiabilité du système supplémentaires, l’intention est de fournir un minimum de précision requise pour communiquer la position et l’altitude afin d’avertir les autres utilisateurs de l’espace aérien de tout risque que pourrait poser le SATP.

2) Précision par rapport à la position. Une précision par rapport à la position d’un système de plus ou moins 10 m a été définie comme étant la précision minimale pour communiquer la position dans un espace aérien contrôlé. La plupart des technologies GNSS modernes peuvent atteindre un tel niveau de précision presque à tout coup. Des facteurs (p. ex., bâtiments, arbres, vallées) sont à considérer pour veiller à ce que cette précision puisse être maintenue même dans les modes de fonctionnement dégradés, et dans toutes les portions de l’espace opérationnel proposé. La précision doit être clairement définie dans les parties du manuel d’exploitation relatives aux limitations.

3) Précision par rapport à l’altitude. Une précision par rapport à l’altitude d’un système de plus ou moins 16 mètres a été désignée comme étant la précision minimale pour communiquer l’altitude dans un espace aérien contrôlé. La plupart des technologies GNSS modernes peuvent atteindre un tel niveau de précision au moyen du référentiel géodésique du World Geodetic System – 1984 (WGS-84). Au moment de concevoir un altimètre, il faut prendre soin de tenir compte des différences entre le niveau du sol, le niveau de la mer et diverses références géodésiques.

4) Erreurs. La précision est une mesure probabiliste qui repose sur des hypothèses liées à la qualité et à l’intégrité dans un environnement qui change constamment. Il importe de comprendre les erreurs qui pourraient contribuer à la dégradation de la précision et en tenir compte dans le bilan global des erreurs de conception. Des exemples d’erreurs nuisant à la précision sont indiqués ci-dessous.

a) Erreurs causées par le relief. Les signaux GNSS peuvent faire l’objet d’erreurs causées par le relief. La dissimulation des signaux par le terrain (p. ex., un bâtiment ou une montagne) empêche l’antenne du SATP de recevoir le signal satellite. Le signal GNSS est réfléchi par le paysage de sorte que le récepteur reçoit plusieurs signaux qui peuvent créer de la confusion et qu’il faudra peut-être soustraire pour éviter de créer des erreurs de position.
b) Erreurs atmosphériques. Ces erreurs sont causées par l’ionosphère et la troposphère, qui peuvent toutes deux réfracter les signaux radio GNSS. La densité ionosphérique varie selon le moment de la journée ou de la nuit. Elle varie notamment en fonction de facteurs comme l’humidité, la température et la pression. Ces variations nuisent à l’équation « vitesse du signal x temps » intégrée au GNSS pour calculer la position. Plusieurs étapes doivent être suivies pour corriger ces erreurs. Les erreurs liées à la troposphère peuvent être causées par l’humidité qui absorbe ou réfracte le signal et provoquent des erreurs de calcul pouvant atteindre jusqu’à six mètres. Les erreurs liées à l’ionosphère peuvent être causées par la réfraction atmosphérique des signaux GNSS et peuvent représenter jusqu’à une hausse de 40 à 60 m le jour, et de 6 à 12 m la nuit. Ces erreurs peuvent être atténuées par l’utilisation de récepteurs multifréquence, le choix d’un angle de masquage ou l’utilisation de systèmes de renforcement (basés au sol, tels que le système d’augmentation de zone locale [LAAS], ou basés dans l’espace, tels que le service européen de superposition de navigation géostationnaire [EGNOS]).
c) Erreurs de signal satellite. Ces erreurs découlent de géométries de piètre qualité ou imprévues liées aux positions des satellites GNSS en référence à un SATP. Les effets gravitationnels du Soleil et de la Lune peuvent faire dévier le véhicule satellite de sa trajectoire orbitale. Le rayonnement solaire crée l’EMI avant que le signal atteigne l’atmosphère.
d) Affaiblissement de la précision (DOP) géométrique. La DOP survient lorsque les satellites évoluent trop près les uns des autres. La conséquence qui s’ensuit, c’est que tous les signaux sont vulnérables aux mêmes erreurs atmosphériques. Les erreurs sont observées sur les plans horizontal (H), vertical (V) et de temps (T).

4.3 922.05 Opérations à proximité de personnes

1) Généralités. L’alinéa 901.62b) du RAC autorise les opérations d’un ATP à une distance de 30 m (100 pi), mais à au moins 5 m (15 pi) d’une personne, à l’exception du membre d’équipage ou de la personne impliquée dans l’opération. Cette autorisation n’est accordée qu’aux SATP pour lesquels une déclaration a été soumise par le constructeur, confirmant leur aptitude à fonctionner à proximité de personnes. L’article 922.05 de la norme 922 du RAC stipule deux exigences techniques qui doivent être vérifiées avant toute déclaration. Le constructeur doit également publier toutes les limites associées aux opérations à proximité de personnes (p. ex., limites de vitesse, modes opérationnels autorisés) dans le manuel d’exploitation.

2) Protection contre les blessures causées aux personnes au sol

a) Généralités. La conception du SATP doit être évaluée de manière à démontrer l’improbabilité de la survenue d’une défaillance unique susceptible de causer des blessures graves à une personne au sol dans un rayon de 30 m de l’ATP en vol. Cette exigence vise à protéger les personnes non associées au fonctionnement du SATP des blessures graves ou de la mort résultant de la conception de systèmes peu fiables ou peu sécuritaires pour ce type d’opération.
b) Défaillance unique. Le principe « aucune défaillance unique » permet la mise en œuvre d’architectures de système utilisant la redondance pour accroître la fiabilité du SATP global. Bien qu’il soit reconnu que certaines défaillances uniques peuvent survenir sans nuire à la capacité de contrôler et de récupérer l’ATP à la suite des procédures anormales ou d’urgence publiées, les défaillances uniques mentionnées dans cette exigence technique sont celles pour lesquelles aucune récupération contrôlée n’est possible. Quelques exemples sont indiqués ci-dessous :
- 1. défaillance des commandes de vol menant à un décrochage;
- 2. défaillance de l’antenne menant à une dérive;
- 3. défaillance de l’enroulement du moteur menant à une panne de moteur;
- 4. court-circuit électrique menant à un feu.
c) Dispositifs de sécurité. Des caractéristiques de sécurité peuvent être intégrées à la conception afin de réduire les risques de blessures à des personnes au sol (voir la section 6.4 de la présente CI sur la gravité de la blessure). Les caractéristiques de sécurité possibles sont indiquées ci-dessous :
- 1. avertisseur de décrochage;
- 2. parachute;
- 3. matériaux frangibles;
- 4. matériaux de construction souples;
- 5. carénage de rotor;
- 6. système de protection du domaine de vol;
- 7. indicateur de charge de batterie ou de quantité de carburant avec avertissement;
- 8. dispositif qui force l’aéronef à se poser lorsque la charge de batterie ou la quantité de carburant est faible;
- 9. fonction de retour à la base;
- 10. moyen d’arrêter rapidement le moteur (y compris freinage par hélice ou rotor).
d) Improbable. Le terme « Improbable » implique une prédiction de probabilité pour un scénario de défaillance spécifique. Une évaluation de la sécurité des éléments du SATP devrait être réalisée afin de justifier toute prévision de probabilité. Reportez-vous à l’annexe B pour plus de précisions. Il convient de noter que cette annexe utilise des terminologies et des processus aéronautiques standard pour effectuer une évaluation de la sécurité du système (voir la circulaire AC 23-1309-1E de la FAA ou une révision publiée ultérieurement).
e) Méthodes d’évaluation. Le respect des exigences d’assurance de la sécurité implique l’évaluation de la blessure subie par les personnes au sol du fait de chaque défaillance et la détermination de la probabilité qu’elles se produisent par heure de vol. L’objectif est que le constructeur de SATP démontre la faible probabilité que l’ATP inflige des blessures graves (EAT 4 à 6) à des personnes au sol en raison d’une défaillance. Une procédure d’évaluation de la gravité de la blessure est fournie à l’annexe C.

Figure 1 – Schéma relatif à l’évaluation de la conformité en matière de sécurité des opérations près d’une personne

Organigramme qui montre une méthode potentielle d'analyse de la conformité avec une évaluation de la sécurité des opérations à proximité du personnel. "Opérations à proximité de personnes" commence en haut et chaque décision décroît comme suit: "Effectuer une analyse des défaillances", puis "Identifier chaque défaillances", puis "Classer les blessures subies par une personne dans un rayon de 30 mètres mais pas moins de 5 mètres du RPA pour chaque défaillance identifiée", puis "La classification des blessures est-elle égale ou pire que AIS 4?" Non - "Conforme"; "Documenter l’analyse et preuves de conformité associées". Oui - "La probabilité de cette défaillance est-elle faible ou inférieure?" Non - "Meusure atténuante ou correctif requit" dans "Effectuer une analyse des défaillances" Oui - "Conforme"; "Documenter l’analyse et preuves de conformité associées".

3) Avertissement et alertes.

a) Généralités. Les avertissements et les alertes sur le PC sont destinés à informer le pilote des conditions pouvant affecter le fonctionnement sécuritaire du vol du SATP. En cas de pannes ou de conditions dangereuses présentant une alerte au pilote, le système d’avertissement et d’alerte doit être conçu de manière à fournir des indications visibles minimisant le risque d’erreur de pilotage susceptible d’aggraver la situation. L’objectif de sécurité est de concevoir des systèmes qui prennent en charge les tâches du pilote en fournissant de l’information opportune, précise et intuitive pour une exploitation sécurisée de l’ATP.
Il existe de nombreux recoupements entre les aspects relatifs à l’avertissement et à l’alerte des normes 922.05 et 922.06 et la norme 922.11 relative à la conception des postes de contrôle. Les moyens de conformité recommandés dans la section 7.8 ci-dessous pour la norme 922.11 du RAC sont également appropriés pour démontrer que les contrôles, la surveillance et les avertissements du système sont appropriés pour les opérations à proximité et au-dessus des personnes. Voir la section 7.8 pour plus de détails sur l’intégration homme-système.

4.4 922.06 Opérations au-dessus de personnes

1) Généralités. Le sous-alinéa 901.62a)(iii) du RAC autorise les opérations d’un petit ATP à une distance de moins de 5 m (16,4 pi) d’une personne au sol. Cette autorisation n’est accordée qu’aux SATP pour lesquels une déclaration a été soumise par le constructeur, confirmant leur aptitude à fonctionner au-dessus de personnes. L’article 922.06 de la norme 922 du RAC stipule les trois principales exigences techniques à vérifier avant de faire une déclaration. Une description des moyens incorporés dans la conception pour éviter de dépasser les limites d’exploitation lors du survol, ainsi que les limites associées pour les opérations au-dessus de personnes, devraient être publiées dans le manuel d’exploitation.

2) Protection contre les blessures causées aux personnes au sol

a) Généralités. Le SATP doit être évalué pour montrer que la conception empêche toute défaillance unique pouvant entraîner des blessures graves à une personne au sol dans un rayon de 5 m de l’ATP en vol. De plus, toute combinaison de défaillances susceptible d’entraîner des blessures graves doit être improbable. Ces exigences ont pour but de protéger les personnes non associées au vol du SATP des blessures graves ou de la mort résultant de la conception de systèmes non fiables ou dangereux pour ce type d’opérations.
b) Défaillance unique. La prise en compte de l’évaluation des défaillances uniques est similaire à celle des opérations effectuées à proximité de personnes (voir l’alinéa 6.2(3)b)). La conception des SATP doit donc prévoir une fiabilité supplémentaire qui peut être fournie à l’aide de moyens architecturaux comme la redondance, l’indépendance, et des niveaux élevés d’assurance du développement. Toute évaluation de la sécurité doit prendre en compte les modes communs et les défaillances de cause commune.
c) Combinaison de défaillances. Les exigences d’assurance de sécurité spécifient que toute combinaison de défaillances pouvant entraîner des blessures graves doit être évaluée pour montrer que sa probabilité d’occurrence combinée est faible.
d) Improbable. Reportez-vous à la section 6.2(3)(c de la présente CI pour des conseils sur l’utilisation du terme « improbable ».
e) Méthodes d’évaluation. Les méthodes d’évaluation de la conformité sont identiques à celles des opérations effectuées à proximité de personnes décrites à la section 6.2(3) d) de la présente CI. Les opérations au-dessus de personnes nécessitent la démonstration que les blessures graves ne résulteront pas d’une défaillance unique, et ce quelle que soit la probabilité de cette dernière. Une procédure d’évaluation de la gravité de la blessure est fournie à l’annexe C.

Figure 1 – Schéma relatif à l’évaluation de la conformité en matière de sécurité des opérations au-dessus d’une personne

Arbre de décision utilisé pour évaluer et classer la charge de travail associée aux tâches pilotes. L'évaluation commence en bas (décisions du pilote) et se déplace vers le haut par chaque porte logique comme suit: Était-il possible d'accomplir la tâche? Non - tâche abandonnée. Pilote incapable d'appliquer le niveau d'effort requis pour la tâche. Évaluation de la charge de travail 10. Oui — prochaine question: La charge de travail était-elle tolérable pour la tâche? Non - Charge de travail extrêmement élevée. Pas de capacité disponible. Doutes sérieux quant à la capacité de maintenir le niveau d'effort. Charge de travail nominale 9. Non - Charge de travail très élevée avec presque pas de capacité disponible, difficulté à maintenir le niveau d'effort. Charge de travail nominale 8. Non — Très faible capacité de réserve, mais maintien des efforts dans les tâches principales non concerné. Charge de travail nominale 7. Oui - question suivante: La charge de travail est-elle satisfaisante sans réduction? Non - peu de capacité disponible; Le niveau d’effort laisse peu d’attention aux tâches supplémentaires. Charge de travail nominale 6. Non - capacité de réserve réduite; les tâches supplémentaires ne peuvent pas recevoir l’attention souhaitée. Charge de travail nominale 5. Non: capacité de réserve insuffisante pour permettre de se concentrer sur des tâches supplémentaires. Évaluation de la charge de travail 4. Oui — Capacité suffisante pour toutes les tâches. Évaluation de la charge de travail 3. Oui — Charge de travail faible. Évaluation de la charge de travail 3. Oui - Charge de travail insignifiante. Charge de travail nominale 1.

3) Avertissement et alertes

a) Comme indiqué ci-dessus, l’analyse des systèmes d’avertissement et d’alerte pour les SATP opérant au-dessus de personnes suit les mêmes processus que la norme 922.12 du RAC décrite à la section 7.8 ci-dessous.

4.5 922.07 Sécurité et fiabilité

1) Généralités. Cette norme s’applique aux opérations VLOS avec des SATP de taille moyenne qui se déroulent à proximité et au-dessus de personnes, ainsi qu’aux opérations BVLOS qui survolent des zones faiblement peuplées (c’est-à-dire entre 5 et 25 personnes par kilomètre carré). À un niveau élevé, cette norme exige du déclarant qu’il effectue une évaluation formelle de la sécurité du système de son SATP. Les SATP de taille moyenne sont généralement plus complexes et la présente norme garantit que l’on accorde une attention particulière à la manière dont les différents systèmes se comportent en cas de défaillance et à la manière dont les sous-systèmes peuvent interagir en cas de défaillance. En général, on peut supposer que si un objet de plus de 25 kg entre en contact avec une personne ou un aéronef piloté, il y aura des blessures graves ou la mort. Par conséquent, les opérations VLOS qui n’ont pas le luxe de disposer d’une distance de sécurité suffisante par rapport aux personnes non impliquées dans l’opération doivent effectuer une évaluation de la sécurité du système de leur SATP afin de démontrer que la probabilité que leur SATP crée un danger pour ces personnes est suffisamment faible.

La norme 922.07 s’applique à toutes les opérations BVLOS qui ne sont pas « isolées », car il est important de comprendre le degré de fiabilité du SATP et les défaillances auxquelles on peut s’attendre. En étant plus proches des gens, les défaillances des SATP au cours de ces opérations peuvent créer des situations plus dangereuses que la même défaillance pourrait créer dans une zone isolée. La compréhension de la probabilité et du caractère critique de ces défaillances déterminera souvent les limites opérationnelles ainsi que les mesures d’atténuation stratégiques et tactiques nécessaires pour assurer la sécurité de l’opération.

Il convient de noter que le point 922.08 (Confinement) n’est pas spécifiquement mentionné pour les opérations qui doivent être conformes au point 922.07. Cela ne signifie pas que les considérations relatives au confinement ne s’appliquent pas à ces opérations. Il est prévu que l’analyse de la capacité de confinement d’un SATP et des mesures d’atténuation des sorties en vol soit effectuée dans le cadre du processus d’évaluation de la sécurité et de la fiabilité prévu par la norme 922.07. Comme indiqué dans la section 922.08 ci-dessous, le confinement joue un rôle important dans l’assurance de la sûreté des opérations isolées. Les déclarants au titre de la norme 922.07 doivent encore évaluer leur CONOPS notionnel en ce qui concerne les risques associés aux dérives et s’assurer que ces risques sont suffisamment atténués.

2) CONOPS notionnel. La première étape pour démontrer la conformité à cette norme nécessitera l’élaboration d’un concept théorique d’opérations. Cela permettra de déterminer le « fonctionnement moyen » attendu et d’informer les classifications de criticité du système. Le CONOPS notionnel sera utilisé pour faciliter l’analyse des effets de la défaillance. Si des hypothèses particulières du CONOPS sont utilisées pour abaisser la classification des dangers utilisée, ces hypothèses doivent être incluses en tant que limites opérationnelles dans le manuel d’exploitation du SATP. Par exemple, si le CONOPS notionnel suppose que pour certains types d’opérations, un système d’interruption de vol, un système de parachute ou une batterie indépendante est disponible, une limitation serait alors nécessaire pour ces opérations, exigeant que ces systèmes soient installés et opérationnels lorsque le SATP est exploité.

Le CONOPS notionnel est suffisamment important pour le processus de développement des SATP pour qu’une copie du CONOPS notionnel soit exigée dans le cadre du dossier de données lorsqu’un demandeur demande une déclaration validée au préalable. Voir CI <à déterminer sur DVP> pour plus d’informations. Comme indiqué ci-dessus, le CONOPS notionnel doit être le surensemble de toutes les opérations autorisées avec le SATP, et toute limitation ou hypothèse susceptible d’entraîner des limitations doit être communiquée à l’opérateur.

3) Utilisation de l’énergie cinétique pour préciser les exigences de fiabilité. Les objectifs de sécurité particuliers de la norme 922.07 sont basés sur l’énergie cinétique maximale de l’ATP. Les demandeurs doivent déterminer l’énergie cinétique maximale que leur système est susceptible d’atteindre dans le pire des cas de défaillance. En général, il faudra créer une évaluation des risques fonctionnels au niveau de l’aéronef (voir SAE ARP4761) pour déterminer quelle défaillance ou combinaison de défaillances pourrait entraîner la plus grande vélocité de l’ATP. Cette évaluation est censée correspondre à l’énergie cinétique dérivée de la vitesse linéaire maximale de l’aéronef à sa masse maximale d’exploitation. Cette mesure peut exclure l’énergie cinétique de rotation contenue dans les pièces rotatives, ainsi que l’énergie potentielle chimique contenue dans les réservoirs de carburant et les batteries.

Il est admis que certaines configurations de drones peuvent avoir une énergie cinétique de rotation considérable sous la forme de rotors en rotation, ou une énergie chimique potentielle sous la forme de carburant ou de batteries, mais il est beaucoup plus difficile de quantifier le potentiel de blessures provenant de ces sources, car elles dépendent fortement des conditions exactes de l’accident. En outre, après un accident, les pièces rotatives (qui sont généralement des rotors et des hélices légers) ont tendance à dissiper l’énergie cinétique sur une courte distance, et les sources chimiques (carburant/batteries) ont tendance à dissiper l’énergie lentement (en brûlant) plutôt que de manière explosive. Comme indiqué ci-dessus, le danger créé par ces sources d’énergie dépend fortement des conditions particulières de l’accident. Pour ces raisons, seule l’énergie cinétique linéaire est utilisée, car elle fournit une mesure normalisée du potentiel de dommage présent dans un SATP particulier, et l’intention est que les critères de sécurité (taux de défaillance, assurance de la conception, distances de sécurité requises) soient suffisants pour fournir une atténuation adéquate des autres sources d’énergie contenues dans le SATP. Toutefois, dans certains cas, des conceptions d’aéronefs non conventionnelles peuvent rendre ces hypothèses non valides. Dans ces cas, le dossier de sécurité doit être revu pour déterminer si l’utilisation de l’énergie cinétique linéaire seule est toujours applicable. Il peut s’agir, par exemple, de SATP dont les pièces rotatives sont plus lourdes que la normale, de réservoirs de carburant sous pression (hydrogène, quantités importantes de carburant, etc.) ou de transport de marchandises dangereuses. Voir CI 901-001 – Processus de déclaration et de DVP d’assurance de la sécurité des SATP pour plus d’informations sur les déclarations impliquant des conceptions non conventionnelles.

Les catégories d’énergie cinétique utilisées pour la norme 922.07 ont une limite supérieure de 1 084 kJ. Les demandeurs sont invités à communiquer avec Transports Canada s’ils estiment que l’énergie cinétique de leur SATP est supérieure à 1 084 kJ, ou s’il existe des considérations particulières concernant d’autres sources d’énergie (énergie de rotation ou énergie chimique, comme indiqué ci-dessus). À l’extrémité inférieure du spectre énergétique, lorsqu’il s’agit de déterminer si un petit ATP peut causer des blessures graves, une procédure d’évaluation de la gravité des blessures est fournie à l’annexe C.

4) Probabilité de défaillance. Une fois l’énergie cinétique la plus défavorable déterminée, le tableau 1 de la norme 922.07 du RAC peut être utilisé pour déterminer les objectifs de fiabilité pour les différentes catégories de criticité des défaillances. Une évaluation des dangers fonctionnels au niveau du SATP est réalisée pour déterminer les dangers particuliers et la classification des défaillances associés aux défaillances des différents systèmes de l’aéronef. Une fois les classifications des défaillances déterminées, une évaluation de la sécurité du système est effectuée pour démontrer que le SATP, tel qu’il a été conçu, satisfait ou dépasse les exigences de fiabilité du tableau 1 de la norme 922.07 du RAC. En fonction de la complexité du SATP, cette démonstration peut faire appel à l’expérience en service, à des essais de durée de vie accélérés, à une analyse technique, à une analyse de l’arbre des défaillances ou à d’autres outils d’évaluation de la fiabilité quantitatifs et qualitatifs. Pour plus d’informations, voir l’annexe B du présent document.

5) Assurance du développement. L’assurance du développement est l’ensemble des processus par lesquels la conception d’un produit est évaluée et examinée pour s’assurer qu’il fonctionne comme prévu dans des conditions de sécurité critiques. Il est prévu qu’une approche structurée de l’assurance du développement soit utilisée lors de la conception d’un SATP conforme aux exigences de fiabilité de la norme 922.07. En supposant que les définitions habituelles des niveaux d’assurance de la conception dans le domaine de l’aviation soient appliquées, les niveaux d’assurance de la conception recommandés sont les suivants :

1. Tableau 2 – Attribution des NAC
Classification	Objectif de fiabilité	Niveau d’assurance du développement fonctionnel (FDAL)
Classification	Objectif de fiabilité	< 700 J	< 34 kJ	< 1 084 kJ
Catastrophique	Extrêmement improbable	FDAL D/Niveau 3	FDAL D/Niveau 3	FDAL C
Dangereuse	Très improbable	FDAL D/Niveau 3	FDAL D/Niveau 3	FDAL D
Majeure	Improbable	FDAL D/Niveau 2	FDAL D/Niveau 2	FDAL D
Mineure	Probable	FDAL D/Niveau 1	FDAL D/Niveau 1	FDAL D
Aucune incidence sur la sécurité	Aucune exigence	Aucune exigence	Aucune exigence	Aucune exigence

Les niveaux d’assurance du développement (NAD) sont destinés à être utilisés pour fournir un niveau précis de rigueur que le constructeur/concepteur est tenu d’appliquer à la conception et au développement des composants matériels et logiciels de ses systèmes. Le NAD attribué détermine l’étendue des activités d’assurance à réaliser sur les systèmes.

Les niveaux précis attribués à chaque catégorie de SATP dans le tableau 2 sont choisis comme un équilibre entre les exigences plus strictes pour les aéronefs certifiés de la partie 23 tout en garantissant que le demandeur dispose d’un moyen de montrer que sa conception est « correcte ». Les niveaux choisis sont également cohérents avec ce qui a été proposé par JARUS dans le SATP 1309, qui considère également des SATP beaucoup plus grands que ce qui est proposé dans cette norme (< 6 000 lb/2 721 kg). Lorsque des attributions spécifiques de NAD sont requises, les exigences recommandées en matière de vérification et de validation doivent être conformes aux dispositions de la norme SAE ARP 4754A. Lorsque des niveaux sont attribués, la vérification et la validation doivent être conformes aux exigences de la norme ASTM F3201 (lorsqu’elle s’applique au développement de logiciels) ou à un processus équivalent.

Lorsque des systèmes secondaires sont nécessaires dans la conception pour atteindre les objectifs de sécurité, le système secondaire doit se voir attribuer le même NAD que le système primaire. Le NAD détermine également le type et le nombre de validations et de vérifications effectuées par le demandeur et décrites dans son plan de conformité. Le plan de développement de ces artefacts de NAD et les méthodes utilisées par le demandeur doivent être inclus dans la phase de demande de déclaration validée au préalable pour les SATP et peuvent faire l’objet d’un contrôle dans le cadre des procédures générales de surveillance des SATP.

4.6 922.08 Confinement

1) Généralités. Cette norme s’applique à toutes les opérations pour lesquelles l’atténuation des risques provient en grande partie du fait que l’opération se déroula loin des personnes (au sol ou dans les airs). Pour ces opérations, un élément clé de la sécurité est l’assurance que l’ATP peut être maintenu à l’intérieur du volume opérationnel. En d’autres termes, l’envol d’un avion au cours de ces opérations entraînerait la perte de la majeure partie de la marge de sécurité prévue pour l’opération. La norme de confinement est appliquée pour garantir que l’opération maintiendra l’ATP à l’intérieur du volume opérationnel.

La norme de confinement 922.08 s’applique aux opérations VLOS avec SATPm, à plus de 500 pieds des personnes non impliquées dans les opérations. On s’attend à ce que beaucoup de ces opérations soient des vols de conception et de développement de prototypes de SATP. Avant le premier vol d’un SATPm, il convient de déclarer que le SATP répond à la norme de confinement à faible robustesse des paragraphes 922.08(1) et 922.08(2).

Outre le VLOS de base et le BVLOS isolé, la norme de confinement à faible robustesse s’applique également au VLOS dans l’espace aérien contrôlé avec des ATP dont le poids est compris entre 25 et 150 kg. Actuellement, les opérations VLOS de la partie IX dans l’espace aérien contrôlé exigent que l’ATP soit déclaré conforme à la norme 922.04 et que l’opération soit autorisée et coordonnée par l’autorité de contrôle de l’espace aérien (réf. 901.71). Ces opérations VLOS continueront d’être limitées en altitude à ce que l’autorité de contrôle approuve, et l’exploitant devra maintenir la VLOS (901.11), laisser la priorité à tous les aéronefs conventionnels (901.17) et ne pas créer de danger pour les autres aéronefs conventionnels (901.18). Ces mesures d’atténuation stratégiques permettent de maintenir les risques associés aux opérations VLOS à un niveau faible, quelle que soit la taille du SATP. L’application d’un confinement à faible robustesse est considérée comme suffisamment sûre pour que ce type d’opération ne donne pas lieu à un envol dans l’espace aérien contrôlé, et atténue donc le principal risque supplémentaire lié à l’utilisation d’un SATP de plus de 25 kg.

Il convient de noter que cette norme n’est pas appliquée lorsqu’une opération requiert la norme 922.07 (sécurité et fiabilité). L’application de la norme de confinement peut être considérée comme un sous-ensemble du processus complet d’analyse de sécurité du système. On s’attend à ce que les moyens de conformité à la norme sur le confinement comprennent les mêmes types d’évaluation de la sécurité et d’assurance de la conception et du développement que les moyens de conformité à la norme 922.07, mais que l’objectif de ces processus soit la défaillance particulière d’une sortie de route.

2) Moyens de conformité attendus. Les paragraphes suivants ont pour but de fournir des conseils et quelques exemples simples de la manière dont un demandeur peut choisir de se conformer à la norme de confinement. Les exemples présentés ici n’ont pas pour but de décrire les seuls moyens possibles de conformité.

3) Considérations relatives à une défaillance unique. Les normes de confinement à faible et de grande robustesse exigent qu’aucune défaillance n’entraîne la dérive de l’ATP. Par conséquent, le moyen de confinement doit être indépendant de tout système sur le SATP qui pourrait entraîner une dérive. Par exemple, un système d’interruption de vol dont l’activation repose sur la liaison C2 du SATP ne répondrait pas à l’exigence d’une seule défaillance, car on peut supposer qu’une défaillance de la liaison C2 entraînerait l’impossibilité de contrôler et d’interrompre le vol du SATP. Il en résulterait que l’exploitant n’aurait plus les moyens d’assurer le confinement. D’autre part, un système de fin de vol qui met fin au vol en toute sécurité à la suite d’une défaillance de la liaison C2 pourrait être acceptable en fonction des détails de l’architecture du système. L’analyse de la sécurité du système doit montrer qu’il n’y a pas de défaillance de cause commune susceptible d’entraîner une défaillance de la liaison C2 et du système de terminaison de vol (c’est-à-dire que l’émetteur-récepteur RF et le système de terminaison de vol ne doivent pas être alimentés par la même source d’énergie).

Il faut également prendre en compte les erreurs dans les logiciels et le matériel électronique qui pourraient entraîner une dérive. L’analyse des systèmes doit montrer que les systèmes utilisés pour prévenir la dérive sont isolés des erreurs qui pourraient survenir dans d’autres logiciels ou composants électroniques. En général, cela poussera les demandeurs à choisir des systèmes de confinement développés et mis en œuvre indépendamment des autres systèmes utilisés dans le SATP.

4) Confinement à faible robustesse. Au niveau le plus élémentaire, le demandeur pourrait démontrer la conformité à cette norme en limitant le carburant/l’énergie électrique du drone de manière à ce qu’il n’ait pas l’endurance nécessaire pour quitter le volume opérationnel. Par exemple, un SATP ayant 10 minutes d’endurance à l’intérieur d’un volume opérationnel, de sorte qu’il se trouve à plus de 10 minutes à vitesse maximale de n’importe quel bord du volume opérationnel, ne pourra pas sortir de ce volume opérationnel en cas de défaillance.

De manière plus réaliste, un candidat souhaitant démontrer qu’il satisfait aux exigences de confinement à faible robustesse devra effectuer une analyse de la sécurité du système de son SATP en mettant l’accent sur les défaillances du système qui pourraient amener l’ATP à quitter le volume opérationnel sans que l’opérateur soit en mesure de l’arrêter. Un exemple de défaillance qui pourrait provoquer cela serait la perte de la liaison C2 alors que le SATP a programmé le maintien du cap et de l’altitude. Un autre exemple serait une défaillance du capteur de navigation conduisant le SATP à voler de manière incorrecte en dehors du volume opérationnel. Pour des défaillances de ce type, il est prévu que le fabricant ajoute à ses SATP une redondance indépendante qui prendra le relais et exécutera la fonction nécessaire ou mettra fin au vol en toute sécurité.

Par exemple, le fabricant d’un SATP effectue un examen de la conception de son SATP et découvre que le pilote automatique du système utilise un logiciel libre qui n’a pas d’antécédents en matière d’assurance de la conception ou du développement. L’examen devra alors déterminer si une défaillance du logiciel de pilotage automatique peut entraîner une dérive de l’aéronef. Pour un système comme celui-ci, si le fabricant voulait montrer un confinement à faible robustesse sur ce SATP, ses options seraient les suivantes :

a) Remplacer, redéfinir et valider le pilote automatique afin de démontrer qu’aucune défaillance de ce pilote automatique n’entraînerait une dérive. Étant donné que les éléments logiciels sont généralement censés contenir des erreurs logicielles, ce remaniement nécessiterait la conception d’une redondance indépendante dans le pilote automatique.
b) Ajouter un système d’interruption de vol indépendant qui peut être activé par l’opérateur en cas de défaillance du pilote automatique entraînant une dérive. Le demandeur devra démontrer que le système permet à l’opérateur d’être alerté en cas de défaillance du système d’interruption de vol. Le demandeur devra également veiller à ce que l’opérateur soit alerté des conditions pouvant indiquer qu’une dérive est imminente et à ce que des procédures soient établies pour l’activation du système d’interruption de vol.

5) Confinement de grande robustesse. Les exigences de confinement de grande robustesse sont qu’aucune défaillance unique ne peut provoquer une dérive et que toute combinaison de défaillances conduisant à une dérive est improbable. Le respect d’un confinement de grande robustesse nécessiterait une FMEA et une SSA pour analyser le SATP et déterminer les défaillances susceptibles d’entraîner une rupture du confinement. Il faudrait alors démontrer (probablement par une analyse) que ces échecs sont suffisamment improbables.

Outre l’analyse des défaillances, le confinement de grande robustesse comprend également une exigence d’assurance de la conception pour le matériel et les logiciels où une défaillance pourrait entraîner une perte de confinement. Les candidats doivent mettre en place un processus de conception de système basé sur une norme industrielle telle que DO-178/254 ou ASTM F3201-16. L’objectif est de limiter autant que possible la probabilité que le SATP subisse une perte de confinement en raison d’une erreur logicielle.

4.7 922.09 Fiabilité des liaisons de commandement et de contrôle et comportement des liaisons perdues

1) Généralités. Lors d’une opération BVLOS, la liaison C2 est la seule connexion entre l’opérateur et l’ATP. L’opérateur doit disposer de suffisamment d’informations sur la liaison C2 pour prendre des décisions stratégiques éclairées lors de la conception d’une opération, ainsi que des décisions tactiques lors de l’exécution d’une opération.

Cette norme n’est pas requise pour les opérations VLOS, car, lors d’une opération VLOS, la liaison C2 n’est pas le seul moyen de maintenir la connaissance de la situation de l’ATP et de son environnement. S’il est vrai que la perte de la liaison C2 lors d’une opération VLOS peut entraîner une perte de contrôle du SATP, ces opérations atténueront ce risque par d’autres moyens. Les opérations de base atténuent ce risque grâce à la distance qui les sépare des personnes et au respect de l’obligation de confinement prévue par la norme 922.08. Les autres opérations VLOS (telles que les opérations VLOS à proximité et au-dessus de personnes dotées d’un SATPm) sont censées analyser une défaillance de la liaison C2 dans le cadre du processus normalisé 922.07 et atténuer en conséquence les dangers liés à la liaison C2.

2) Risques liés à l’exploitation. Cette norme vise à atténuer deux risques opérationnels majeurs : Premièrement, il vise à quantifier la probabilité d’une perte de la liaison C2, qui se traduira en général par une perte de la connaissance de la situation du pilote. La perte du lien C2 crée un scénario dans lequel l’opérateur est « aveugle » à l’état du SATP. Par conséquent, la norme vise à garantir que les fournisseurs de services de liaison C2 (FSC2) et les développeurs de SATP ont évalué leurs conceptions et leurs mises en œuvre afin de décrire avec précision les limites de la liaison C2 en ce qui concerne la capacité du pilote à piloter, à naviguer, à communiquer et à s’intégrer de manière transparente dans l’espace aérien. Les informations relatives aux performances de la liaison C2 doivent être transmises à l’opérateur (réf. RAC 901.200) afin que ce dernier puisse prendre des décisions éclairées lors de la conception des opérations et lors de la prise de décisions tactiques au cours d’une opération.

Deuxièmement, elle atténue les risques liés à la perte de contrôle de l’ATP. Dans certains SATP, la perte de la liaison C2 peut entraîner un état dans lequel le SATP n’est plus contrôlable (par exemple, dérive, écrasement) et peut présenter un risque pour la sécurité aérienne. L’objectif de la norme est de garantir que les SATP utilisés pour des opérations BVLOS ont un comportement prévisible et compris par l’opérateur, de sorte que des opérations sûres puissent être planifiées. À l’avenir, on s’attend à ce que cela conduise à des comportements opérationnels standard lorsque l’avion perd la connexion avec les pilotes.

Cette norme comprend des exigences de sécurité qui permettent d’appliquer la robustesse à la liaison C2 dans des environnements qui ne mériteraient pas une analyse complète de la sécurité et de la fiabilité. Dans ce cas, le demandeur doit examiner l’architecture et la fiabilité du système de liaison C2 lorsqu’il démontre la conformité à cette norme. Pour les autres types d’opérations BVLOS, l’analyse du système de liaison C2 devrait être effectuée dans le cadre de la norme 922.07 relative à la sécurité et à la fiabilité. Dans ces cas, il est prévu que le demandeur se réfère à son analyse de sécurité et de fiabilité pour démontrer la conformité à la composante fiabilité de la norme de liaison C2.

3) Moyens de conformité attendus. Les fournisseurs de services C2 (FSC2) sont des organisations tierces qui fournissent une capacité de liaison C2 pour l’utilisation de SATP. Pour les FSC2, la conformité à la norme peut être démontrée par une dérivation des critères de performance à l’aide d’une méthode normalisée d’évaluation des paramètres (par exemple, la méthodologie DO-377A). On s’attend à ce que les personnes qui font des déclarations en vertu de cette norme possèdent une expertise en ingénierie radio et qu’elles produisent et soutiennent des opérations radio au Canada.

Pour les concepteurs de SATP, la conformité à la partie de la norme relative à la liaison perdue peut être démontrée par une analyse des risques fonctionnels, une évaluation de la sécurité des systèmes et une évaluation des défaillances des composants (par exemple, la méthodologie ARP-4761). Les redondances dans les systèmes clés de liaison C2 permettront d’assurer la robustesse de la conception, tandis que l’analyse détaillée des composants clés (par exemple, l’approvisionnement, l’analyse de la fiabilité) permet d’envisager des défaillances ponctuelles si la robustesse des composants peut être démontrée de manière adéquate. Pour faire des déclarations suffisantes par rapport à cette norme, le concepteur de SATP devra avoir de l’expérience dans l’analyse de la fiabilité et les méthodologies de conception des systèmes.

Pour répondre à l’exigence d’un comportement prévisible et sûr, on s’attend à ce que l’ATP ait une sorte de comportement automatisé en cas de perte de la liaison C2. Le comportement exact à adopter pour limiter autant que possible la création d’un danger dépendra du CONOPS considéré. Dans certains cas, un comportement de « retour à la maison » ou d’« atterrissage à l’endroit désigné » peut être souhaitable. Dans d’autres cas, le concepteur d’un SATP peut décider que le plan d’action le plus sûr est que l’ATP prenne de l’altitude pour tenter de rétablir la liaison C2. Quel que soit le comportement choisi en cas de perte de liaison, le concepteur du SATP doit documenter le comportement et toutes les procédures avant le vol nécessaires pour garantir le comportement correct en cas de perte de liaison C2. Ces informations doivent figurer dans les instructions d’utilisation des SATP afin de garantir que les opérateurs configurent correctement l’aéronef avant le vol. Les concepteurs de SATP sont également fortement encouragés à concevoir les interfaces opérateurs de manière à limiter autant que possible les risques d’erreur lors de la programmation du comportement de la liaison perdue C2. Si le SATP prévoit une certaine souplesse dans le comportement programmé en cas de perte de liaison, les opérateurs doivent être en mesure de vérifier facilement et clairement que le comportement prévu en cas de perte de liaison est conforme à ce qui était prévu. Pour les opérations où la norme RAC 922.11 (conception des postes de contrôle) est applicable, on suppose que ces évaluations de la facilité d’utilisation seront effectuées dans le cadre de la conformité à cette norme.

4.8 922.10 Systèmes de détection, d’alerte et d’évitement

1) Généralités. La norme DAE est requise pour toutes les opérations BVLOS. Dans le domaine BVLOS, les opérateurs ne peuvent pas compter sur la vision humaine pour réduire le risque de collision avec un autre aéronef. Les opérateurs de ce régime sont tenus de disposer d’une solution technologique pour détecter et éviter les aéronefs pilotés susceptibles de se trouver dans leur zone opérationnelle.

Les seules exceptions à cette exigence sont les opérations qui utilisent la DAE par observateur visuel (Fonctions de détection et d’évitement basées sur la vision – réf. Norme 923). Ces opérations sont soumises à des restrictions procédurales et opérationnelles particulières et permettent aux observateurs visuels de surveiller l’arrivée d’un aéronef conventionnel sans pouvoir voir l’ATP lui-même. Le cadre réglementaire a été conçu de manière à ce que la détection et l’évitement par observateur visuel soit un moyen de se conformer à la norme 922.10. En effet, l’observateur visuel devient le système de détection et d’évitement de l’opération. Les limitations procédurales et opérationnelles propres à la détection et à l’évitement par observateur visuel figurent dans la norme 923 – Fonctions de détection et d’évitement basées sur la vision.

En général, cependant, on s’attend à ce que la plupart des opérations reposent finalement sur des moyens technologiques de détection et d’évitement de l’aviation traditionnelle. Ces moyens peuvent être des radars, l’ADS-B, des capteurs électro-optiques/infrarouges (EO/IR) ou une combinaison de plusieurs technologies.

2) Classifications de l’espace aérien. Du point de vue de la DAE, l’espace aérien est classé en plusieurs classes de risque aérien (CRA). Elles représentent la probabilité relative de rencontrer un aéronef dans un certain espace aérien. Pour plus de détails sur l’attribution des CRA, voir la circulaire d’information CI 903-001.

Les informations nécessaires pour déterminer la CRA d’un volume opérationnel particulier sont les suivantes :

a) La classification de l’espace aérien « ATC » (Classe A/B/C/D/E/F/G)
b) La proximité de l’aérodrome le plus proche.
c) Présence de zones de conseil (CYA) à proximité du sol.

À l’aide de ces informations, les opérateurs détermineront la classification CRA de leur opérateur et, par conséquent, la robustesse du système DAE requis.

3) Moyens de conformité attendus. Le moyen de conformité le plus simple pour la norme 922.10, mais aussi celui qui comporte le plus de restrictions opérationnelles, est l’utilisation de la norme 923 du RAC pour la « détection et l’évitement basés sur la vision ». Comme son nom l’indique, ce moyen de DEA utilise des observateurs visuels placés le long de la route de l’ATP et en communication avec le pilote pour fournir des fonctionnalités de détection, d’alerte et d’évitement à l’opération.

Pour éviter les limitations opérationnelles liées à la norme 923, les opérations nécessiteront une solution technologique permettant de détecter et d’éviter les autres aéronefs susceptibles de pénétrer dans leur zone opérationnelle. Ces technologies devraient inclure des éléments tels que des radars, des transpondeurs et des capteurs EO/IR. Ces capteurs devraient être intégrés dans les opérations de manière à ce que l’équipage de l’ATP puisse être alerté de la présence d’un aéronef intrus et puisse prendre des mesures pour éviter une collision avec celui-ci. Les organismes de normalisation tels que l’ASTM élaborent actuellement des normes industrielles destinées à cibler les types d’opérations soutenues par ce paquet réglementaire (basse altitude, en dehors de l’espace aérien contrôlé, SATP < 150 kg). L’utilisation de cette norme devrait constituer un moyen acceptable de se conformer à la norme 922.10 DEA.

Si une norme industrielle particulière n’est pas utilisée (ou n’est pas disponible), on s’attend à ce que l’une des trois stratégies générales permettant de démontrer la conformité à la norme 922.10 DEA soit utilisée. À un niveau élevé, il s’agit des éléments suivants :

a) Moyen de conformité 1 : Analyse avec validation des essais en vol
Ce moyen de conformité implique la construction d’un modèle analytique du système DEA qui peut être utilisé pour simuler la performance du système DEA. Il implique également des essais en vol du système DEA pour valider les résultats fournis par la simulation. Ce moyen de conformité est le plus exigeant des trois en termes de travail, de temps et de coût, mais s’il est réalisé correctement, il aboutira aux limitations opérationnelles les plus permissives imposées au système.
b) Moyen de conformité 2 :
Validation des capteurs à partir d’un grand ensemble de données Ce moyen de conformité prévoit des essais en conditions réelles du système DEA sur une longue période. Il faut collecter suffisamment de données pour caractériser les performances du capteur sur l’ensemble de son enveloppe opérationnelle. Ce protocole de coopération est plus approprié pour un système terrestre qui peut être laissé en marche suffisamment longtemps pour suivre des cibles d’opportunité dans tout le volume de surveillance. Une fois que le volume de surveillance est caractérisé, le demandeur doit effectuer des simulations ou des analyses pour montrer que le rapport de risque requis peut être respecté compte tenu des restrictions opérationnelles et de performance du SATP et de l’opération.
c) Moyen de conformité 3 : Essais propres aux opérations
Ce moyen de conformité est destiné aux opérations qui prévoient rester dans une zone opérationnelle précise et ne jamais s’aventurer ailleurs. Une opération qui effectue une inspection périodique de la même infrastructure pourrait placer son capteur en permanence à proximité, puis effectuer des essais pour caractériser le volume de surveillance de ce capteur. Une fois qu’il a été démontré que le capteur dispose d’un volume de surveillance adéquat pour soutenir le CONOPS, le système DEA peut être utilisé uniquement pour cette opération. Les modifications apportées au CONOPS peuvent nécessiter la répétition de la caractérisation du capteur.

Un aspect essentiel des moyens de conformité proposés est que les essais ou les simulations sont effectués dans un espace aérien représentatif de l’opération prévue. Il s’agit notamment de valider que la composition des intrus simulés (types d’aéronefs, vitesse, manœuvrabilité et équipement) correspond aux intrus que le système DEA s’attend de rencontrer sur le plan opérationnel.

Lorsque le moyen de conformité implique une combinaison de simulation et de validation de la simulation dans le monde réel, il est attendu des candidats qu’ils démontrent la corrélation acceptable de leur simulation avec le comportement de leur système dans le monde réel. Il est fait référence aux normes industrielles (réf. ASTM DAA Test Methods Standards) pour les moyens acceptables de montrer la corrélation entre les simulations et les scénarios opérationnels réels.

4.9 922.11 Conception du poste de contrôle

1) Généralités. La conformité à la norme 922.11 est requise pour tout SATP qui doit être utilisé pour une opération BVLOS. Lors des opérations BVLOS, la station de télépilotage est le seul moyen dont dispose l’opérateur pour avoir une vue d’ensemble de l’opération et de l’état de l’aéronef. Le concepteur des PCS doit tenir compte des tâches effectuées par l’opérateur et des informations dont il a besoin au cours d’une opération. Cette norme s’applique à toutes les opérations BVLOS afin de garantir que ces considérations ont été prises en compte lors de la conception de l’interface utilisateur du PCS.

Les principaux risques que cette norme cherche à atténuer sont ceux associés à l’« erreur humaine ». Il peut s’agir d’erreurs simples, telles que des fautes de frappe lors de la saisie de données dans un système, ou de problèmes plus complexes liés à l’interface, tels que des cas où l’équipage ne comprend pas ce qu’un système automatisé fait ou devrait faire. Les conséquences de ces risques/erreurs peuvent aller d’insignifiantes à catastrophiques en fonction de la conception du système et d’autres facteurs opérationnels.

Ce type de norme ne pourra jamais atténuer complètement tous les mécanismes d’erreur potentiels, car les systèmes de plus en plus complexes et les nouvelles conceptions d’interface offrent de nouvelles possibilités de confusion et d’erreur humaine. Cependant, cette norme impose aux concepteurs de systèmes de suivre un processus qui limitera autant que possible le nombre d’erreurs et les conséquences des erreurs.

Cette norme vise également à garantir que l’opérateur dispose de toutes les informations et de tous les contrôles nécessaires à sa station au sol pour accomplir la mission et faire face aux défaillances ou aux urgences qui pourraient survenir. À cet égard, la norme est destinée à inclure les aspects d’alerte de l’équipage de conduite qui pourraient être traditionnellement couverts par une analyse de la partie 25.1322 sur l’alerte de l’équipage de conduite. En effet, l’une des principales tâches de l’équipage d’un SATP est d’éviter les conditions opérationnelles dangereuses et de les atténuer si elles se présentent. Le concepteur d’une station SATP doit s’assurer que son ATP fournit les informations nécessaires à l’équipage pour accomplir ces tâches. Ces informations peuvent prendre la forme d’avertissements et d’alertes à l’intention de l’équipage. Les concepteurs de SATP sont fortement encouragés à développer une stratégie d’alerte de l’équipage de conduite semblable à celle décrite dans la partie 25.1322 et la CI 25.1322-1. Toutefois, les demandeurs peuvent choisir d’autres moyens d’alerte de l’équipage de conduite en fonction des spécificités de la conception de leur station de télépilotage.

Outre l’« erreur humaine » et la prévention des conditions d’exploitation dangereuses, la présente norme vise à garantir que l’opérateur dispose de toutes les autres informations et contrôles nécessaires pour exploiter le SATP en toute sécurité. Si un SATP a des limites environnementales particulières qui doivent être respectées, l’analyse peut montrer que des capteurs pour détecter les conditions dangereuses peuvent être nécessaires et que des alertes peuvent être fournies au pilote. Si certaines zones du domaine de vol sont particulièrement dangereuses pour une raison ou une autre, la conception de la station de télépilotage doit prévoir des alertes pour permettre au pilote d’éviter ces conditions.

2) Moyens de conformité attendus. Pour une efficacité maximale, les aspects liés aux facteurs humains de la conception d’un SATP doivent être pris en compte le plus tôt possible dans le processus de conception. En consultation avec les CONOPS notionnels, les demandeurs doivent prendre en compte les tâches que l’équipage de conduite devra accomplir, ainsi que les informations et les commandes nécessaires à l’accomplissement de ces tâches.

Les évaluations visant à démontrer la conformité à cette norme doivent au moins comprendre les éléments suivants :

a) Détermination des fonctions prévues du système/composant.
b) Une certaine forme d’analyse du travail pour définir les tâches de l’équipage du SATP associées à chaque fonction prévue.
c) Certains éléments indiquent que la conception respecte les principes des facteurs humains ou de l’heuristique (par exemple, les informations et les commandes sont étiquetées, un retour d’information est fourni en temps utile lorsque les commandes sont utilisées, etc.)
d) Quelques preuves d’évaluation avec des utilisateurs représentatifs dans un environnement opérationnel suffisamment représentatif.

3) Minimisation des erreurs de pilotage. Les pannes et les erreurs sont inévitables dans toute opération. L’objectif des systèmes d’avertissement et d’alerte est de minimiser l’occurrence des pannes et des erreurs proportionnellement à leur répercussion sur la sécurité du vol et de l’exploitation du SATP. La conception devrait donc faire l’objet d’examens, d’évaluations et d’essais afin de garantir que l’essentiel de l’information pour une utilisation sécuritaire est présenté au pilote sous une forme intuitive, tout en minimisant le nombre de renseignements erronés ou trompeurs.

4) Méthodes d’évaluation. L’évaluation des mécanismes d’avertissement et d’alerte doit être réalisée en même temps que les essais en vol pour évaluer la manœuvrabilité de l’aéronef afin d’évaluer l’interface homme-machine (IHM) et la manœuvrabilité de l’aéronef pendant l’élaboration du SATP. Les instructions dans l’AC25.1322-1 de la FAA, Flight Crew Alerting, sont appropriées pour la conception du système d’avertissement et d’alerte.

5) Interface homme-machine. Pour évaluer les diverses capacités de l’aéronef et leur incidence sur les pilotes, le constructeur doit diviser le fonctionnement en tâches distinctes (p. ex., procéder à la vérification avant-vol, effectuer un décollage, récupérer la liaison perdue). Ces tâches doivent avoir des définitions de procédures avec des critères de rendement acceptables déterminés. Ces tâches doivent être réparties en étapes de sorte que l’utilisateur de la catégorie ciblée (p. ex., pilote de SATP avec ou sans expérience) puisse comprendre les étapes pour effectuer la tâche. Pour évaluer la charge de travail du pilote associée à la tâche, il est recommandé d’utiliser l’échelle d’évaluation de la charge de travail du pilote de Bedford (Figure 1 – l’échelle d’évaluation de la charge de travail du pilote de Bedford) pour orienter l’évaluation des essais auxquels sont soumis les pilotes afin de convenir de la pertinence de la conception pour accomplir la tâche. Bien qu’il soit admis que les interfaces homme-machine (IHM) ne cessent d’évoluer, notamment sur le plan du format et des symboles, en l’absence d’interfaces uniformisées, la version la plus récente de la norme MIL-STD-1472 – Design Criteria Human Engineering – s’avère un bon guide pour concevoir et évaluer les interventions humaines. En règle générale, en raison de la nature de l’IHM qui repose sur un logiciel, l’interface devrait continuer à s’améliorer pour répondre aux besoins cernés par l’utilisateur au fil du cycle de développement.

6) Manœuvrabilité. Bien que l’on s’attende à ce que de nombreux modèles de SATP soient hautement automatisés, il peut y avoir des aspects du SATP ou des modes d’opération où le pilote est directement impliqué dans le contrôle de l’aéronef. Dans ce cas, il convient d’évaluer les qualités de manipulation du système pour s’assurer qu’elles n’imposent pas à l’équipage des exigences déraisonnables en termes de compétences, de charge de travail ou de concentration. Présentement, l’échelle Cooper-Harper constitue la norme de l’aviation pour évaluer la manœuvrabilité de l’aéronef. Au moment d’effectuer les manœuvres du domaine de vol et les tâches du pilote (telles que recommandées ci-dessus), il est recommandé que le pilote d’essai évalue la facilité d’utilisation du système au moyen de l’échelle Cooper-Harper, de l’échelle d’évaluation de la manœuvrabilité Cranfield (Cranfield Aircraft Handling Qualities Rating Scale) ou de toute autre méthode d’évaluation équivalente. Les résultats de ces essais doivent être évalués et il est nécessaire de perfectionner la conception et la mise en œuvre afin de régler les problèmes décelés. La majorité des tâches de pilotage devrait se situer dans les niveaux de difficulté de 1 à 6 selon l’échelle Cooper-Harper pour que le système soit jugé acceptable.

Lorsque le niveau des tâches évaluées se situe entre 4 et 6, il est recommandé de fournir dans le manuel d’utilisation les limites opérationnelles, des conseils ou des procédures pour aider à préparer les pilotes à gérer la charge de travail associée à ces tâches.

Figure 2 - Schéma relatif à l'évaluation de la conformité en matière de sécurité des opérations au-dessus d’une personne

Organigramme montrant une méthode potentielle d'analyse de la conformité d'une opération à une évaluation de la sécurité des personnes. "Opérations au-dessus de personnes" commence en haut et chaque décision est définie comme suit: "Effectuer une analyse des défaillances", puis, dans la partie gauche du diagramme: "Identifier les combinaisons de défaillances", puis "Classer les blessures subies par une personne situé dans un rayon de 5 mètres du RPA pour chaque combinaison de défaillance identifiée" alors "La classification des blessures est-elle égale ou pire que AIS 4?" Non - "Conforme"; "Documenter l’analyse et preuves de conformité associées". Oui - "La probabilité de cette défaillance est-elle faible ou inférieure?" Non - "Meusure atténuante ou correctif requit" dans "Effectuer une analyse des défaillances". Oui - "Conforme"; "Documenter l’analyse et preuves de conformité associées". Sur le côté droit du diagramme, "Identifiez chaque défaillance", puis "Classer les blessures subies par une personne située dans un rayon de 5 mètres du RPA pour chaque défaillance identifiée", puis "La classification des blessures est-elle égale ou pire que AIS 4?" Non - "Conforme"; "Documenter l’analyse et preuves de conformité associées". Oui - "Meusure atténuante ou correctif requit" dans "Effectuer une analyse des défaillances".

4.10 922.12 Enveloppe environnementale démontrée

1) Généralités. La conformité à la norme 922.12 est requise pour toutes les opérations BVLOS qui se déroulent à moins d’un kilomètre de zones peuplées ou au-dessus de zones peu peuplées. La norme 922.12 du RAC vise à garantir que les SATP utilisés pour des opérations BVLOS particulières disposent d’un domaine de vol bien défini, qui a été démontré par des essais en vol. Elle n’est pas nécessaire pour les opérations VLOS, car la nature visuelle de l’opération permet de déterminer plus facilement si le SATP est touché négativement par les conditions environnementales qu’une opération semblable effectuée en BVLOS. Un aspect essentiel de la définition de la VLOS est que le contact visuel est maintenu avec l’ATP de manière suffisante pour garder le contrôle de l’aéronef. Cette exigence oblige le SATP à être suffisamment proche de l’observateur le plus proche pour que les conditions environnementales de l’observateur soient les mêmes que celles de l’emplacement de l’ATP, et que l’observateur soit clairement en mesure de voir si l’ATP est touché par les conditions environnementales au point que la sécurité en soit modifiée. Par conséquent, pour les opérations VLOS, on suppose que l’opérateur aura une connaissance suffisante de la situation pour s’assurer que le SATP est utilisé dans des environnements sûrs. En outre, les règles de la partie IX pour l’opération VLOS des SATP de moins de 25 kg exigent que les constructeurs définissent les effets des conditions météorologiques prévisibles sur le SATP (réf. sous-alinéa 901.200c)(iv) du RAC).

Dans le cas d’un vol isolé, tout risque lié à des facteurs environnementaux (pluie/vent/glace/EMI/etc.) est limité, car l’opération se déroule à l’écart des personnes qui n’y sont pas impliquées. Un écrasement causé par des vents violents, du givre ou d’autres facteurs environnementaux n’est pas susceptible de blesser qui que ce soit en raison de la nature isolée de l’opération. Il est également peu probable que les facteurs environnementaux conduisant à un écrasement entraînent une dérive qui envoie l’ATP en dehors du volume opérationnel, en raison de la distance de sécurité de 1 km prévue pour les opérations isolées dans les zones peu peuplées. Si la conception d’un ATP est telle que le dépassement d’une condition environnementale pourrait entraîner une dérive à plus de 1 km (givrage des surfaces de contrôle entraînant un blocage, vent supérieur aux capacités de l’ATP, etc.), on suppose que ces conditions seraient atténuées dans la conception (c’est-à-dire, système d’interruption de vol).

Pour les opérations BVLOS non isolées, il peut y avoir des personnes non impliquées dans l’opération suffisamment proches pour être blessées en cas d’accident. En outre, pour les opérations BVLOS, l’opérateur peut planifier la mission sur la base de rapports météorologiques à des endroits qui ne peuvent pas être observés depuis le PCS. La norme relative à l’enveloppe environnementale démontrée est requise parce qu’il est plus probable que le SATP soit utilisé plus près de ses limites environnementales en raison de l’éloignement de l’équipe opérationnelle. L’opérateur doit connaître les limites environnementales de son SATP et être certain que celui-ci peut faire face aux conditions environnementales prévues. C’est pour cette raison que la norme 922.12 « Enveloppe environnementale démontrée » est appliquée à ces opérations.

2) Moyens de conformité attendus. Pour démontrer la conformité à la norme 922.12 du RAC, les candidats doivent d’abord se référer au CONOPS notionnel de leur SATP particulier. À l’aide du concept des opérations de leur SATP, les demandeurs déduiront les performances attendues du SATP et l’enveloppe environnementale qu’ils s’attendent à rencontrer. Les candidats doivent examiner attentivement toutes les situations que leur SATP pourrait rencontrer au cours des opérations prévues et déduire les capacités opérationnelles requises de ces situations.

Comme nous l’avons mentionné, la première étape de toute démonstration de conformité à la norme 922.12 consiste à se référer au CONOPS notionnel du SATP. Ce CONOPS doit généralement contenir l’ensemble des différentes opérations que le SATP est censé effectuer. Pour un SATP dont les opérations prévues sont très ciblées, ce concept des opérations peut être très limité. En revanche, pour les SATP destinés à fonctionner comme des véhicules utilitaires accomplissant de nombreuses missions différentes, le CONOPS peut être compliqué et présenter de multiples facettes. Les demandeurs doivent veiller à ce que toute mission qu’ils souhaitent permettre à leurs opérateurs d’accomplir soit représentée dans le CONOPS notionnel.

Une fois que ces capacités opérationnelles requises auront été déterminées, elles serviront de base à une campagne d’essais qui démontrera que le SATP peut être utilisé en toute sécurité dans le cadre du CONOPS notionnel prévu. La campagne d’essais doit être soigneusement conçue de manière à ce que tous les points importants du domaine de vol soient évalués. En tant qu’expert technique du SATP, il incombe au déclarant de déterminer les configurations et environnements opérationnels les plus défavorables à démontrer.

Il est également important de s’assurer que le SATP testé est conforme au SATP qui sera indiqué dans la déclaration. S’il existe des différences (c’est-à-dire que les essais sont effectués sur un prototype d’article testé qui diffère de la norme de production), celles-ci peuvent influencer les résultats de la campagne d’essais. Toute différence doit être documentée et il doit être démontré qu’elle n’a pas d’incidence sur les performances du SATP pendant la campagne d’essais.

À l’issue de la campagne d’essais, les résultats des essais doivent démontrer que le SATP peut accomplir en toute sécurité les missions décrites dans le CONOPS notionnel.

3) Nombre prévu d’heures de vol ou d’essais au sol. Il n’y a pas de nombre minimum particulier d’heures d’essais en vol ou d’essais au sol requis par la norme 922.12 du RAC, mais les demandeurs doivent adopter une approche systématique de l’élaboration de leur effort d’essai pour s’assurer que le domaine de vol du SATP est couvert de manière adéquate. Les déclarants sont encouragés à utiliser des normes telles que la norme ASTM F3478-20 (ou une révision ultérieure) comme norme pour l’élaboration de leur programme d’essais en vol. Les déclarants doivent être en mesure de démontrer la traçabilité entre les exigences de système et de performance assignées aux essais en vol/au sol et les procédures d’essais en vol/au sol elles-mêmes. Par conséquent, l’étendue des exigences à tester, combinée à l’ampleur de l’enveloppe environnementale à vérifier, déterminera le nombre d’heures d’essais au sol et en vol nécessaires.

4.11 Classification de la gravité des blessures

1) Généralités. Les articles 922.05, 922.06 et 922.07 de la norme 922 du RAC et les sous-alinéas 901.200c)(v) et (vi) du RAC appliquent une échelle permettant de classer la blessure pouvant être infligée à une personne au sol à la suite d’un mauvais fonctionnement de l’ATP. La classification de « blessure grave » est choisie pour évaluer la blessure maximale acceptable qui peut être subie conformément à ces règlements et ce critère a clairement défini les objectifs requis pour satisfaire aux exigences d’assurance de sécurité du SATP pour les opérations menées à proximité et au-dessus de personnes. L’échelle abrégée des traumatismes (EAT) est la principale norme de l’industrie en matière d’évaluation des blessures, bien que cela puisse ne pas être le seul critère permettant de déterminer la gravité des blessures.

2) Échelle abrégée des traumatismes (EAT). L’EAT a été adoptée en 1969 pour aider les médecins et les professionnels de la santé à classifier les divers types de blessures. Cette échelle est utilisée depuis des décennies partout dans le monde et est reconnue comme étant la norme de fait pour l’évaluation des blessures. La version mise à jour en 2008 de l’EAT 2005 est celle reconnue au Canada; on y classifie une blessure grave (de type 4 selon l’EAT) comme affichant une probabilité de décès des suites de la blessure jusqu’à environ 50 %. L’EAT est rédigé et mis à jour par l’Association for the Advancement of Automotive Medicine (AAAM).

3) Détermination d’une blessure grave. De nombreuses méthodes permettent d’évaluer une blessure de type 4 selon l’EAT. Pour les traumatismes causés par un impact avec un SATP, ces blessures prennent généralement en compte l’énergie cinétique transférée du SATP à la personne pendant l’impact. Divers degrés d’énergie cinétique ont été proposés pour déterminer dans quelle mesure la blessure peut devenir une blessure grave, et une partie de ce qui précède s’appuie sur la recherche menée en laboratoire et sur l’expérience sur le terrain. Dans la présente circulaire, l’énergie transférée à la tête ou au cou d’une personne est considérée comme étant la pire des situations pouvant causer une blessure grave. Les premières activités d’élaboration d’un nouveau règlement au Canada (Groupe de travail sur la conception du programme des systèmes UAV du Conseil consultatif sur la réglementation aérienne canadienne [CCRAC] – phase 1) et aux États-Unis (Micro-UAS Advisory Rulemaking Committee) ont permis de déterminer qu’une énergie de 12 joules par centimètre carré (J/cm2) est le maximum acceptable pendant un impact pour éviter une blessure importante (de type 3 selon l’EAT). Cette valeur a été validée dans le cadre des travaux de recherche menés par le centre ASSURE de la FAA et concernant l’impact avec les personnes au sol.

4) Utilisations à proximité et au-dessus de personnes. Les articles 922.05 et 922.06 de la norme 922 du RAC traitent tous deux de la nécessité de limiter la probabilité d’une blessure grave à un niveau « improbable » pour diverses défaillances ou combinaisons de défaillances. La mise au point d’un SATP pour ces types d’utilisation requiert une évaluation de la capacité de l’ATP à infliger des blessures graves. Il est entendu que de nombreuses approches en matière de conception peuvent être employées afin de réduire au minimum la gravité des blessures en cas de défaillance. Ces approches comprennent, entre autres :

a) des caractéristiques de conception structurale comme :
- des matériaux souples;
- des matériaux frangibles.
b) de l’équipement de protection supplémentaire comme :
- des parachutes;
- des capsules gonflables (p. ex., genre de coussin de sécurité gonflable).

5) Méthodes d’évaluation. Le constructeur du SATP doit évaluer la probabilité à l’origine de blessures graves. Il existe de nombreux types d’essais, d’analyses et d’évaluations pouvant servir à cette fin. Pour les SATP dont l’historique de service et le suivi des pannes sont importants, il peut y avoir suffisamment de preuves pour prouver la conformité aux normes définies dans la norme 922 du RAC. Pour les conceptions dont l’historique de service peut ne pas être disponible, ou qui fonctionnent au-dessus de personnes, l’annexe C fournit des conseils sur une procédure d’essai pour évaluer la capacité du SATP en fonction de la gravité des blessures. Lorsque les tests ont déterminé que les caractéristiques de conception inhérentes à l’ATP n’entraîneront pas de blessure grave (par exemple, les critères de test correspondent à ceux définis à l’annexe C), il n’est pas nécessaire d’évaluer la probabilité de défaillance (annexe B).

5.0 Considérations relatives à la conception des SATP

5.1 Généralités

1) Les directives suivantes s’appliquent à la conception et au développement des SATP, à la définition de l’enveloppe d’exploitation et aux limites associées. Elles offrent une orientation sur l’information technique qui doit être fournie aux utilisateurs. Ces informations techniques contribuent à l’élaboration du concept d’opérations (CONOPS) prévu pour le SATP, et le CONOPS est nécessaire pour effectuer une évaluation des risques opérationnels qui peut dicter les caractéristiques de sécurité nécessaires à la conception du SATP ou les procédures ou instructions d’exploitation particulières pour atténuer les risques de sécurité déterminés. Il est attendu des fabricants qu’ils fassent preuve de diligence raisonnable lors de la conception, des essais et de la construction des SATP afin de garantir que leurs produits peuvent être utilisés en toute sécurité dans l’environnement auquel ils sont destinés. Ainsi, les orientations fournies dans la présente circulaire doivent être adaptées aux risques liés aux opérations prévues avec le SATP.

5.2 Conception et description du système

2) L’alinéa 901.200c) du RAC précise que tous les constructeurs doivent fournir l’information suivante à chaque propriétaire de leur système faisant l’objet d’une déclaration à des fins d’opérations avancées ou complexes de niveau 1. L’objectif de ces informations est de garantir que les opérateurs de SATP disposent de toutes les informations nécessaires pour garantir qu’ils utilisent le SATP en toute sécurité et que le SATP, tel qu’il est utilisé, continue à être conforme aux normes déclarées. Les déclarants doivent s’assurer que toutes les hypothèses émises lors de la vérification du SATP sont clairement communiquées à l’opérateur.

3) Occasionnellement, le processus de vérification du SATP peut mettre en évidence de nouvelles limitations opérationnelles ou de meilleures pratiques pour garantir que le SATP réalise le CONOPS en toute sécurité et qu’il est conforme à la norme du RAC déclarée. Les déclarants doivent examiner et mettre à jour leurs programmes d’entretien et leurs manuels d’exploitation à la fin de leurs activités de vérification afin de s’assurer qu’ils sont complets et corrects.

4) Les déclarants doivent veiller à ce que les instructions d’entretien et d’exploitation portent non seulement sur les opérations de vol, mais aussi sur toutes les parties de la durée de vie du SATP. S’il existe des exigences particulières en matière d’entreposage ou de transport, elles doivent être indiquées et communiquées. En voici quelques exemples :

a) Limites environnementales (température, humidité, vibrations) pour l’entreposage.
b) Entretien et maintenance nécessaires si le SATP n’est pas utilisé pendant de longues périodes (par exemple, maintenance de la batterie, repliement du parachute, etc.)
c) Les temps de révision ou de remplacement dépendent de l’environnement d’exploitation (par exemple, le remplacement des filtres dans les environnements sablonneux/poussiéreux). Si certaines opérations réduisent les temps de révision.

5) Les documents peuvent être offerts en format électronique (p. ex., manuel d’exploitation ou de maintenance disponible sur le site Web du constructeur) ou papier, mais l’information doit être facilement accessible à l’utilisateur. De plus, le manuel d’exploitation doit être rédigé pour être aisément compris par les consommateurs ciblés (p. ex., le grand public, des pilotes qualifiés).

5.3 Exigences d’assurance de la sécurité

1) Il convient de noter que pour les opérations les moins risquées, à savoir les petits SATP exploités en VLOS, les exigences en matière d’assurance de la sécurité correspondent directement au type d’opération. Les opérations VLOS de petits SATP dans l’espace aérien contrôlé nécessitent une déclaration pour la norme 922.04 « Espace aérien contrôlé » du RAC. Les opérations VLOS utilisant les SpATP à proximité de personnes nécessitent une déclaration pour la norme 922.05 « Opérations à proximité de personnes » du RAC, et les opérations VLOS utilisant les SpATP au-dessus de personnes nécessitent une déclaration pour la norme 922.06 « Opérations au-dessus de personnes » du RAC.

2) À mesure que le risque augmente, la complexité de l’opération tend également à s’accroître, et une norme unique basée sur les performances est inadéquate pour traiter les différents aspects des dangers liés à l’opération. Pour ces opérations à haut risque, il convient de noter que plusieurs sections de la norme 922 du RAC sont souvent mentionnées comme nécessitant une déclaration. Le moyen de conformité exact pour chaque norme dépendra souvent des détails exacts du SATP et des limitations de l’opération; ces détails doivent être décrits dans le CONOPS associé à la déclaration.

3) Les demandeurs sont encouragés à utiliser les normes industrielles, le cas échéant, pour se conformer aux articles de la norme 922 du RAC. Une liste des normes industrielles reconnues figure à l’annexe A du présent document. Pour les déclarations (non validées au préalable), il incombe à l’entité déclarante de déterminer si la norme utilisée est applicable et adaptée au CONOPS et à la norme du RAC en vertu de laquelle la déclaration est faite. Pour les déclarations validées au préalable, le demandeur doit proposer les normes qu’il a l’intention d’utiliser, et l’applicabilité de la norme proposée aux SATP et CONOPS considérés est soumise à l’acceptation de Transports Canada avant qu’une déclaration puisse être faite.

4) Pour les petits SATP utilisés en VLOS, les articles suivants de la norme 922 sont applicables.

a) 922.04 pour des opérations dans un espace aérien contrôlé
b) 922.05 pour des opérations à proximité de personnes
c) 922.06 pour les opérations au-dessus de personnes

5) Au fur et à mesure que le type d’opération augmente en complexité et en risque, les articles pertinents de la norme 922 du RAC deviennent plus axées sur les performances, et les sections particulières applicables dépendent des CONOPS exacts (voir les tableaux de la section 3.0 ci-dessus). Selon l’opération, un ou plusieurs des articles suivants de la norme 922 du RAC peuvent être applicables :

a) 922.07 pour la sécurité et la fiabilité
b) 922.08 pour le confinement
c) 922.09 pour la fiabilité des liaisons de commandement et de contrôle et le comportement des liaisons perdues
d) 922.10 pour les systèmes de détection, d’alerte et d’évitement
e) 922.11 pour la conception des postes de contrôle
f) 922.12 pour le domaine de vol démontré

6) La conformité de ces exigences techniques doit être démontrée par le constructeur du système SATP en utilisant des moyens et des méthodes adéquates. Pour toutes les déclarations, conformément à l’article 901.201 du RAC, les moyens et méthodes de mise en conformité doivent être documentés et fournis sur demande au ministre à des fins d’examen.

5.4 Caractéristiques de conception des SATP

1) Généralités. Le processus de conception nécessite une bonne définition du CONOPS. Le CONOPS comprend une description de l’utilisation prévue du SATP, de l’environnement opérationnel, des risques notables associés à l’utilisation et des mesures d’atténuation des risques procéduraux et tactiques. Le fabricant devrait commencer par recueillir et fournir des informations techniques suffisantes concernant l’opération. Les informations contenues dans le CONOPS définissent le domaine de vol.

Le domaine de vol définit l’ensemble des limites opérationnelles qui détermine les caractéristiques de vol idéales de l’aéronef, ainsi que les limites de conception à ne pas dépasser pour ne pas entraîner une perte de l’aéronef ou de la manœuvrabilité. La portée du domaine de vol est limitée par les caractéristiques physiques de conception de l’ATP, mais aussi par l’environnement opérationnel dans lequel le système est conçu pour voler. Les sections suivantes visent à faciliter l’évaluation de la conception d’un SATP pour veiller au développement d’un domaine de vol sécuritaire et à la communication efficace des limites opérationnelles aux pilotes. L’information requise par l’alinéa 901.200c) du RAC constitue ce qui est essentiellement le domaine de vol du SATP, car elle devrait être communiquée aux pilotes et ne devrait pas être dépassée. Cette section fournit des conseils supplémentaires sur les exigences de l’alinéa 901.200c) du RAC ainsi que des méthodes acceptables de conformité.

2) Procédure. Cette section traite du processus visant à déterminer la conception physique de l’ATP et à définir les limites de contrôlabilité et de performances indiquées dans les sous-alinéas 901.200c)(ii) et (iii) du RAC. Le processus visant à définir les limites de la cellule devrait suivre une approche normative de développement technique. Bien que de nombreuses normes de l’industrie définissent un processus général de développement de système (p. ex., le document ARP-4754 publié par la Society of Automotive Engineers [SAE]) pour le développement d’une cellule, le processus à suivre peut être décrit de manière générale dans les étapes suivantes à reproduire :

a) Définir le rendement escompté. Les performances sont généralement définies à partir d’un concept d’opérations de haut niveau que le système tente de satisfaire, et les exigences de performances peuvent généralement être clairement définies (p. ex., « le SATP doit effectuer un circuit de 3 km en 15 min, à 76 m [250 pi] au-dessus du sol et doit pouvoir voler sur place pendant au moins 15 min »). Ensuite, les exigences générales pour le fonctionnement du système fixent le choix de la conception générale (p. ex., un aéronef à voilure fixe par opposition à celui à voilure tournante ou à un aéronef hybride ou à un aérostat) et la détermination des besoins de fabrication mène généralement au choix des matériaux. Dès que les exigences générales en matière de rendement ont été établies, il convient d’évaluer la dynamique de vol.
b) Définir les charges prévues. Après avoir choisi les critères de rendement et les caractéristiques de conception générale, l’étape suivante consiste à définir clairement les charges aérodynamiques de la cellule du SATP. Les charges aérodynamiques sont établies à partir des vitesses et altitudes maximales requises pour répondre aux exigences de rendement opérationnel. Par exemple, il convient de définir la hauteur et la vitesse limites, y compris en vol stationnaire, en dessous desquelles un atterrissage forcé ne peut être effectué dans les conditions de panne de courant applicables. Ainsi, les charges opérationnelles maximales que la cellule doit supporter en vol sont indiquées pour chaque combinaison critique d’altitude, de vitesse, de masse, de centre gravité et de configuration de la charge utile.
c) Appliquer à un modèle ou à un prototype du système. La charge est appliquée à un modèle ou à un prototype du système afin d’observer comment il réagit et s’il est nécessaire d’apporter des modifications à la conception. Il existe plusieurs techniques pour la modélisation ou le prototypage. En règle générale, le recours à des modèles informatiques lors de la création de nouvelles conceptions permet d’éviter la création de plusieurs prototypes, ce qui pourrait s’avérer coûteux. Cependant, si la conception est mise à jour de manière progressive, il pourrait être plus simple de construire un prototype d’un modèle antérieur afin d’évaluer les modifications.
d) Relever un nombre suffisant de points à l’intérieur et aux limites de l’enveloppe de conception afin de s’assurer que la charge maximale pour chaque partie de la structure du SATP est obtenue.
e) Déterminer les pièces critiques et les éléments structuraux principaux. Pour les utilisations à proximité ou au-dessus de personnes, les modèles ou prototypes servent à déterminer les pièces de la conception du SATP qui pourraient entraîner des défaillances catastrophiques (se reporter à l’annexe B), y compris les sections de la structure de la cellule ATP qui sont essentielles pour assurer le vol sécuritaire du SATP, que l’on désigne respectivement comme étant les pièces critiques et les éléments structuraux principaux. Ces éléments sont appelés respectivement « pièces critiques » et « éléments structurels primaires ».
f) Valider le modèle ou le prototype. Une fois que le modèle ou le prototype est produit, et que la conception est confirmée (du moins mathématiquement), il convient de valider les résultats des simulations ou de la construction. La validation du modèle ou du prototype est une étape clé du processus de conception puisqu’elle permet au constructeur de confirmer ses calculs et d’établir une démarche précise pour appuyer les modifications à apporter à la conception, à mesure qu’elle est répétée. Pendant la validation, il faut au moins mesurer les charges sur les pièces critiques et les éléments structuraux principaux pour s’assurer de bien définir les éléments de l’aéronef liés à la sécurité. Il existe bien des méthodes pour valider un modèle, en voici trois :
- Essai au sol – Ce type d’essai peut fournir des données utiles aux premières étapes de développement, par exemple, indiquer le comportement de sous éléments; une approche modulaire s’avère un bon moyen pour comprendre comment se comporte la cellule de l’aéronef.
- Soufflerie – Ce type d’essai auquel est soumis un prototype ou une version à l’échelle de l’ATP permet d’évaluer la charge dynamique dans un environnement contrôlé et bien mesuré. La soufflerie permet au constructeur de contrôler soigneusement les aspects du vol afin de valider des points de mesure bien définis d’un modèle.
- Essai en vol – Un protocole d’essai en vol appliqué à un prototype fonctionnel représentatif de l’ATP permet de mettre à l’essai une combinaison de systèmes ainsi que la validation du modèle aérodynamique. Même s’il n’est pas possible de contrôler aussi bien les conditions que dans une soufflerie, un protocole d’essai en vol bien conçu, assorti d’un nombre suffisant d’instruments d’essai, permet au constructeur de valider certains points de mesure du modèle et le fonctionnement plus général de l’ATP.
g) Évaluer par rapport aux exigences d’assurance de la sécurité. Les résultats de la validation du modèle et les résultats de la simulation ou des essais en vol sont ensuite évalués par rapport aux exigences d’assurance de la sécurité et aux autres objectifs de sécurité dérivés d’un processus d’évaluation de la sécurité du système afin de garantir que les défaillances ont été clairement cernées et que les risques sont bien contrôlés et compris.
h) Itérer. Bien que cette étape ne soit mentionnée qu’à la fin de la procédure, comme mentionné ci-dessus, l’itération peut survenir à tout moment au cours de la procédure de conception. À mesure que sont décelés des problèmes, des modifications à la conception ou des mises à jour du modèle peuvent être requises et pourraient entraîner la nécessité de répéter les simulations ou la validation.
i) Définir les limites opérationnelles. Après avoir terminé la modélisation de la conception, il convient de consigner les limites (telles que définies à l’alinéa 901.200c) du RAC) dans le manuel d’exploitation. Les limites opérationnelles des caractéristiques physiques relevées dans le cadre de cette procédure ne représentent qu’une partie des limites opérationnelles. Ainsi, pour les SATP déclarés en vue d’une utilisation à proximité ou au-dessus de personnes, d’autres étapes sont suivies pour définir pleinement les limites. Se reporter à la section 6.0 pour obtenir des renseignements supplémentaires sur les exigences liées à la conception qui permettront de définir plus précisément les limites opérationnelles.
j) Évaluer les facteurs humains. En principe, les systèmes et les interfaces CS doivent être développés de manière à ce que l’ATP soit contrôlable sans compétences de pilotage ni formation particulière. Ainsi, cela peut être interprété, par exemple, de la façon suivante : les contrôles de l’ATP sont gérables, l’état du système est évident et l’information sur son fonctionnement est facilement accessible. L’interface Pilote-Système est conçue et évaluée au moyen de méthodes appelées collectivement les « facteurs humains ». Pour déterminer le domaine de vol, en plus des capacités techniques de l’aéronef, il faut développer et évaluer l’habileté des pilotes (ou des systèmes de soutien) à conserver l’aéronef dans les limites de son domaine de vol, ou à le récupérer lorsqu’il atteint les limites de son domaine de vol. Les normes ISO 9241-210 et MIL-STD-46855A fournissent des orientations sur l’élaboration de systèmes tenant compte du rendement associé aux facteurs humains. Pour des renseignements supplémentaires concernant les avertissements et les alertes, section 5.4.6 de la présente circulaire.
Remarque : De nombreuses normes de l’industrie décrivent un processus général de développement du système (p. ex., le document ARP-4754 de la SAE est bien reconnu pour les aéronefs pilotés).

3) Modes de fonctionnement

a) Généralités. En règle générale, les SATP sont capables de fonctionner selon plusieurs modes (p. ex., vol contrôlé à distance, vol avec assistance manuelle, suivi automatique à des points de cheminement). Chacun des modes de fonctionnement doit figurer dans le manuel d’exploitation, avec leurs limites et leurs attentes (p. ex., exigences en matière d’expérience de l’utilisateur, modes par défaut). Le fonctionnement des commandes de vol et des dispositifs de sécurité (p. ex., parachutes, systèmes d’interruption de vol) doit être expliqué clairement dans le manuel d’exploitation ainsi que les limites de ces systèmes imposés par les différents modes de fonctionnement. En plus de définir les modes de fonctionnement, le nombre minimal de moteurs permettant à l’ATP de rester dans les airs doit être clairement indiqué dans le manuel d’exploitation.
b) Les modes de fonctionnement sous supervision humaine désignent les modes selon lesquels le SATP devient la principale plateforme de prise de décisions surveillée activement par le pilote. Ce dernier est prêt à prendre le contrôle dès que le système requiert son intervention. Dans la plupart des cas, le pilote planifie le vol au moyen d’un logiciel de planification de vol et transmet le plan de vol au SATP qui respecte ce plan dans la mesure de ses capacités, étant confronté aux conditions environnementales au moment du vol. Ces modes diffèrent des modes de fonctionnement avec intervention humaine en vertu desquels le pilote a le contrôle direct du système et dirige le vol en activant les gouvernes ou en établissant les points de cheminement. Concernant les modes de fonctionnement sous supervision humaine, le manuel d’exploitation devrait définir clairement les étapes de planification, de téléchargement et de surveillance du plan de vol, ainsi que les procédures qui permettent de déceler les problèmes qui surviennent tout au long du processus.
c) Vol de nuit. Si l’aéronef peut fonctionner la nuit en toute sécurité, le manuel d’exploitation doit clairement indiquer la configuration et les limites associées au vol de nuit. Pour les opérations de nuit, le paragraphe 901.39(1) du RAC exige que l’ATP soit dotée de feux de position pour que le pilote, les observateurs visuels et les autres utilisateurs de l’espace aérien puissent bien voir l’aéronef. Bien que la couleur, la position ou le nombre de feux de position ne soient pas encore visés par des normes particulières, il importe que l’éclairage soit suffisant pour que le pilote puisse déterminer dans quelle direction vole le système. L’éclairage de position doit être suffisant pour permettre au pilote d’exercer ses responsabilités en matière de VLOS en vertu de l’article 901.11 (c’est-à-dire être en mesure de garder le contrôle de l’aéronef, de connaître sa position et de balayer l’espace aérien dans lequel il évolue afin d’exécuter les fonctions de détection et d’évitement d’autres aéronefs ou objets).
Il est admis que pour certaines opérations particulières (par exemple, les spectacles lumineux de drones), l’éclairage nocturne peut ne pas être le principal moyen de remplir les responsabilités du pilote en matière de VLOS (901.11). Dans ces cas, il est important que le manuel d’exploitation indique clairement tout processus ou procédure spécifique nécessaire pour assurer la sécurité pendant les périodes où l’aéronef est utilisé avec les feux éteints.
Pour les CONOPS où la position et l’éclairage nocturne peuvent être observés/interprétés par des pilotes d’aéronef classiques, les demandeurs sont encouragés à modeler leurs systèmes d’éclairage sur les normes aéronautiques conventionnelles (rouge à bâbord, vert à tribord, lumière blanche pointant vers l’arrière).
Pour qu’un aéronef puisse voler en toute sécurité la nuit, les feux devraient être suffisamment brillants pour être vus de loin, mais ils ne devraient pas éblouir le pilote lors de l’atterrissage. Le meilleur moyen de répondre à ces critères, c’est de permettre à l’utilisateur de diminuer l’éclairage avant l’atterrissage.
d) Feux anticollision BVLOS. L’article 901.38.1 du RAC exige que tous les SATP effectuant des opérations BVLOS soient équipés de feux anticollision et que ces feux soient allumés pendant l’opération BVLOS. Le paragraphe 901.38.1(2) du RAC fournit des exigences de performance opérationnelle pour ces feux. Les feux anticollision utilisés pour se conformer au présent règlement doivent :
- 1. être blancs;
- 2. être visibles avec des lunettes de vision nocturne (s’il est prévu que les opérations BVLOS se déroulent de nuit);
- 3. clignoter à une vitesse comprise entre 40 et 100 flashs par minute.
- 4. être visibles dans toutes les directions à ±75° du plan horizontal de l’aéronef et ne pas être obscurcis de plus de 0,5 stéradian dans n’importe quelle direction.
- 5. être visibles à des distances allant jusqu’à un mille statuaire.
En fonction de la configuration de l’ATP, les concepteurs ont la possibilité de satisfaire aux exigences de l’article 901.38.1 en utilisant plus d’une source lumineuse (c’est-à-dire en utilisant un feu anticollision supérieur et un feu anticollision inférieur). Les concepteurs disposent également d’une certaine marge de manœuvre en ce qui concerne les moyens de conformité pour satisfaire à ces normes. Ces exigences de performance devraient être vérifiées à l’aide d’un ensemble d’analyses, de spécifications de produits et de démonstrations au sol et en vol.

4) Les effets des conditions environnementales

a) Généralités. Le sous-alinéa 901.200c)(iv) du RAC stipule que les effets de toute condition environnementale prévisible sur le rendement de l’aéronef et du pilote doivent être précisés. Ces exigences établissent la responsabilité du constructeur qui doit définir en quoi le SATP subit l’influence de ce qui l’entoure et qui doit communiquer cette information à l’utilisateur dans les documents qu’il reçoit (p. ex., le manuel d’exploitation). Cette exigence appuie l’article 901.31 du RAC qui exige que l’utilisation de l’aéronef soit conforme aux limites opérationnelles et aux instructions précisées par le constructeur.
b) Norme 922.12 du RAC. Pour les opérations où la norme 922.12 du RAC – Enveloppe environnementale démontrée est applicable, la prise en compte des effets sur l’environnement doit aller plus loin. Pour les déclarations au titre de l’article 922.12, le déclarant doit tenir compte de l’enveloppe environnementale prévue pour le SATP et démontrer, par des essais au sol et en vol, que le SATP est capable de fonctionner en toute sécurité dans ces conditions. Même si la norme 922.12 du RAC n’est pas une exigence, les déclarants sont encouragés à se référer à cette norme et aux conseils associés pour les meilleures pratiques lorsqu’ils valident que leur SATP est capable de fonctionner en toute sécurité dans les conditions qu’ils sont susceptibles de rencontrer.
c) Effets des conditions météorologiques
- i) Généralités. L’aspect environnemental qui a le plus d’incidence sur les caractéristiques opérationnelles du SATP est sans aucun doute l’effet des conditions météorologiques (macro et micro-environnements climatiques). Bien qu’il soit convenu que la plupart des ATP de moins de 25 kg auront une capacité limitée de vol par mauvais temps, il incombe au constructeur d’établir clairement dans le manuel d’exploitation les limites particulières associées à un modèle donné de SATP.
- ii) Vent. Les effets du vent sur le fonctionnement sécuritaire du SATP devraient être clairement définis. Il importe notamment d’indiquer la force des vents que l’aéronef peut affronter en toute sécurité sans perte de contrôle. En outre, il faut indiquer les charges de rafale maximales que l’ATP peut soutenir avant de perdre son intégrité structurale, si ces charges sont inférieures aux vents influant la contrôlabilité de l’ATP. Il convient de tenir compte de toute limitation de la contrôlabilité en cas de turbulences et d’environnements tels que le vent dans les canyons urbains. Par ailleurs, l’effet du régime des vents sur le temps de vol de l’aéronef peut être précisé. Bien que l’on s’attende à ce que les exploitants aient une compréhension claire de l’effet du vent sur l’aviation et que voler dans le vent aura des effets opérationnels, des informations supplémentaires sur la dégradation des performances spécifiques en raison des vents peuvent s’avérer utiles pour les exploitants lors des activités de planification de vol.
- iii) Température. Les effets de la température ambiante sur le fonctionnement sécuritaire du SATP devraient être clairement définis. Idéalement, cette information prendrait la forme d’une plage de températures de fonctionnement précisant la plage à l’intérieur de laquelle l’aéronef peut voler en toute sécurité. Cette plage serait établie en fonction des plages de températures nominales pour chaque composant et d’une évaluation technique du comportement de ces composants au sein du SATP. Dans la plupart des cas, l’effet de la température sur les gouvernes de l’aéronef (p. ex., ailerons, pales du rotor), les moteurs et le circuit de carburant (p. ex., batteries, conduites de carburant) constituerait les facteurs limitatifs, même s’il fallait prendre en compte également les effets sur les émetteurs-récepteurs pour la liaison C2 et sur les systèmes de navigation. Bien que l’intention soit de fournir aux opérateurs les limites de l’aéronef qui ont une incidence sur la sécurité d’utilisation, d’autres limites, telles que les températures d’entreposage sûres, doivent être indiquées le cas échéant. D’autres éléments configurables du SATP peuvent également avoir des limitations de température qui doivent être décrites à l’opérateur (par exemple, les températures minimales d’entreposage pour les parachutes, les charges utiles ou l’équipement d’assistance au sol).
- iv) Densité de l’air. Les effets de la densité de l’air sur le fonctionnement sécuritaire du SATP devraient être clairement définis. En général, la densité de l’air est liée à l’altitude de vol ainsi qu’à la température ambiante et au degré d’humidité de l’air. La densité de l’air est un facteur important pour le fonctionnement des aéronefs à voilure fixe, à voilure tournante et des aérostats puisqu’elle a un effet direct sur la portance générée pour les aérodynes et sur la portance relative générée par les aérostats. Bien que l’intention soit d’informer l’utilisateur des limites de l’aéronef qui peuvent avoir une incidence sur le fonctionnement sécuritaire de l’ATP (p. ex., les densités qui ne permettent pas de générer ou de maintenir la portance requise), il pourrait être avisé d’indiquer également d’autres limites au rendement attribuables à la densité de l’air, comme les vitesses élevées au décollage, les modifications des caractéristiques de décrochage ou les limites sur la portée opérationnelle.
- v) Précipitations. Les effets des précipitations sur le fonctionnement sécuritaire du SATP devraient être clairement définis. Les précipitations (bruine, pluie, brouillard, neige, pluie verglaçante, etc.) peuvent influencer de bien des manières le vol du SATP, notamment en limitant la commande de la gouverne, en dégradant la capacité de liaison C2, en réduisant la portance de l’aéronef et en court-circuitant le système électrique. Chaque conception de SATP affiche des capacités différentes, et des modes de protection différents, relativement à des types en particulier de précipitations. Les types de précipitations dont il faut tenir compte au moment de la conception du système de protection comprennent les suivants :
  - 1. bruine;
  - 2. pluie;
  - 3. condensation de brouillard;
  - 4. bruine verglaçante;
  - 5. pluie verglaçante;
  - 6. pluie et neige mêlées;
  - 7. neige;
  - 8. neige en grains;
  - 9. granules de glace/grésil;
  - 10. grêle;
  - 11. neige roulée;
  - 12. cristaux de glace.
- Même si les répercussions des types particuliers de précipitations sur une conception particulière de SATP varient, le constructeur doit indiquer dans quelles conditions de précipitations ses systèmes peuvent voler en toute sécurité et dans quelles conditions leurs capacités se dégradent à un point tel que le fonctionnement sécuritaire n’est plus possible. Il doit prendre en compte les précipitations associées à d’autres limites opérationnelles (p. ex., le vent et l’altitude) afin de décrire pleinement les conditions de précipitations dans lesquelles il peut garantir le contrôle du SATP en toute sécurité. Bien que l’intention soit d’informer l’utilisateur des limites de l’aéronef qui peuvent avoir une incidence sur le fonctionnement sécuritaire de l’ATP, il pourrait être avisé d’indiquer également d’autres limites au rendement, comme la diminution de la portée opérationnelle ou de l’altitude.
- Note d’information : Si le SATP est conçu pour fonctionner dans un environnement qui l’expose à l’eau salée (p. ex., utilisation en zone littorale), les conditions de précipitations susmentionnées, surtout le brouillard, doivent être évaluées en tenant compte de cet environnement. Il est entendu que l’embrun salin et le brouillard salin constituent des éléments particuliers qui doivent être pris en compte concernant la fiabilité et le fonctionnement d’un SATP.
- vi) Vibrations. Les effets des vibrations sur l’ATP doivent être évalués et atténués pour assurer des opérations sûres dans tout le domaine de vol. Les vibrations résultent généralement du fonctionnement de l’ATP lui-même. Les vibrations ont deux impacts principaux sur le fonctionnement de l’ATP : la rupture de fatigue structurelle et la contrôlabilité.
  - A) À mesure que les sources de vibration et de chargement dynamique des matériaux ont augmenté, les défaillances par fatigue sont devenues de plus en plus importantes en ingénierie. Les développements technologiques apportent continuellement de nouveaux matériaux, de nouveaux procédés de fabrication, des concepts de conception améliorés et des informations supplémentaires sur les exigences de service. Les effets des vibrations sur l’intégrité structurelle doivent être traités dans le cadre de la conception structurelle de l’ATP. Les tendances dans la conception et dans les opérations indiquent que de nouvelles complexités vont certainement surgir. Certaines de ces tendances sont : des contraintes de conception plus élevées, des exigences de performances accrues et des exigences de flexibilité opérationnelle accrue. De plus, les véhicules de vol spéciaux, tels que les aéronefs à voilure tournante, à décollage et atterrissage vertical (ADAV) et à décollage et atterrissage courts (ADAC) présentent des problèmes particuliers.
  - B) Les changements de vitesse de décollage et d’atterrissage entraînent des charges de roulage, des charges de manœuvre et des charges dynamiques d’atterrissage plus sévères (les décollages par catapulte et les atterrissages arrêtés sont particulièrement sévères).
- vii) Givrage. L’article 901.35 du RAC indique qu’aucun SATP ne doit être utilisé en présence de conditions de givrage, ou s’il est probable que de telles conditions soient présentes, sans équipement de détection ou de protection contre le givrage. Un équipement de détection de givrage permet de détecter l’accumulation de précipitations sur la gouverne ou d’autres surfaces critiques de l’aéronef. Un équipement de protection contre le givrage empêche l’accumulation de précipitations ou réduit le taux d’accumulation sur la gouverne ou d’autres surfaces critiques de l’aéronef. Présentement, il n’existe aucune norme de l’industrie ni technologie permettant la détection ou la prévention du givrage sur les SATP. Des solutions seront probablement proposées dès qu’elles seront disponibles à mesure que le marché prendra de l’expansion. Lorsque des progrès auront été réalisés concernant la recherche et le développement en matière de givrage, la présente circulaire sera mise à jour en fonction des résultats obtenus afin de contribuer à guider la conception et la mise en place d’équipement de détection et de protection contre le givrage sur les SATP.
d) Environnement électromagnétique
- viii) Généralités. Les SATP fonctionnent inévitablement dans un environnement électromagnétique (EM). L’espace aérien est bombardé par un rayonnement électromagnétique provenant à la fois de sources cosmiques (p. ex., le rayonnement solaire) et terrestres (p. ex., les tours de téléphonie cellulaire) dans lesquelles les SATP doivent fonctionner en toute sécurité. Bien que l’opérateur soit censé avoir une certaine connaissance des interférences électromagnétiques et de la sensibilité du système, la plupart se baseront sur les limites et les recommandations indiquées dans les documents de référence fournis par les constructeurs. En conséquence, les impacts de l’environnement EM sur le fonctionnement du SATP doivent être communiqués par l’intermédiaire du manuel d’exploitation.
- (ii) Interférence électromagnétique (EMI). Le rayonnement électromagnétique interagit avec tous les circuits électroniques, les matériaux conducteurs électriques sans gaine et les autres champs EM. Cette interaction peut entraîner un certain nombre d’effets imprévus sur les fonctions du SATP et doit donc être prise en compte lors de la conception et du fonctionnement, si aucun équipement de protection (p. ex., des conducteurs sous gaine) n’est installé. Les sources les plus courantes d’EMI qui risquent d’avoir une incidence sur le fonctionnement des SATP sont les suivantes :
  - 1. transmetteurs Wi-Fi;
  - 2. relais radiotéléphoniques à ondes ultra-courtes;
  - 3. tours de téléphonie cellulaire;
  - 4. systèmes SCADA (Supervisory Control and Data Acquisition, de télésurveillance et d’acquisition de données) industriels, commerciaux ou privés;
  - 5. foudre (voir ci-dessous);
  - 6. dispositifs de bord (p. ex., charge utile Bluetooth et liaison C2).
- Lors de la conception d’un SATP, les concepteurs doivent tenir compte des interférences électromagnétiques en choisissant la disposition et la configuration des sources et des récepteurs d’interférences électromagnétiques. Les antennes ont généralement besoin d’une vue dégagée vers le puits et la source de leurs signaux émis et reçus respectivement.
- L’évaluation des effets de l’EMI sur les fonctions du SATP devrait reposer sur les composants du système qui risquent d’être touchés : la liaison C2, l’ATP ou le poste de contrôle. Il importe de répartir les effets selon ces systèmes puisque chacun est susceptible d’interagir avec différentes fréquences du spectre EM, et que les effets peuvent se traduire par des limites différentes pour le fonctionnement du SATP.
- Concernant les effets de l’EMI sur l’ATP, l’évaluation devrait viser les systèmes essentiels à la sécurité (p. ex., l’électronique de pilotage/l’actionneur, le système de navigation électronique, l’émetteur-récepteur C2), comme indiqué pour l’évaluation de la sécurité du système (se reporter à l’annexe B). Il est reconnu que l’échange des charges utiles entraîne souvent de l’interférence. Il est recommandé que les constructeurs fournissent des descriptions précises des types de charges utiles et de l’incidence que leur fonctionnement peut avoir sur le SATP.
- Quant aux effets de l’EMI sur le poste de contrôle, l’évaluation doit se concentrer sur le risque d’interférence causé par le positionnement de l’antenne du poste de contrôle par rapport aux sources possibles d’interférence, y compris les réflecteurs de radiofréquences (RF) [plans de sol]. Les limites particulières dépendront des fréquences et des conceptions choisies pour la liaison C2.
- Concernant l’interférence avec la liaison C2, l’évaluation devrait insister sur les fréquences particulières choisies pour la liaison C2 et les sources d’interférence connexes. Les effets (p. ex., la diminution de la portée opérationnelle, le rendement dégradé de la charge utile) doivent être clairement désignés comme représentant un risque pour le bon fonctionnement afin d’aider l’utilisateur à bien planifier ses vols. Il a été mentionné que, pendant le fonctionnement, l’EMI peut s’avérer une source importante d’interruptions imprévues de liaison, qui peut entraîner une perte de contrôle intégral (p. ex., une perte de liaison de commande et contrôle) et un retour à la base ou l’application automatique de procédures de restauration de liaison alors que ces procédures pourraient ne pas être souhaitables.
- (iii) Foudre. En règle générale, il n’est pas recommandé de faire voler le SATP pendant un orage. Si les constructeurs conçoivent des systèmes destinés à fonctionner pendant un orage, un orage électrique ou toute autre condition propice à la foudre, le manuel d’exploitation doit expliquer l’incidence que peut avoir la foudre sur le SATP. Bien que la plupart des SATP ne soient pas conçus pour survivre à un foudroiement direct, il pourrait exister des architectures qui permettent la descente en toute sécurité du système. Si un SATP est conçu pour fonctionner dans un environnement où les effets de la foudre sont attendus, alors il convient d’évaluer les effets des surtensions liées à la foudre sur les fonctions du SATP.
e) Méthodes d’évaluation. Afin de pouvoir communiquer les limites susmentionnées, il est entendu que le constructeur entreprendra les essais et les évaluations appropriés pour démontrer que ces limites ont été établies pour chacune des configurations de SATP visées. Il est aussi entendu que de nombreuses formes d’essais et d’évaluations s’offrent au constructeur, concepteur, vérificateur pour établir ces limites. Pour les produits aéronautiques, RTCA DO-160 (version révisée la plus récente) est la norme de fait pour les essais environnementaux (en plus des essais en vol). Dans le cas des SATP, la norme DO-160 pourrait entraîner des coûts importants, surtout considérant les opérations qui ne sont pas nécessairement essentielles à la sécurité. Cela dit, la norme constitue un bon point de départ pour développer et évaluer des méthodes propres aux SATP.
Concernant l’évaluation des effets des limites environnementales, surtout si elles sont liées à l’EMI, l’évaluation de sécurité du système doit être utilisée pour déterminer les systèmes essentiels à la sécurité dont pourraient découler les exigences en matière de qualification des équipements. Dans le cadre d’une évaluation de sécurité du système, une évaluation des risques fonctionnels contribue à établir les risques fonctionnels particuliers qui sont liés au fonctionnement du système.
Enfin, pour les SATP qui nécessitent des déclarations ou des déclarations validées au préalable conformément à la norme 922.12 du RAC, les limitations environnementales doivent être démontrées par des essais au sol et en vol du SATP. Les essais spécifiques au sol et en vol requis dépendront des détails de l’enveloppe environnementale déclarée.

5) Détermination des dangers

a) Dangers pour les membres de l’équipage du SATP. Le sous-alinéa 901.200c)(v) du RAC exige que les caractéristiques du système qui pourraient causer des blessures graves (voir la définition de « blessure grave » à la section 6.4 de la présente circulaire) aux membres de l’équipage du SATP pendant l’utilisation en situation normale ou anormale soient précisées. L’utilisation d’un SATP peut entraîner un certain nombre de dangers, notamment des risques de décharge électrique, des lacérations, des traumatismes et des brûlures. Afin de prévenir les blessures lors de l’utilisation et de l’entretien du SATP, il convient de définir clairement à l’intention des utilisateurs les caractéristiques des sous-systèmes des SATP (p. ex., la tension électrique) et de leur fournir des directives pour l’utilisation et l’entretien en toute sécurité des systèmes et sous-systèmes.
Concernant l’utilisation en situation anormale, les constructeurs doivent fournir des informations permettant de gérer en toute sécurité un SATP pour chaque mode d’exploitation posant un problème de sécurité aux membres de l’équipage du SATP ou à d’autres personnes associées à l’opération. Bien qu’il soit noté qu’il existe une hypothèse de risque lorsqu’une personne est impliquée dans l’exploitation d’un SATP, les constructeurs devraient faire preuve de diligence raisonnable pour aider les opérateurs à disposer de l’information nécessaire pour faire face efficacement aux situations d’urgence. À cette fin, le constructeur doit fournir au pilote des listes de vérification décrivant les procédures d’urgence liées aux situations résultant de problèmes techniques dans lesquels le fonctionnement du SATP devient dangereux. Exemples de situations d’urgence : perte de la liaison C2, perte d’un ou de plusieurs moteurs, perte de contrôle en vol (p. ex., commandes de vol), perte de navigation (p. ex., GPS).
Note d’information : le constructeur n’est pas tenu de fournir des procédures pour faire face aux dangers lorsque les caractéristiques mises en œuvre dans la conception sont destinées à prévenir leur apparition. Par exemple, une fonction de protection du domaine de vol qui empêche l’aéronef de décrocher rendrait inutile la mise en place de procédures de prévention du décrochage.
b) Dangers pour les personnes au sol. Le sous-alinéa 901.200c)(vi) du RAC exige que les caractéristiques de conception, et les opérations s’y rattachant, qui visent à protéger les personnes au sol contre les blessures soient précisées. En plus des dangers répertoriés ci-dessus, certaines défaillances des éléments du SATP pourraient présenter une source de danger pour les personnes au sol. Ces dangers et tout dispositif conçu pour atténuer les risques intégrés à la conception du SATP (p. ex., parachute, protecteurs du rotor) doivent être clairement indiqués dans le manuel d’exploitation. Les procédures associées au fonctionnement de ces dispositifs de sécurité et procédures d’urgence concernant la manipulation du SATP lors d’une utilisation en situation anormale sont clairement indiquées dans le manuel d’exploitation. Des listes de vérification d’urgence et des avertissements ou procédures affichés automatiquement au poste de contrôle constituent des moyens acceptables pour communiquer cette information au pilote. Même si la norme d’assurance de la sécurité ne requiert que l’évaluation des dangers de blessures causées aux personnes présentes dans l’environnement opérationnel, il est recommandé d’évaluer dans le cadre d’une évaluation exhaustive du système en matière de sécurité les répercussions pour toute personne au sol et de les communiquer.
c) Méthodes d’évaluation. Pour bien déterminer les dangers liés au système, il est recommandé aux constructeurs de réaliser une évaluation des dangers fonctionnels. Cette évaluation concerne les défaillances fonctionnelles des classifications de criticité des dangers à partir desquelles des objectifs de sécurité sont attribués à la conception et à l’exploitation du SATP. La conception est ensuite décomposée en technologies spécifiques pour indiquer des modes de défaillance spécifiques pouvant provoquer des défaillances fonctionnelles ou y contribuer. Les objectifs de sécurité minimaux qui doivent être démontrés sont décrits à l’annexe B.

6) Avertissements et alertes

a) Généralités. Les postes de contrôle, forcément à distance des SATP, entraînent la séparation du pilote de l’environnement physique de l’aéronef. La conséquence de cette distance physique qui s’ensuit fait que le pilote est privé de la rétroaction acoustique, visuelle ou haptique associée à la cellule et à l’équipement de bord, de sorte qu’il doit se fier uniquement à l’information que lui transmet le poste de contrôle. Les sources de cette information sont soit les systèmes de bord de l’aéronef transmis par la liaison C2 ou les calculs effectués par le poste de contrôle (p. ex., alimentation par batterie du contrôleur, analyse des données reçues de l’aéronef). La sécurité des opérations repose sur l’information présentée par le poste de contrôle au pilote. Le sous-alinéa 901.200c)(vii) du RAC exige des constructeurs qu’ils précisent les avertissements et les alertes applicables fournis au pilote en cas de dégradation du rendement du système qui risquerait d’entraîner des conditions d’utilisation dangereuses. Par exemple, pour les applications électriques du moteur, il conviendrait d’indiquer un seuil minimal de tension pour la faible capacité restante dans les pires conditions environnementales. Le poste de contrôle affiche un avertissement de batterie faible pour alerter le pilote de l’ATP dont la batterie s’est déchargée à un niveau qui requiert une descente immédiate. La procédure à suivre en cas d’avertissement de batterie faible figure dans le manuel d’exploitation.
b) Conception du poste de contrôle : Pour les systèmes qui doivent être déclarés conformes à la norme 922.11 du RAC relative à la conception des postes de contrôle, on s’attend à ce qu’une analyse approfondie des avertissements et des alertes soit effectuée. Le traitement des conditions de fonctionnement anormales et des avertissements et alertes associés peut être critique en termes de temps, et conduit souvent à des situations de charge de travail élevée où l’équipage a besoin d’une compréhension rapide de l’état du SATP. Le système d’avertissement et d’alerte du poste de contrôle devrait être conçu de manière à pouvoir aider l’équipage dans ces situations. Pour la conformité à la norme 922.11 du RAC, une analyse détaillée des tâches et des facteurs humains est attendue pour montrer que la stratégie d’avertissement et d’alerte du poste de contrôle aide l’équipage à accomplir ses tâches. Même pour les systèmes ne nécessitant pas la conformité à la norme 922.11 du RAC, les concepteurs sont encouragés à mettre en place un processus systématique pour démontrer que le PC répond aux besoins de l’équipage et présente les informations à l’équipage de manière claire et opportune.
c) Alertes. Les alertes doivent informer le pilote des dysfonctionnements du système ou des conditions dangereuses (p. ex., faible consommation de carburant, capacité C2 dégradée), de sorte que les actions appropriées peuvent être entreprises. En outre, les alertes devraient être visibles et intelligibles pour le pilote dans toutes les conditions de fonctionnement prévisibles, y compris les conditions dans lesquelles de multiples alertes sont émises. Les alertes devraient être supprimées lorsque les conditions d’alerte n’existent plus. Afin de permettre aux pilotes de prendre des décisions en temps voulu, les alertes devraient fournir des signaux attirant l’attention en tenant compte des opérations de pilotage normales et de la charge de travail. Les alertes ne doivent pas non plus être si fréquentes que les pilotes soient surchargés d’informations ou qu’ils aient tendance à ignorer les alertes intempestives. La hiérarchisation et la suppression des alertes peuvent être utilisées lorsque les conditions le justifient. Le mécanisme de suppression ne doit pas permettre de supprimer les alertes par inadvertance ou par réflexe, car l’objectif est de présenter les informations pour que le pilote puisse agir. Enfin, le manuel d’exploitation doit clairement définir toutes les alertes pouvant être affichées, y compris leurs répercussions sur le fonctionnement du SATP et les mesures du pilote requises.
d) Hiérarchisation. Les mécanismes d’alerte doivent comporter des priorités selon le type d’information affichée afin de s’assurer de minimiser les fausses alertes ou celles injustifiées et d’assurer la réaction du pilote en temps opportun lorsque surviennent des conditions qui requièrent réellement son attention. La hiérarchie suivante est suggérée puisqu’elle est déjà appliquée comme pratique exemplaire dans l’industrie de l’aviation :
- i) Alerte d’avertissement : conditions qui requièrent l’attention immédiate du pilote et une intervention immédiate.
- ii) Alerte d’attention : conditions qui requièrent l’attention immédiate du pilote et une intervention subséquente.
- iii) Alerte d’avis : conditions qui requièrent l’attention du pilote et qui pourraient exiger une intervention subséquente.
e) Rendement marginal. Le mécanisme d’alerte a aussi pour objet de faire prendre conscience au pilote de l’état du SATP, pour qu’il puisse prendre des décisions en toute confiance concernant la poursuite de l’utilisation du système en toute sécurité. À cette fin, il est recommandé que le mécanisme d’alerte comprenne des mises en garde qui affichent une indication qu’un système essentiel au vol (p. ex., système de navigation, liaison C2, batterie), tel que déterminé en fonction de l’évaluation de sécurité du système, fonctionne à sa capacité marginale. Voici quelques exemples de rendement dégradé ou marginal :
- erreurs GNSS, y compris les erreurs de signal du système mondial de navigation par satellite (GNSS), comme des effets gravitationnels qui font dévier le satellite de sa trajectoire orbitale, et affaiblissement de la précision (DOP) GNSS lorsque les géométries des satellites disponibles n’offrent pas une couverture suffisante pour répondre à la précision de la navigation;
- erreurs de navigation ou d’orientation, telles des obstructions Pitot ou statiques pouvant entraîner des mesures de vitesse ou d’altitude non valides, et telles des anomalies ou des dérives du capteur de l’unité de mesure;
- erreurs causées par le relief, comme la dissimulation par le terrain, lorsque le paysage (p. ex., une montagne) empêche l’antenne du SATP de recevoir le signal satellite, et comme les réflexions par trajets multiples, lorsque le signal est réfléchi par le paysage de sorte que le récepteur reçoit plusieurs signaux qui peuvent créer de la confusion et doivent être soustraits pour éviter de créer des erreurs de position;
- dégradations de la bande passante de la liaison C2 et de la réactivité causées par des sources d’interférence inconnues ou non caractérisées (p. ex., RADAR), ou par une utilisation aux limites de la portée.
f) Réservé

5.5 Facteurs humains et utilisabilité

1) L’interface utilisateur pour l’équipage doit faire l’objet d’une attention particulière pour les SATP qui reçoivent une déclaration à la norme 922.11 du RAC, mais cet aspect de la conception du SATP est d’une grande importance pour toutes les conceptions de SATP. Toute conception d’un SATP doit s’accompagner d’une analyse des tâches de l’équipage afin de s’assurer que le poste de contrôle (PC) fournit toutes les informations et commandes à l’équipage de la manière la plus claire possible, tout en réduisant autant que possible la fatigue et la confusion de l’équipage.

2) Les déclarants doivent se référer aux directives relatives à la norme 922.11 du RAC (voir la section 4.9) et aux normes connexes pour les aider à concevoir le PC. Une approche méthodique des aspects liés aux facteurs humains de la conception d’un SATP doit être envisagée même pour les SATP qui ne nécessitent pas de déclaration au titre de la norme 922.11 du RAC.

3) Il convient d’être particulièrement vigilant en ce qui concerne les affichages et les unités utilisées sur ces affichages. L’aviation conventionnelle n’utilise pas les unités SI, de sorte que ces unités peuvent ne pas être idéales si l’équipage du SATP est appelé à interagir avec l’aviation classique.

4) Les demandeurs doivent se référer aux normes et aux pratiques utilisées dans la conception classique des postes de pilotage de l’aviation lors de la mise en œuvre des commandes et des indications, en particulier lorsque l’équipage doit prendre des décisions critiques dans des situations d’urgence. L’aviation classique a élaboré des pratiques standard telles que le codage couleur, l’utilisation de plusieurs sens pour communiquer et hiérarchiser les avertissements et les alertes, et la normalisation des contrôles afin de réduire autant que possible les erreurs de l’équipage. Les concepteurs de SATP sont fortement encouragés à prendre en compte ces meilleures pratiques lors de la conception de leurs postes de contrôle.

5.6 Gestion de la configuration et suivi de la fiabilité

1) Un constructeur devrait avoir un contrôle sur la configuration de ses conceptions particulières de SATP ou de ses conceptions particulières d’éléments pour garantir une traçabilité suffisante permettant de faire le suivi de la durée des composants du système. Par conséquent, la gestion de la configuration est essentielle pour établir des systèmes de suivi du dossier de service (et produire les déclarations appropriées au ministre). Pour établir un système de gestion de la configuration qui est approprié en fonction des risques de leurs déclarations, le constructeur peut suivre les exigences de la circulaire AC20-153B de la FAA, de la norme EIA-649 de la Society of Automotive Engineers (SAE), de normes ASTM ou ISO ou d’autres normes équivalentes de l’industrie.

2) Il est recommandé aux utilisateurs et aux constructeurs d’avoir recours à des systèmes de maintenance (p. ex., un logiciel de traçabilité) pour faire le suivi de la configuration des SATP en service afin de recueillir les données sur le cycle de vie associées aux composants. En règle générale, ces types de systèmes sont utilisés de concert avec des systèmes de surveillance de bon fonctionnement de l’aéronef qui assurent la transmission directe des données à des bases de données opérationnelles pour soutenir la gestion de la durée de vie des SATP en service. Les systèmes de maintenance (informatisés ou non) devraient comporter la configuration des divers SATP opérationnels afin d’établir l’historique de la durée de vie réelle des composants et des systèmes utilisés dans différents environnements opérationnels. Lorsque l’ensemble d’une flotte de SATP fait l’objet d’un suivi (par un utilisateur particulier ou dans le cadre d’un système de maintenance mis en place par le constructeur ou le concepteur), les données sur la fiabilité ont la sensibilité et le degré d’exactitude requis pour effectuer une analyse élargie de la durée de vie des systèmes. Dans l’industrie de l’aviation conventionnelle, on a recours aux rapports de difficultés en service (RDS) pour faire le suivi des problèmes que rencontrent les exploitants, et les concepteurs ou constructeurs se servent de ces données pour déterminer l’origine des problèmes afin de déterminer la fiabilité des systèmes et de leurs composants. Les informations contenues dans les RDS peuvent servir à effectuer l’analyse des tendances des problèmes, des défauts et des défaillances afin d’étayer les plaintes en matière de fiabilité pour les opérations effectuées au-dessus ou à proximité des personnes.

3) Lorsqu’un déclarant de SATP n’est pas le fabricant de l’ensemble du SATP, il peut être plus difficile d’avoir un contrôle complet de la configuration sur toutes les parties du SATP. Cela peut être le cas pour les déclarants qui déclarent une modification (par exemple, un système de parachute après-vente) ou la fourniture d’un service (par exemple, DAE ou C2 en tant que service). Idéalement, le déclarant de SATP aura une relation avec le constructeur de l’équipement d’origine pour étayer sa déclaration. Cela peut prendre la forme d’une documentation sur l’interface de programmation d’applications (API) lors du développement de systèmes complémentaires pour le SATP, ou de spécifications et de tolérances détaillées permettant au demandeur de comprendre toutes les variations qui pourraient être présentes dans le SATP d’origine. Dans ce cas, le déclarant doit examiner attentivement les aspects du SATP qui doivent être configurés pour étayer sa déclaration. Par exemple, si la déclaration repose sur certaines versions de microprogrammes ou sur certaines limitations opérationnelles du SATP, celles-ci doivent être communiquées clairement à l’opérateur. Dans les cas où il n’est pas possible d’établir une relation avec le fabricant de l’équipement d’origine, il incombe au déclarant de SATP d’effectuer tous les essais et analyses nécessaires pour s’assurer que le SATP final tel qu’il est déclaré (c’est-à-dire y compris son entretien ou sa modification) est conforme aux normes 922 déclarées.

5.7 Construction

1) Lorsque l’entité déclarante est le constructeur du SATP, on suppose qu’elle est responsable d’un produit conforme aux normes industrielles de fabrication acceptées au moment de la livraison, dont l’aptitude et la sécurité au vol ont été démontrées et qui est conforme à la conception faisant l’objet de la déclaration.

2) Au besoin, le constructeur indiquera les matériaux et les procédés de fabrication utilisés dans la construction de l’ATP ainsi que les critères appliqués pour contrôler la variabilité de la performance des matériaux entre les échantillons. Les matériaux sont compatibles avec le spectre d’utilisation. Les pièces fabriquées, les assemblages et le SATP complet sont produits conformément au système de gestion de la qualité du constructeur.

3) Pour d’autres exigences de fabrication et une liste de normes industrielles de fabrication reconnues par TC, voir la CI 901-001 – Processus de déclaration et de DVP d’assurance de la sécurité des SATP.

5.8 État de service de l’aéronef

1) Manuel de maintenance. Le SATP doit avoir un manuel de maintenance, qui peut faire partie du manuel d’exploitation, qui définit les actions à prendre pour maintenir le SATP en bon état de service. L’annexe A fourni un moyen acceptable de définir les tâches de maintenance.

2) En particulier, le constructeur fournit des instructions pour le maintien de l’aéronef de la structure, du moteur, de l’hélice et de tout sous-système ATP pour lesquels une inspection, une substitution (p. ex., des pièces à durée de vie limitée), un réglage et une lubrification sont nécessaires. Les déclarants doivent accorder une attention particulière aux domaines et aux éléments qui ont toujours posé des problèmes de sécurité, tels que la sécurité des connecteurs, le frottement des fils, le contrôle de la version des logiciels et du matériel, l’entretien et le réglage des moteurs. Pour ces aspects et d’autres aspects des SATP, des procédures d’entretien détaillées devraient être élaborées et fournies aux opérateurs.

3) Le constructeur doit promulguer toutes les instructions nécessaires pour assurer la sécurité de l’exploitation de l’aéronef, y compris des actions de maintenance obligatoires. Le constructeur doit fournir une méthode permettant de suivre les événements techniques ayant une incidence sur la sécurité tout au long du programme et mettre en œuvre les mesures préventives et correctives nécessaires.

4) Le manuel d’entretien doit indiquer clairement quelles activités d’entretien peuvent être effectuées par du personnel non formé et quelles activités nécessitent une formation particulière. Si certains aspects du SATP nécessitent des compétences particulières ou un personnel spécialement formé pour assurer un entretien correct, ces détails doivent être communiqués dans le manuel d’entretien. C’est le cas, par exemple, lorsqu’un moteur nécessite une formation spéciale pour fonctionner en toute sécurité, ou lorsqu’un cours de formation des FEO est requis pour les personnes chargées de l’entretien du SATP en service.

5.9 Charges utiles

1) Généralités. En vertu de la partie IX du RAC, les charges utiles sont définies comme des systèmes, des objets ou un ensemble d’objets, y compris des charges à l’élingue, qui sont à bord de l’aéronef ou qui y sont fixés d’une autre manière et qui ne sont pas nécessaires au vol. La charge utile peut comprendre des éléments comme l’ensemble des capteurs, des conteneurs ou des radios complémentaires. Les charges utiles font elles-mêmes partie de la cellule de l’ATP puisqu’elles sont fixées aux éléments structurels d’une manière ou d’une autre. Ainsi, lorsque le sous-alinéa 901.200c)(ii) du RAC exige que la contrôlabilité et le centre de gravité soient évalués, les effets des charges utiles doivent être pris en compte.

2) Définition de la charge utile. Il importe que les constructeurs définissent les limites des diverses configurations de la charge utile qu’un SATP peut supporter. En règle générale, les limites de la charge utile s’expriment selon la masse, les dimensions physiques et l’intégration à la cellule. Il existe bien des manières d’intégrer la charge utile dans un SATP, par exemple, certaines conceptions comprennent un « compartiment » particulier pour la charge utile, tandis que d’autres ont des « ports » auxquels la charge utile peut être fixée, et d’autres encore nécessitent que la charge utile soit transportée au moyen d’un équipement externe fixé à la cellule. Le manuel d’utilisation doit clairement définir les capacités de transport de la charge utile et son impact sur les caractéristiques opérationnelles du SATP (p. ex., réduction de la portée, susceptibilité au vent). Les configurations de charge utile qui invalident les capacités déclarées du SATP pour les opérations avancées (p. ex., si la défaillance d’un système de charge utile peut causer des blessures graves à une personne au sol) sont clairement indiquées dans le manuel d’exploitation.

Au lieu de mentionner les considérations liées aux dimensions, à la masse et à l’intégration à la cellule (détaillées ci-après), le manuel d’exploitation peut préciser les charges utiles qui sont jugées acceptables. Cette option peut être attrayante dans le cas d’une déclaration de la capacité de l’ATP sans possibilité de caractériser l’effet des charges utiles inconnues.

3) Limites de masse. Les limites de masse doivent être définies dans la portée de la masse et du centre de gravité du SATP. Le manuel d’utilisation doit clairement indiquer la masse maximale disponible pour la charge utile sans effet nuisible sur la manœuvrabilité et la navigabilité du système. De plus, si des répartitions particulières de la masse ne sont pas acceptables (p. ex., charge installée principalement à l’avant de l’aéronef), le manuel d’exploitation doit clairement indiquer les limites de charge en tenant compte de la répartition de la masse sous le SATP. Lorsque la masse de la charge utile est prise en compte dans la déclaration des capacités de fonctionnement de niveau avancé, alors la masse maximale de la charge utile doit être indiquée dans le manuel d’exploitation. Essentiellement, le manuel d’exploitation devrait clairement définir les plages acceptables de masse de charge utile et de distribution pour lesquelles les capacités déclarées du SATP pour les opérations avancées resteront valables.

4) Limites de dimensions. Les limites de dimensions de la charge utile doivent être définies dans la portée de la masse et du centre de gravité du SATP. Le manuel d’exploitation devrait clairement indiquer les limites de dimensions de la charge utile qui, si elles n’étaient pas respectées, auraient des effets nuisibles sur la manœuvrabilité et la navigation du système en vol. S’il existe plusieurs configurations des dimensions de la charge utile (p. ex., forme cubique ou sphérique), le manuel d’exploitation doit en définir les limites maximales. Lorsque les dimensions de la charge utile sont prises en compte dans la déclaration des capacités de fonctionnement de niveau avancé (p. ex., arêtes vives, charge utile contenue dans la cellule), alors les dimensions maximales de la charge utile doivent être établies dans le manuel d’exploitation.

5) Limites d’intégration à la cellule. L’intégration de la charge utile à la cellule devrait être définie dans la portée de l’aérodynamique de l’aéronef. La charge utile peut être fixée à la cellule dans n’importe quelle orientation et peut être intégrée aux systèmes électroniques par divers moyens (p. ex., port USB). Le manuel d’exploitation devrait clairement indiquer comment intégrer la charge utile à la cellule, physiquement et électroniquement, afin d’éviter de créer un danger en vol. Les risques de nature électrique devraient être indiqués, s’il y a lieu, surtout en ce qui a trait aux connexions directes avec les systèmes électriques de l’aéronef. Les effets sur la manœuvrabilité de l’aéronef devraient figurer dans l’information sur l’intégration à la cellule (p. ex., lorsque la charge utile est installée en dehors du compartiment réservé normalement à cette charge). Si l’intégration de la charge utile est prise en compte dans la déclaration des capacités de fonctionnement en opérations avancées, alors les limites quant aux modifications des méthodes d’intégration précisées doivent être clairement indiquées dans le manuel d’exploitation.

5.10 Liaison C2

1) Généralités. L’importance de la liaison C2 ne peut être négligée. Cette liaison est le seul moyen de contrôler le vol d’un SATP et elle est, dans la plupart des cas, le facteur limitant le plus essentiel dans son fonctionnement. L’industrie a mis au point divers types de liaison C2 pour répondre aux besoins particuliers des consommateurs tout en offrant une fiabilité optimale adaptée à l’utilisation envisagée. Néanmoins, en raison de la complexité de la plupart des environnements opérationnels, il faut s’attendre à des pertes de liaison.

2) Perte de liaison. Une perte de liaison survient lorsque la liaison C2 n’est pas disponible et que le pilote n’arrive plus à intervenir dans la gestion du vol. La perte de la liaison C2 peut être attribuable notamment à une défaillance de l’équipement, à l’erreur humaine et à l’interférence EM. Elle peut aussi être causée par les conditions suivantes liées à la propagation des radiofréquences (RF) :

a) conditions atmosphériques ou météorologiques;
b) réflexion des signaux provenant du relief, des bâtiments et de la cellule qui engendre la variation (l’affaiblissement) des signaux RF avec le temps.

Remarque : L’affaiblissement des signaux peut entraîner des pannes de liaison temporaires qui se rétablissent d’elles-mêmes et qui surviennent fréquemment lorsque l’aéronef vole sur de longues distances.

L’atténuation de la probabilité de perte de liaison devrait être un objectif visé lors de la conception pour assurer le fonctionnement continu du SATP. L’une des pratiques exemplaires consiste à doter le SATP de fonctions qui détectent la perte de liaison et lancent la procédure de récupération dans le but de rétablir l’état nominal de la liaison ou la récupération du véhicule. En outre, si une déclaration en vertu de l’article 922.09 (Fiabilité de la liaison C2 et comportement en cas de perte de liaison) est demandée, alors un événement de perte de liaison doit se traduire par un comportement cohérent du SATP, de manière à limiter autant que possible tout danger qui en résulterait.

3) Comportement en cas de liaison perdue. Quelle que soit la fiabilité de la liaison C2, les concepteurs doivent tenir compte du comportement de l’ATP en cas de perte de la liaison C2 pendant le vol. Bien qu’un concepteur puisse choisir parmi différents comportements en cas de liaison perdue, les aspects clés d’un tel comportement acceptable sont la cohérence et la prévisibilité. L’opérateur doit savoir exactement ce qu’il peut attendre de l’ATP en cas de perte de liaison et, le cas échéant, être en mesure de programmer des aspects clés du comportement (altitude de retour à la base, attente au-dessus du point d’atterrissage, atterrissage automatique, etc.) avant le vol.

4) Normes radioélectriques. Au Canada, Innovation, Sciences et Développement économique Canada (ISDE) réglemente l’utilisation du spectre des fréquences. Le fabricant devra peut-être communiquer avec ISDE pour lui faire part de ses exigences et conditions particulières d’attribution des fréquences pour prendre en charge la liaison C2. ISDE a publié des spécifications de normes radio (RSS) qui définissent les paramètres techniques des radios destinées à des opérations spécifiques :
https://www.ic.gc.ca/eic/site/smt-gst.nsf/fra/h_sf06129.html

5) Conception et rendement. La conception de la liaison C2 doit être proportionnelle aux utilisations prévues du SATP. La plupart des opérateurs ne connaissent pas les effets des interférences électromagnétiques sur leurs radios, ni la théorie des radiofréquences et les situations susceptibles de nuire à leurs activités. La liaison C2 doit donc être conçue pour une plage maximale théorique de fonctionnement reposant essentiellement sur la fréquence et la puissance de transmission de la radio.

a) Pour une liste complète des attributions de fréquences et des endroits où l’opération est possible, consultez le site Web de l’ISDE sur l’attribution du spectre : https://www.ic.gc.ca/eic/site/smt-gst.nsf/fra/h_sf01678.html

6) Sécurité de la liaison. Les systèmes radio actuels ne sont pas à l’abri des menaces de brouillage radio, d’usurpation, d’interception et de neutralisation de signal. Présentement, il est reconnu qu’il n’existe aucune norme de l’industrie offrant une liaison C2 tout à fait sûre, bien que différentes technologies affichent divers niveaux de vulnérabilité à ces menaces. Le pilote doit être conscient du risque que pose l’utilisation de radio transmetteurs non sécurisés et il doit savoir reconnaître une situation anormale avec le fonctionnement de la liaison C2. Pour ce faire, le constructeur peut communiquer aux utilisateurs toute information à sa disposition sur l’effet qu’aurait sur son système le brouillage radio, d’usurpation, d’interception et de neutralisation de signal pour aider les utilisateurs à maintenir un espace aérien sécuritaire et sûr.

7) Utilisation des bandes sous licence. Pour les opérations BVLOS en particulier, compte tenu du rôle fondamental de la liaison C2 pour la sécurité de l’opération, les opérateurs sont fortement encouragés à utiliser les bandes de fréquences sous licence pour l’exploitation de la liaison C2. Une coordination avec ISDE sera nécessaire pour fournir des licences radio pour l’utilisation de ces bandes.

8) Sécurité et fiabilité. L’analyse de la liaison C2 et des défaillances associées sera généralement effectuée dans le cadre de l’évaluation de la sécurité et de la fiabilité prévue par la norme 922.07 du RAC. Étant donné que les défaillances de la liaison C2 peuvent avoir un effet en cascade sur d’autres aspects de l’exploitation d’un SATP BVLOS, la perte et la dégradation de la liaison C2 doivent constituer un mode de défaillance particulier qui fait l’objet d’une évaluation détaillée.

9) Caractérisation des liaisons. Les demandeurs doivent envisager de caractériser leur liaison C2 au moins pour les éléments suivants : continuité, disponibilité, intégrité, heure d’expiration de la transaction et couverture géographique. Se reporter à l’annexe A pour connaître les normes industrielles relatives à la caractérisation des liaisons C2 pour l’exploitation des SATP.

10) Accords sur les niveaux de service. Pour les opérations qui font appel à des prestataires de services pour fournir des liaisons C2 en tant que service (c’est-à-dire cellulaire, satellite, etc.), il est recommandé de mettre en place des accords sur les niveaux de service pour garantir que toutes les hypothèses formulées lors de la caractérisation de la liaison C2 sont maintenues pendant l’opération BVLOS du SATP.

11) Prise en compte des autres régulateurs. Avant d’exploiter une liaison C2, les demandeurs doivent s’assurer qu’ils consultent les autres régulateurs concernés, tels que ISDE et NAV Canada. Pour l’exploitation de certaines bandes de fréquences, des licences de stations radio peuvent être requises auprès d’ISDE.

5.11 Limites opérationnelles

1) Généralités. Le constructeur de SATP doit définir les limites d’utilisation définies dans l’alinéa 901.200c) du RAC et les mettre à la disposition de chaque propriétaire pour les opérations avancées prévues. Le constructeur doit publier ces limites relatives à l’utilisation de ses SATP pour aider les utilisateurs à choisir le système le mieux adapté à leurs besoins. Voici quelques exemples de limites à prendre en compte :

a) la plage opérationnelle maximale attendue pour la liaison C2;
b) les latences comme fonction de toutes les conditions de fonctionnement pertinentes (Remarque : Les latences ne devraient pas entraîner une condition non sécuritaire dans n’importe quel mode de fonctionnement du circuit de commandes de vol);
c) la disponibilité du canal de liaison C2 lorsqu’il est capable d’utiliser plusieurs canaux;
d) Limites environnementales telles que la température, le vent, l’altitude, les précipitations.
e) Limitations de la charge utile.
f) Modes d’exploitation incompatibles avec la déclaration d’assurance de sécurité (par exemple, si l’aéronef est limité à une vitesse réduite lors d’opérations au-dessus de personnes).

2) Liaison C2. Lors de l’évaluation des critères techniques des radios de liaison C2, il convient de garder à l’esprit l’environnement opérationnel ainsi que les capacités et les limites de gammes de fréquences spécifiques. Les caractéristiques suivantes ont été notées pour les gammes de fréquences actuellement utilisées par les SATP :

a) La bande 2,4 GHz occupe une largeur de bande radio avec exemption de licence. La plupart des équipements radio fonctionnant dans cette gamme de fréquences utilisent les normes IEEE 802.11 (Wi-Fi). Elle est très utilisée, au point d’être parfois encombrée. Par conséquent, il est recommandé d’utiliser cette bande de fréquences pour les systèmes fonctionnant à l’écart d’un grand nombre d’appareils grand public (par exemple fonctionnant en dehors des zones urbaines). Les éléments susceptibles d’interférer dans cette gamme de fréquences sont les routeurs Wi-Fi, les appareils Bluetooth, les fours à micro-ondes, les microphones et les claviers sans fil.
b) La bande 5,8 GHz occupe une largeur de bande radio avec exemption de licence. La plupart des radios fonctionnant sur cette fréquence utilisent la norme Wi-Fi. Les radios Wi-Fi 5,8 GHz disposent généralement d’une plus grande largeur de bande que les radios Wi-Fi 2,4 GHz et, bien qu’elles soient plus résistantes aux interférences, elles ne sont pas à l’abri d’une perte de bande passante en présence d’autres sources à 5,8 GHz. Par conséquent, il est recommandé d’utiliser cette fréquence pour les systèmes destinés à fonctionner loin des zones où d’autres sources à 5,8 GHz sont présentes. Parmi les éléments susceptibles d’interférer dans cette gamme de fréquences, citons les téléphones sans fil, les alimentations en courant alternatif et les autres SATP.
c) Bande 5040-5050 MHz (bande C) – La bande C occupe une largeur de bande radio visée par une licence. En conséquence, les SATP qui utilisent ces radios nécessitent que les opérateurs détiennent des licences délivrées par ISDE. Ces fréquences ont été déterminées comme utilisables pour les systèmes à haute fiabilité. Les critères de conception des radios bande C sont décrits dans la publication TSO-C213 et les documents connexes. Ces radios sont recommandées pour les opérations plus robustes, et dans les zones approuvées par ISDE. Pour plus d’informations sur les licences, consultez le site Web d’ISDE :
https://www.ic.gc.ca/eic/site/smt-gst.nsf/fra/h_sf10772.html
d) Bande L, communications par satellite et autres – Bien qu’il soit noté qu’il existe des dizaines d’autres technologies qui peuvent être utilisées pour les liaisons C2 (y compris les radios cellulaires), elles fonctionnent principalement dans des fréquences visées par une licence et, par conséquent, auront des caractéristiques similaires aux radios de bande C ci-dessus (bien qu’avec différentes sources d’interférence). Là encore, il convient de choisir avec soin les radios à utiliser en fonction de l’environnement opérationnel du SATP.

3) Options du système pour limiter l’utilisation. En plus d’usages spéciaux, il existe un certain nombre de limites opérationnelles que les autorités pertinentes de l’aviation peuvent imposer au fonctionnement d’un SATP (p. ex., vol à plus de 400 pi au-dessus du sol, survol d’établissements correctionnels, vol dans un espace aérien réglementé). Bien qu’il incombe à l’utilisateur de s’assurer qu’il respecte les règlements de l’aviation et les codes criminels des provinces ou territoires où il fait voler son SATP, un certain nombre de constructeurs intègrent des fonctions qui aident l’utilisateur à respecter les limites opérationnelles imposées par l’autorité juridictionnelle, notamment des technologies comme le géoblocage et le limiteur d’altitude. Deux exemples de ces technologies sont le « Geo-Fencing » et les « Altitude Limiters ». Ces technologies permettent de configurer le contrôleur de vol du SATP pour y intégrer les restrictions liées à certaines zones d’utilisation. Même si ces types de systèmes ne sont pas encore exigés par les autorités, leur incorporation est considérée comme une pratique exemplaire visant à minimiser les risques pour l’aviation. Le manuel d’exploitation devrait fournir des instructions claires pour activer ces fonctions, y compris les fonctions de dérogation et leurs limites.

4) Limites particulières d’utilisation. Le cadre réglementaire prévoit certaines limites opérationnelles particulières (25 ou 150 kg, à 100 pieds des personnes, 25 personnes par km2). Les déclarants doivent savoir qu’ils doivent imposer des limitations supplémentaires à leur SATP s’ils le jugent nécessaire pour satisfaire à la norme d’assurance de la sécurité. S’il est établi qu’un SATP ne peut être utilisé en toute sécurité au-dessus de personnes qu’à une vitesse réduite ou à une masse réduite au décollage, ces limitations doivent être communiquées à l’opérateur.

5) Contrôle de plusieurs systèmes. Le paragraphe 901.40(1) du RAC permet l’utilisation de plusieurs ATP à partir d’un même PCS, à condition que le système et le PC aient été conçus pour remplir ces fonctions. Dans le manuel d’exploitation, les constructeurs de SATP doivent fournir des instructions pour l’exploitation de plusieurs ATP à partir d’un même PCS et les limites d’exploitation. Ces instructions doivent définir comment gérer, coordonner et contrôler l’ATP dans des conditions normales et anormales d’exploitation. Il devrait envisager :

a) Le nombre maximum d’ATP pouvant être contrôlés à partir d’un seul poste de contrôle à un moment donné; en notant que la réglementation exige que l’opérateur dispose d’un COAS s’il a l’intention de contrôler plus de 5 ATP à partir d’un seul poste de contrôle;
b) le contrôle de chaque ATP individuel;
c) la pause et la cessation du contrôle;
d) le contrôle du transfert à un autre PCS, le cas échéant.

Ces opérations de SATP avec le PCS doivent être validées par des tests en vol afin d’évaluer l’interface utilisateur, les procédures et la charge de travail du pilote (facteurs humains).

5.12 Intégration du SATP

1) Généralités. L’intégration des systèmes désigne globalement la tâche consistant à s’assurer que tous les composants des systèmes fonctionnent correctement ensemble et qu’il n’y a pas d’interactions indésirables entre les composants. Il s’agit d’une étape clé dans tout processus de conception complexe, mais elle peut être particulièrement importante lorsqu’un déclarant fournit un système supplémentaire ou complémentaire à un SATP existant. Il peut s’agir par exemple d’un système de récupération par parachute ou d’un système de détection et d’évitement.

2) Essai d’intégration. Lors de l’intégration de systèmes SATP, les déclarants doivent élaborer un programme d’essai pour s’assurer que les systèmes SATP, y compris tout système supplémentaire, fonctionnent correctement ensemble. Si des effets négatifs sont constatés, ils doivent être corrigés au cours de la phase de développement du projet de SATP. Dans certains cas, les effets négatifs peuvent devenir des limitations opérationnelles qui doivent être communiquées aux opérateurs (par exemple, un système DAE qui interfère avec un certain type de liaison C2, ou qui est incompatible avec une certaine charge utile ou une certaine mission).

6.0 Modifications

1) Généralités. L’article 901.70 du RAC prévoit des règles pour la modification des SATP par des tiers. Donc, les modifications effectuées par une partie autre que le constructeur. Les règles relatives aux modifications des SATP varient selon que le SATP est destiné à être utilisé dans le cadre d’un CONOPS nécessitant une déclaration ou une déclaration validée au préalable. Les tiers disposent d’une plus grande marge de manœuvre pour modifier les SATP dotés d’une déclaration que ceux dotés d’une déclaration validée au préalable. Se reporter à la circulaire d’information CI 9XX-XXX (la circulaire d’information sur la déclaration et la DVP) pour plus de détails sur les considérations relatives aux modifications des SATP ayant des capacités déclarées. Un bref aperçu des règles relatives aux déclarations est présenté ci-dessous.

2) SATP avec déclarations : Lors de la modification d’un SATP doté d’une déclaration d’assurance de sécurité, il appartient au modificateur de déterminer si la modification envisagée a une incidence ou non sur la capacité déclarée du SATP. Il est attendu des modificateurs qu’ils fassent preuve de discernement technique et qu’ils consultent les manuels et les données techniques des SATP, le cas échéant, pour déterminer si la modification a un quelconque effet sur les capacités déclarées. En fonction de l’ampleur de la modification, le modificateur peut également devoir effectuer des essais au sol ou en vol pour vérifier que le SATP reste conforme aux sections déclarées de la norme 922 du RAC.

3) SATP avec déclarations validées au préalable : Les modifications apportées aux SATP qui possèdent des déclarations validées au préalable ne doivent être effectuées que conformément aux instructions du fabricant. Le modificateur peut être amené à communiquer avec le titulaire de la déclaration validée au préalable si la modification qu’il souhaite apporter n’est pas prise en charge par les instructions d’utilisation existantes fournies par le titulaire de la déclaration validée au préalable. Si un opérateur décide de modifier un SATP d’une manière qui n’est pas précisément conforme aux instructions du détenteur de la DVP, la DVP de ce SATP ne sera plus valide, et l’aéronef ne pourra être utilisé que pour des opérations ne nécessitant pas de DVP. (c’est-à-dire BVLOS loin des zones peuplées, ou VLOS loin de personnes). Les SATP associés à une DVP sont censés être plus complexes et il peut y avoir des considérations de sécurité associées à la déclaration qui ne sont pas immédiatement évidentes pour le modificateur. Étant donné que les modifications qui n’ont pas été spécialement approuvées par le déclarant de SATP ou qui n’ont pas fait l’objet d’une consultation avec lui invalident de fait toute DVP associée au SATP, ces modifications rendent le SATP inadmissible à toute opération nécessitant une DVP.

4) Étendue des modifications. Les modifications peuvent appartenir à l’une des deux catégories suivantes : (1) modifications qui influent capacités déclarées du SATP et (2) modifications qui n’influent pas les capacités déclarées du SATP. Comme nous l’avons vu plus haut, pour les aéronefs dotés d’une DVP, c’est le détenteur de la DVP qui décide quelles modifications peuvent être apportées au SATP. Pour les SATP qui n’ont qu’une déclaration, il incombe à la partie apportant la modification d’évaluer s’il y a un effet sur les capacités déclarées, notamment en ce qui concerne les exigences techniques et de documentation énoncées dans l’article 901.200 du RAC. L’évaluation de l’impact des modifications peut nécessiter une coordination avec le constructeur du système SATP afin d’obtenir des informations techniques détaillées. Il n’y a pas de notification au ministre nécessaire pour les modifications jugée comme ayant une incidence sur les capacités déclarées du SATP (ou la satisfaction continue des exigences techniques de la norme 922 du RAC). Pour les modifications jugées comme ayant une incidence sur les capacités déclarées du SATP, il incombe à l’exploitant de s’assurer qu’aucune opération nécessitant ces capacités n’est effectuée (c’est-à-dire que si une modification invalide une déclaration en vertu de l’article 922.06 relative à des opérations au-dessus de personnes, il incombe à l’exploitant s’assurer que le SATP modifié n’est pas utilisé pour effectuer des opérations au-dessus de personnes).

5) Obligations du modificateur du SATP. Même pour les SATP qui ne font pas l’objet d’une déclaration de sécurité, toute personne apportant une modification à un SATP doit tenir compte des responsabilités indiquées dans l’article 900.06 du RAC qui incombent au pilote et qui interdisent toute opération imprudente ou négligente susceptible de mettre en danger la sécurité aérienne ou la sécurité d’une personne. Par conséquent, les modificateurs doivent se demander si leur modification augmente de quelque manière que ce soit le danger présenté par le SATP. Cette évaluation peut déboucher sur des changements de la modification pour la rendre plus sûre, ou sur des procédures opérationnelles ou des limitations supplémentaires pour réduire le danger créé par la modification. Par exemple, un ATP qui a été modifié pour couper des branches dans les forêts ne peut plus être utilisé pour des opérations à proximité ou au-dessus de personnes. Cette modification pourrait être acceptable, à condition que le pilote soit averti des nouvelles limitations opérationnelles.

7.0 Instructions et limites d’utilisation

1) La plupart des déclarations s’appuient sur des hypothèses concernant l’opérateur du SATP et les opérations qu’il effectuera. Les déclarants doivent examiner attentivement si les opérateurs du SATP ont besoin de compétences ou d’une formation particulières pour utiliser le SATP en toute sécurité. Ils doivent également prendre en compte les connaissances dont l’opérateur a besoin pour s’assurer que le SATP est exploité dans une enveloppe de sécurité. Voici certaines des situations possibles :

a) Dans certaines situations, la récupération en toute sécurité du SATP nécessite une attention ou une expertise supplémentaire.
b) Les systèmes de sécurité (par exemple, un parachute) qui ont des limites environnementales (par exemple, le vent maximum autorisé).
c) Toute considération requise concernant l’intégration d’éléments configurables ou de charges utiles (c’est-à-dire que certaines charges utiles sont incompatibles avec certaines missions ou certains éléments configurables).

2) Les déclarants doivent communiquer toutes les informations requises aux opérateurs des SATP déclarés. En général, ces informations figurent dans les instructions d’utilisation de l’appareil. Les déclarants peuvent également décider qu’une formation spéciale est nécessaire pour s’assurer que les opérateurs possèdent les compétences et les connaissances nécessaires pour exploiter les SATP déclarés. Les déclarants sont libres d’imposer une formation en classe ou virtuelle à leurs opérateurs.

3) Les déclarants peuvent également déterminer que leur déclaration modifie les limitations opérationnelles d’un SATP existant. (p. ex., un système de parachute qui permet de voler au-dessus de personnes, ou un changement de système qui permet de voler dans des conditions plus venteuses). Les déclarants sont autorisés à modifier les limites d’exploitation comme ils le souhaitent, à condition que leur processus de développement ait démontré que ces nouvelles limites sont sûres et que le SATP est conforme à la norme 922 déclarée du RAC. Lorsque les limitations opérationnelles changent, les instructions données à l’opérateur doivent être claires sur ce qu’il doit faire pour accéder à ces nouveaux privilèges opérationnels.

8.0 Gestion de la configuration des SATP

1) Gestion de la configuration. Une bonne gestion de la configuration est un aspect extrêmement important des déclarations d’assurance de la sécurité. En faisant une déclaration d’assurance de sécurité, le déclarant affirme pour mémoire que la marque et le modèle déclarés de SATP sont conformes à la norme du RAC et que tous les SATP fabriqués sous cette marque et ce modèle sont également conformes à la norme du RAC. Si le déclarant n’est pas en mesure de documenter tous les aspects critiques du matériel, du logiciel et de l’architecture du SATP, il ne pourra pas affirmer que les futures instances de la même marque et du même modèle de SATP continueront à se conformer à la norme déclarée.

2) Considérations relatives à la durée de vie. Une fois que le SATP entre en service, il est entendu que des modifications et des mises à niveau occasionnelles peuvent être apportées au SATP. Il peut s’agir, par exemple, de mises à jour de micrologiciels ou de pièces de rechange. Il incombe au déclarant de s’assurer que les modifications qu’il apporte au SATP n’ont pas d’incidence sur la conformité déclarée à la norme 922 du RAC. S’il existe plusieurs configurations d’une marque et d’un modèle de SATP qui continuent à satisfaire à la norme déclarée, il incombe au déclarant de tenir à jour la liste des configurations applicables. Il est également important de communiquer aux opérateurs les configurations qui ne sont pas conformes à la norme 922 du RAC, afin qu’ils soient conscients des situations dans lesquelles certains types d’opérations ne sont pas autorisés.

9.0 Obligations du déclarant de SATP

1) Généralités. Une fois la déclaration faite, les déclarants ont certaines obligations en vertu de la partie IX du RAC. Bien que ces obligations soient résumées ci-dessous, des conseils supplémentaires sur ces responsabilités peuvent être trouvés dans la CI 901-001, Processus de déclaration et de déclaration validée au préalable.

2) Instructions d’entretien et manuel d’utilisation. Les demandeurs doivent s’assurer que leur documentation opérationnelle (manuel de l’utilisateur, procédures d’entretien, etc.) indique clairement quelles opérations ont été analysées et déclarées sûres. Toutes les hypothèses opérationnelles qui constituent la base de la déclaration doivent être traduites en limitations opérationnelles qui sont communiquées à l’utilisateur final. Le déclarant ne doit pas s’appuyer sur le certificat d’enregistrement du SATP pour énumérer les limites opérationnelles du SATP.

3) Éléments du SATP. La sous-partie 101 du RAC définit un SATP comme un ensemble d’éléments configurables comprenant un aéronef télépiloté (ATP), un poste de contrôle (PC) à distance, les liaisons de commande et de contrôle (C2) et tout autre élément nécessaire pendant les opérations aériennes.

Chaque déclaration d’assurance de sécurité doit indiquer chacun des éléments requis pour constituer un SATP conforme à la déclaration. Dans certains cas, le demandeur peut ne pas être le fabricant ou le concepteur de tous les éléments du SATP. Il peut s’agir, par exemple, d’un cas où le demandeur fabrique un parachute destiné à être installé sur l’ATP d’un tiers, ou d’un cas où le demandeur fournit des services C2 ou DAE à une opération de drones consistant en des modèles particuliers d’ATP. Dans ce cas, le demandeur doit examiner attentivement et indiquer clairement quel ensemble d’éléments configurables est couvert par sa déclaration d’assurance de sécurité. Les déclarations d’assurance de la sécurité sont faites pour un SATP complet, et non pour un sous-ensemble d’éléments configurables. Par conséquent, la déclaration doit décrire complètement le SATP et les éléments configurables inclus qui sont considérés comme conformes à la norme 922 du RAC. Il convient également de noter que les opérateurs peuvent utiliser des éléments configurables supplémentaires en plus des SATP déclarés pour mener à bien leur mission. Les déclarants doivent examiner attentivement s’il existe des limitations particulières que les opérateurs doivent respecter. Par exemple, si une antenne de liaison C2 doit avoir une vue dégagée du ciel, les limitations d’exploitation doivent informer l’opérateur qu’il ne doit pas modifier le SATP de manière à ce que l’antenne soit obstruée. Par conséquent, le manuel d’utilisation doit inclure des avertissements pour éviter l’installation d’un parachute ou d’autres équipements à un endroit qui pourrait interférer avec les performances de l’antenne C2. Un autre exemple pourrait être un système DAE dont on sait qu’il n’est pas compatible avec certaines technologies de liaison C2, soit en raison d’interférences électromagnétiques, soit parce que le C2 n’est pas en mesure d’envoyer des données sur les intrus à la station terrestre. Comme précédemment, dans des cas comme celui-ci, le manuel d’utilisation doit décrire toutes les limitations connues du système qui doivent être comprises par l’utilisateur final.

4) Contenu d’une déclaration. Comme indiqué dans le paragraphe 901.194(2) du RAC, le formulaire de déclaration contient l’information suivante :

a) Marque – Nom du constructeur
b) Modèle – Désignation de modèle spécifique qui indique la configuration des éléments constituant le SATP
- i) Comme indiqué ci-dessus, pour un demandeur qui fabrique un SATP « complet », il peut suffire d’indiquer le modèle de l’aéronef.
- ii) Pour un demandeur qui ne fabrique pas le SATP « complet », ce point peut consister en une liste d’éléments configurables qui, une fois combinés, constituent un SATP conforme aux normes techniques déclarées.
- iii) Les demandeurs peuvent choisir de se référer à leurs listes de pièces internes ou à leurs dessins de contrôle de la configuration par numéro de document lorsqu’ils se réfèrent au modèle de SATP.
c) Masse maximale au décollage (MTOW) – La masse maximale en ordre de marche de l’ATP en kilogrammes;
d) Sections de la norme 922 du RAC – Case à cocher à sélections multiples pour définir les exigences techniques pour quelles le SATP a fait l’objet d’essai. Toute combinaison des cases à cocher peut être sélectionnée pour refléter les capacités de l’aéronef.
e) Signature de la personne responsable – Encadré au bas de la page pour la signature de la personne qui produit la déclaration pour le compte du constructeur
f) Titre du signataire – Titre professionnel de la personne qui produit la déclaration
g) Adresse courriel - L’adresse courriel valide et active qui peut être utilisée pour contacter la personne qui fait la déclaration
h) Date – Jour, mois et année de la signature de la déclaration

5) Personne produisant la déclaration. Une déclaration peut être faite par toute personne suffisamment compétente pour effectuer les essais ou analyses nécessaires afin de démontrer qu’un SATP donné est conforme à la partie applicable de la norme 922 du RAC. Les déclarants sont souvent le concepteur ou le fabricant du SATP, mais ce n’est pas forcément le cas. Dans certains cas, le déclarant peut être un tiers capable de démontrer la conformité du SATP à la norme 922 du RAC (par exemple, un modificateur du SATP), ou un prestataire de services dont le service permet à un SATP de satisfaire à une section requise de la norme 922 du RAC (par exemple, un prestataire de services de liaison C2 ou un prestataire de services DAE). Compte tenu de la prolifération des systèmes, on s’attend à ce qu’un marché de modificateurs et de prestataires de services tiers voie le jour. Quel que soit le type de déclarant, les obligations requises par la partie IX du RAC sont identiques. Il est également envisagé que les modificateurs de SATP doivent conclure généralement un accord avec les constructeurs de SATP ou une autre entité détenant les droits de propriété intellectuelle nécessaires pour justifier une déclaration selon laquelle le SATP modifié répond aux objectifs de sécurité applicables. Dans la mesure du possible, les modificateurs d’un SATP peuvent déclarer les modifications applicables à plusieurs modèles de SATP de la même marque sur un seul formulaire de déclaration. La section 6.0 de la présente CI fournit des indications supplémentaires sur les modifications. La CI 901-001 fournit de plus amples informations sur les personnes habilitées à faire des déclarations.

6) Conservation des déclarations. Le ministre conserve les déclarations aux fins d’inspection, de surveillance du programme, de gestion de la conformité et des dispositions désignées, ainsi que pour obtenir de l’information démographique. Le ministre peut inspecter tout élément du SATP, les preuves techniques à l’appui d’une déclaration et toute publication connexe du constructeur du SATP. Le déclarant a la responsabilité de fournir cette documentation au ministre lorsqu’il en fait la demande.

7) Validité des déclarations. Les déclarations restent valides sauf si le constructeur du SATP informe le ministre que le SATP ne satisfait pas aux exigences techniques énoncées dans la norme 922 du RAC, ou que le ministre le détermine. Dans le cas des déclarations validées au préalable, la validité de la déclaration repose également sur la soumission par le demandeur d’un rapport annuel à TC pour renouveler le statut de la déclaration validée au préalable. Pour les déclarations et les déclarations validées au préalable, l’entité déclarante est tenue d’informer le ministre dès que possible de la découverte d’un problème ayant une incidence sur la sécurité de l’opération. Si la déclaration est jugée non valide, le SATP sera limité aux opérations qui ne nécessitent pas de déclaration ou de déclaration validée au préalable, selon le cas.

Bien que l’alinéa 901.194(4)b) indique qu’une déclaration est non valide si le ministre est avisé d’un problème, les mesures recommandées par le constructeur du SATP seront prises en compte et la validité de la déclaration sera évaluée dans ce contexte.

8) Avis au ministre. L’objectif de la notification des problèmes liés aux déclarations est d’assurer que Transports Canada est tenu au courant des problèmes connus menant à des opérations dangereuses, et de soutenir la communauté des utilisateurs en diffusant des procédures ou des limitations supplémentaires aux propriétaires enregistrés. Un constructeur de SATP avec un SATP déclaré doit informer Transports Canada en spécifiant la marque et le modèle, en décrivant la nature du problème et les exigences techniques qui ne sont plus respectées, ainsi que toute mesure recommandée, le nom et les coordonnées des personnes responsables :

Courriel : RPASDeclaration-DeclarationSATP@tc.gc.ca

La nature des mesures recommandées variera en fonction du problème spécifique décelé. Transports Canada peut examiner et demander des clarifications concernant les mesures recommandées ou peut imposer des limitations.

9) Tenue de registres par l’entité déclarante. Afin de vérifier qu’un SATP en particulier satisfait aux exigences techniques et que les limitations communiquées à l’exploitant ont été correctement intégrées, l’entité déclarante doit effectuer les mises à l’essai, analyses et simulations nécessaires pour appuyer une déclaration. L’article 901.201 du RAC stipule les obligations de l’entité déclarante en matière de tenue de registres. L’entité déclarante est tenue de produire, sur demande du ministre, des registres à jour corroborant une déclaration. Les registres comprennent :

a) Les rapports contenant les résultats d’essais, d’analyses, d’évaluations et de vérifications entrepris pour démontrer la conformité aux exigences en matière d’assurance de la sécurité de la norme 922 du RAC auxquelles s’applique la déclaration.
b) Toutes les mesures obligatoires à l’égard du SATP.
c) Les résultats de toute enquête sur les difficultés de service que la personne a entreprise.
Le constructeur du SATP conserve ces dossiers pendant la plus longue des deux périodes suivantes : (1) deux ans après la date d’arrêt définitif de la fabrication du SATP concerné, ou (2) deux ans après la date à laquelle la personne a avisé le ministre que la déclaration n’était plus valable.

10) Rapport de difficultés en service. Bien que tous les détenteurs de déclarations soient encouragés à mettre en place un système de signalement des difficultés en service, la réglementation exige que les déclarations auxquelles sont associées des lettres d’acceptation (c’est-à-dire les déclarations validées au préalable) disposent d’un moyen par lequel les opérateurs peuvent soumettre des difficultés en service. Pour plus de détails sur le signalement des difficultés en service des SATP, voir la CI 901-001. Lorsqu’il reçoit un rapport de difficultés en service, le titulaire de la déclaration est tenu d’enquêter sur les difficultés en service afin de déterminer si le SATP continue à être conforme aux sections applicables de la norme 922 du RAC. Bien que le titulaire de la déclaration soit vivement encouragé à traiter toutes les difficultés en service, il n’est tenu d’élaborer des mesures obligatoires pour résoudre les difficultés en service que lorsque le SATP n’est plus conforme à la norme 922 du RAC. Les mesures obligatoires doivent être communiquées à tous les opérateurs de SATP susceptibles d’être touchés par des difficultés en service semblables.

11) Rapport annuel. Les détenteurs de déclarations validées au préalable sont tenus de fournir des rapports annuels à TCAC conformément à l’article 901.199 du RAC. Ce rapport annuel comprend le nombre de SATP en service et un résumé des rapports de difficultés en service qui ont pu être rencontrés au cours de l’année précédente. Se référer à la CI 901-001 – Processus de déclaration et de DVP d’assurance de la sécurité des SATP pour plus d’informations sur les exigences en matière de rapports annuels.

12) Directives supplémentaires. Les déclarants sont invités à consulter la circulaire d’information 901-001 pour plus de détails sur les processus de déclaration et de déclaration validée au préalable, ainsi que sur les autres responsabilités des détenteurs de déclaration.

10.0 Gestion de l’information

1) Sans objet

11.0 Historique du document

2) Sans objet

12.0 Bureau responsable

Pour obtenir de plus amples renseignements, veuillez communiquer avec :

Ingénierie, Groupe de travail SATP (AARV) de Transports Canada
4e étage, Place de Ville, Tour C
330, rue Sparks Ottawa (Ontario) K1A 0N8

Courriel : TC.RPASInfo-InfoSATP.TC@tc.gc.ca
Toute proposition de modification au présent document est bienvenue et devrait être envoyée à l’adresse de courriel
susmentionnée.

Document approuvé par

Jeremy Fountain
Directeur intérimaire, Groupe de travail sur les SATP

Annexe A – Normes consensuelles reconnues par l’industrie

Documents

ASTM F2908 Standard Specification for Unmanned Aircraft Flight Manual (UFM) for an Unmanned Aircraft System (UAS)
ASTM F2909 Standard Practice for Maintenance and Continued Airworthiness of Small Unmanned Aircraft Systems (sUAS)
ASTM F2911 Practice for Production Acceptance of a Small Unmanned Aircraft System (sUAS)
ASTM F3003 Specification for Quality Assurance of a Small Unmanned Aircraft System (sUAS)

Systèmes électriques

UL 3030 Standard for Unmanned Aircraft Systems
ASTM F2639 Standard Practice for Design, Alteration, and Certification of Aircraft Electrical Wiring Systems
ASTM F2490 Standard Guide for Aircraft Electrical Load and Power Source Capacity Analysis
SAE AS 4805-2007, Solid State Power Controller, General Standard For
SAE AS 50881F, Wiring Aerospace Vehicle

Équipement

ASTM F3322 - Parachutes
ASTM F3002 Standard Specification for Design of the Command and Control System for Small Unmanned Aircraft Systems (sUAS)
ASTM F3005 Standard Specification for Batteries for Use in Small Unmanned Aircraft Systems (UAS)
SAE AS 8033, Nickel Cadmium Vented Rechargeable Aircraft Batteries (Non-Sealed, Maintainable Type)
SAE J3042-2015, Measuring Properties of Li-Battery Electrolyte
SAE J3021-2014, Recommended Practice for Determining Material Properties of Li-Battery Cathode Active Materials
SAE ARP 5724, Aerospace - Testing of Electromechanical Actuators, General Guidelines For
TSO-C213-Unmanned Aircraft Systems Control and Non-Payload Communications Terrestrial Link System Radios

Évaluation des facteurs humains

ISO 9241-210
MIL-STD-46855A
Aeronautical design standard performance specification handling qualities requirements for military rotorcraft ADS-33E-PRF
Display Guidance: AC23.1311-1C

Logiciel

ASTM F3201 Standard Practice for Ensuring Dependability of Software Used in Unmanned Aircraft Systems (UAS)
ASTM F3269 Standard Practice for Methods to Safely Bound Flight Behavior of Unmanned Aircraft Systems Containing Complex Functions
RTCA DO-178C

Évaluation de la sécurité

FAA AC 23.1309-1E
JARUS AMC RPAS.1309, Safety Assessment of Remotely Piloted Aircraft Systems
SAE ARP 4761, Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment
SAE ARP 4754B – Guidelines for Development of Civil Aircraft and Systems
ASTM F3309 - Standard Practice for Simplified Safety Assessment of Systems and Equipment in Small Aircraft
ASTM F3230 – Standard Practice for Safety Assessment of Systems and Equipment in Small Aircraft
Aircraft F3389 Standard Test Method for Assessing the Safety of Small Unmanned Aircraft Impacts

Spécifications liées à la conception

ASTM F3298 Standard Practice for Design, Construction, and Verification of Fixed-Wing Unmanned Aircraft Systems (UAS)
EU CE Designations, Appendices 2-5
JARUS CS-LUAS, Recommendations for Certification Specification for Light Unmanned Aeroplane Systems
JARUS CS-LURS, Certification Specification for Light Unmanned Rotorcraft Systems
STANAG 4703 Light UAV System Airworthiness Requirement for NATO UAV Systems
TCCA SI 623-001 Issue 02 Appendix C
OACI Doc 10019 - Manuel sur les systèmes d’aéronef télépiloté (RPAS)

Remarque : L’observation des normes élaborées pour des plus gros systèmes ou des aéronefs traditionnels s’avère un moyen de conformité acceptable, mais cela n’est pas nécessaire pour l’utilisation de SpATP.

Annexe B – Méthodes d’évaluation de la sécurité des systèmes

1.0 Portée

1) L’annexe offre des conseils pour aider les fabricants à démontrer la conformité avec les sections de la norme 922 du RAC qui comprennent des exigences de performance liées à la probabilité qu’un événement se produise. Il s’agit notamment des normes du RAC suivantes :

a) 922.05,
b) 922.06,
c) 922.07,
d) 922.08,
e) 922.09,
f) 922.10.

2) Lorsque ces normes exigent qu’il soit démontré qu’un événement de défaillance répond à une certaine exigence de probabilité (c’est-à-dire extrêmement improbable, improbable, probable, etc.), il est attendu des demandeurs qu’ils suivent un processus d’évaluation de la sécurité du système pour démontrer que le SATP répond à l’exigence. Ces processus impliquent généralement un examen systématique de l’architecture du SATP afin de déterminer l’effet des défaillances prévisibles de chaque sous-système et de déterminer la criticité de tout danger créé par des défaillances prévisibles. Une fois que la criticité de chaque danger est déterminée, une probabilité requise peut être attribuée. La dernière étape du processus consiste à démontrer que les différents sous-systèmes du SATP satisfont ou dépassent les exigences en matière de probabilité de défaillance.

2.0 Méthodes acceptables

1) Une norme industrielle courante développée pour les produits aéronautiques est la norme ARP 4761 de la SAE, Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment. Le constructeur de SATP peut choisir d’utiliser d’autres méthodes et processus acceptables pour effectuer une évaluation de la sécurité d’un système, à condition qu’ils soient documentés de telle sorte qu’ils soient systématiquement suivis et que les artefacts et les preuves générés par ces processus puissent être vérifiés. Il est recommandé aux constructeurs de SATP de souscrire à des normes et pratiques rigoureuses adaptées au secteur de l’aviation dans la mesure du possible.

2) Les documents consultatifs publiés par TCAC et ceux d’autres autorités de l’aviation civile acceptés par TCAC peuvent être utilisés conjointement avec des méthodes acceptables pour la réalisation du processus d’évaluation de la sécurité du système. Il est donc possible d’utiliser les documents AMC RPAS.1309 de JARUS, AC 23.1309-1E, AC 25.1309-1A, AC 27-1B et AC 29-2C de la FAA pour compléter les recommandations de la présente CI.

3.0 Classification des conditions de défaillance (gravité)

1) TCAC approuve la même classification de criticité de défaillance et les objectifs de sécurité associés que ceux définis par les normes de navigabilité pour la certification de type, dans la CI 23.1309 de la FAA ou la version la plus récente. Les classifications de criticité et les objectifs de sécurité adaptés aux SATP sont décrits dans le tableau B-1 :

Tableau B-1 – Classification de criticité et objectif de sécurité
Classification de criticité	Définition appliquée aux SATP	Objectif de sécurité
Catastrophique	Conditions de défaillance qui pourraient entraîner un ou plusieurs décès.	Extrêmement improbable
Dangereuse	Conditions de défaillance qui réduiraient la capacité du SATP ou du pilote à faire face à des conditions d’utilisation défavorables à un point tel qu’il pourrait s’ensuivre une des situations suivantes : i) la perte de l’ATP dans le cadre duquel il est raisonnable de prévoir qu’aucun décès ne surviendra, mais que des personnes au sol pourraient subir des blessures graves ii) une forte réduction des marges de sécurité ou des capacités fonctionnelles iii) une charge de travail élevée, à un point tel qu’il n’est plus possible de compter sur le pilote pour que celui-ci accomplisse ou termine ses tâches avec précision	Très improbable
Majeure	Conditions de défaillance qui réduiraient la capacité du SATP ou du pilote à faire face à des conditions d’utilisation défavorables à un point tel qu’il pourrait s’ensuivre une forte réduction des marges de sécurité, des capacités fonctionnelles ou de la garantie de l’espacement. Il y a de faibles chances que les personnes au sol subissent des blessures graves. En outre, la condition de défaillance peut entraîner une augmentation importante de la charge de travail du pilote ou compromet l’efficacité du pilotage à distance.	Improbable
Mineure	Conditions de défaillance qui ne réduiraient pas la sécurité du SATP de manière importante et qui commandent des interventions de l’équipage dans la mesure de ses moyens. Les conditions de défaillance mineure peuvent comprendre une légère réduction des marges de sécurité ou des capacités fonctionnelles, une légère augmentation de la charge de travail de l’équipage, comme des changements de plan de vol.	Probable
Aucune incidence sur la sécurité	Conditions de défaillance qui n’auraient aucune incidence sur la sécurité. Par exemple, des conditions qui n’auraient aucune incidence sur la capacité opérationnelle du SATP ni n’augmenteraient la charge de travail du pilote.	Aucune exigence relative à la probabilité

4.0 Objectifs de sécurité

1) TCAC définit les objectifs de sécurité suivants, prescrivant des objectifs de probabilité quantitatifs proportionnés à l’énergie cinétique maximale attendue de l’ATP.

a) Les objectifs quantitatifs de sécurité pour chaque catégorie de danger et chaque niveau d’énergie cinétique de l’ATP sont indiqués dans le tableau 1 associé à la norme 922.07 du RAC.

Tableau B-2 – Objectifs de fiabilité des SATP
Classification	Objectif de fiabilité	P(x) – Probabilité de défaillance
Classification	Objectif de fiabilité	ÉC ATP < 700 J	ÉC ATP < 34 kJ	ÉC ATP < 1 084 kJ
Catastrophique	Extrêmement improbable	10^-4	10^-5	10^-6
Dangereuse	Très improbable	10^-3	10^-4	10^-5
Majeure	Improbable	10^-2	10^-3	10^-4
Mineure	Probable	10^-2	10^-2	10^-3
Aucune incidence sur la sécurité	Aucune exigence	Aucune exigence	Aucune exigence	Aucune exigence

b) Le déclarant est tenu de déterminer la quantité d’énergie cinétique que l’ATP peut atteindre afin de déterminer la colonne du tableau B-2 à utiliser. Cette détermination peut être basée sur les hypothèses les plus pessimistes, ou le déclarant peut choisir de prendre en compte des situations particulières auxquelles on peut raisonnablement s’attendre compte tenu de la défaillance analysée (par exemple, si une défaillance particulière ne peut se produire qu’à basse altitude et à faible vitesse). Les déclarants doivent documenter leurs hypothèses et leurs calculs et conserver ces preuves dans le cadre de leurs moyens de mise en conformité.
c) L’aviation traditionnelle a développé de nombreuses méthodes d’analyse des systèmes complexes et de détermination des probabilités quantitatives de défaillance. Les constructeurs de SATP sont encouragés à rechercher et à mettre en œuvre les méthodes existantes d’analyse des défaillances, telles que celles décrites dans la norme SAE ARP 4761 et la norme AC23.1309-1E de la FAA.
d) Dans de nombreux cas, des considérations et des hypothèses opérationnelles servent de base à l’analyse des défaillances. Il peut s’agir de procédures opérationnelles (par exemple, vérifier la disponibilité du système de sécurité avant chaque vol), d’actions de maintenance (par exemple, le système de parachute doit être inspecté et regonflé chaque année) ou de limitations opérationnelles (par exemple, pas de vol au-dessus d’assemblées de personnes, pas de vol dans les précipitations, etc.) Lorsque ces hypothèses sont utilisées pour contrôler l’exposition à une défaillance ou le danger causé par une défaillance, le demandeur doit s’assurer que ces limitations et procédures sont communiquées à l’opérateur, généralement par l’intermédiaire du manuel d’utilisation et des instructions d’entretien fournis avec le SATP (réf. article 901.200 du RAC).
Au fur et à mesure que la complexité des SATP augmente, il peut être difficile de déterminer le danger causé par les différentes conditions de défaillance. C’est pourquoi une méthode systématique d’analyse de chaque défaillance du système (telle que les méthodes mentionnées ci-dessus) est nécessaire pour s’assurer que les défaillances possibles et les dangers qui y sont associés ne sont pas oubliés. Les candidats doivent procéder à une évaluation complète de leur SATP afin de définir toutes les conditions de défaillance susceptibles d’entraîner divers risques. Une fois cette évaluation terminée, les défaillances à l’origine de chaque situation dangereuse (c’est-à-dire blessure grave, dérive, perte de capacité de DAE, etc.) peuvent être regroupées et les cotes de fiabilité générale peuvent être évaluées. GR

5.0 Processus de développement

1) Le système d’ingénierie utilisé pour le développement d’un SATP contribuera de manière significative au niveau de confiance que le SATP fonctionnera comme prévu. Le constructeur du SATP doit suivre un processus de développement approprié afin de garantir avec suffisamment de confiance que les exigences de conception sont correctement mises en œuvre par le biais d’activités de validation et de vérification successives. L’objectif est de limiter autant que possible les risques de développement d’erreur pouvant nuire aux performances du SATP et créer des risques pour les personnes au sol ou d’autres aéronefs.

2) Bien que la norme privilégiée développée pour les produits aéronautiques soit la norme ARP 4754 de la SAE, Guidelines for Development of Civil Aircraft and Systems, les constructeurs de systèmes SATP peuvent suivre d’autres processus inspirant une confiance équivalente. Le système d’ingénierie du constructeur de SATP doit être documenté de manière à ce que les procédures et les processus soient systématiquement respectés et que les artefacts et les preuves générés soient traçables et, donc, vérifiables.

3) Une évaluation de la sécurité du système doit être effectuée pour le SATP (y compris toutes les contributions provenant de l’ATP, du poste de contrôle, de la liaison de données, des services requis et de tout autre élément configurable nécessaire au fonctionnement du SATP). Cette évaluation devrait inclure une analyse des risques fonctionnels, une analyse de la criticité et des effets du mode de défaillance et une analyse de l’arbre des pannes.

4) En fonction de la section de la norme 922 du RAC applicable au CONOPS, certains risques devront être précisément évalués et démontrés pour atteindre les objectifs de fiabilité.

a) 922.07 Sécurité et fiabilité. Cette norme prévoit une évaluation complète de toutes les défaillances possibles du SATP et de la criticité des risques associés. En outre, cette norme impose d’autres considérations à certaines catégories de défaillances (les défaillances catastrophiques ne doivent pas résulter de défaillances uniques).
b) 922.08 Confinement. Cette norme exige que toute défaillance entraînant un risque de dérive (c’est-à-dire un fonctionnement en dehors du volume opérationnel) soit évaluée. Les autres défaillances qui ne conduisent pas directement à une dérive ne doivent pas faire l’objet d’une évaluation particulière. Toutefois, comme indiqué ci-dessus, si des hypothèses ou des limitations sont utilisées pour déterminer qu’une défaillance n’entraînera pas de dérive (par exemple, zone tampon pour les risques liés au sol, utilisation de la géoclôture, programmation du comportement en cas de perte de liaison), ces limitations et ces hypothèses doivent être communiquées à l’opérateur.
c) 922.09 Fiabilité de la liaison de commande et de contrôle et comportement en cas de perte de liaison. Cette norme exige que toute défaillance entraînant une perte de contrôle de l’ATP soit évaluée.
d) 922.10 Systèmes de détection, d’évitement et d’alerte. Cette norme exige que toute défaillance entraînant une perte de capacité de détection et d’évitement soit évaluée. Elle divise également les défaillances du système DAE en défaillances annoncées et non annoncées. On suppose qu’un opérateur alerté d’une défaillance du système DAE aura mis en place des procédures d’urgence pour permettre à l’ATP de quitter l’espace aérien en toute sécurité; le temps d’exposition aux défaillances annoncées du système DAE devrait être minime. Inversement, lorsqu’un opérateur n’est pas alerté d’une défaillance du système DAE ou qu’il reçoit des indications trompeuses de la part du système DAE, la sécurité de l’opération est gravement compromise. C’est pourquoi les concepteurs de systèmes DAE doivent mettre en place un contrôle des défaillances et des tests intégrés à leurs produits DAE afin de limiter au minimum la probabilité de défaillances non annoncées.

5) Un aspect essentiel du processus de développement sera la documentation du comportement du système et la vérification correspondante que le système final tel qu’il est construit répond au comportement du système documenté. Cette vérification se fera le plus souvent par l’intermédiaire d’essais, d’analyses et d’inspections.

6) Tout au long du processus de développement, des artefacts documentant le processus et les résultats des activités de vérification doivent être créés et conservés par le déclarant, car ils peuvent faire l’objet d’activités de surveillance conformément à l’article 901.201 du RAC. Les déclarants doivent être en mesure de produire un registre de toutes les activités de vérification utilisées pour étayer la déclaration.

Annexe C – Méthodes d’essai pour déterminer la gravité d’une blessure

1.0 Discussion

1.1 Intention des essais

1) Les essais visent à évaluer la sécurité des opérations du SATP lors d’opérations à proximité ou au-dessus de personnes, ainsi que la probabilité de blessures graves (voir la section 7.10 de la présente CI pour la définition de « blessure grave ») infligées à une personne au sol. Cet essai évalue le traumatisme d’une personne ayant subi un choc à la tête ou à la poitrine. En effectuant ces essais, le constructeur peut établir une corrélation entre l’accélération due à la gravité (g) du choc et l’énergie cinétique du SATP, et ainsi établir les limites opérationnelles qui correspondent aux seuils de gravité des blessures établis dans la présente CI. Le constructeur devrait comprendre la corrélation de l’essai avec l’échelle abrégée des traumatismes (EAT). Par ailleurs, cette ligne directrice permet de déterminer le risque de blessures lié aux conceptions de SATP existantes lors d’une collision avec une personne au sol, et d’inciter les constructeurs à modifier les SATP dans le but de réduire le risque de blessures.

2) Impacts secondaires. La présente procédure présume que la majorité de l’énergie sera transférée de l’ATP à la personne heurtée en premier. Par conséquent, elle ne mesure ni n’évalue la vitesse, l’accélération ou l’orientation de l’ATP après l’impact. Si le constructeur prévoit que la conception en question risque de présenter des dangers après l’impact initial, il est recommandé d’évaluer l’effet des impacts secondaires causés aux personnes en procédant de la même manière, comme stipulé dans la présente annexe.

1.2 Environnement opérationnel

1) Le constructeur devrait bien connaître l’environnement opérationnel réel dans lequel le système est conçu pour fonctionner. À titre d’exemple, si le constructeur prévoit un fonctionnement possible au-dessus de personnes malgré des rafales soufflant à 30 km/h, alors les conditions critiques définies devraient prendre en compte l’influence des rafales sur la vitesse limite de chute employée lors des essais.

1.3 Procédures d’essai normalisées – raisons pratiques

1) Les essais décrits dans la présente circulaire constituent des procédures normalisées considérées généralement comme le minimum nécessaire pour élaborer le domaine de vol d’un SATP visant à assurer une utilisation sécuritaire du système dans un environnement de fonctionnement d’opération avancée. Les procédures normalisées visent à obtenir des résultats constants entre les différentes installations d’essai. Ces dernières peuvent être de types variables. En général, le concepteur ou constructeur de l’article soumis à l’essai n’est pas en contrôle direct de l’installation. Afin de favoriser l’uniformisation au sein de l’industrie, la présente circulaire décrit les nombreuses procédures et évaluations déjà acceptées (ou en voie de l’être) dans le cadre des normes de l’industrie.

1.4 Attestation

1) Ces méthodes reposent sur les recherches effectuées par le Center for Excellence for Unmanned Aerial Systems (UAS) de la FAA, avec le soutien de l’Alliance for System Safety of UAS Through Research Excellence (ASSURE). Elles s’appuient sur les recherches et les essais approfondis menés par l’industrie automobile dans le but de soutenir l’élaboration de normes et d’essais quantitatifs visant à assurer la sécurité des passagers des véhicules automobiles, et les données d’essais menés avec les SATP recueillies par ASSURE. La présente annexe présente les écarts d’interprétation qui seront corrigés éventuellement au fil de nouvelles expériences menées avec des scénarios réels ou de nouveaux essais.

2.0 Références

1) ASTM F3322 – Parachutes

2) Assessment of Head Injury Criteria Potential During Aircraft Longitudinal Impact. The Eight Triennial Aviation Fire and Research Conference Richard Deweese FAA Civil Aerospace Medical Institute, 27 octobre 2016

3) DOT/FAA/AM-17/9 Office of Aerospace Medicine Washington, DC 20591 Assessment of Head and Neck Injury Potential During Aircraft Longitudinal Impacts Civil Aerospace Medical Institute Federal Aviation Administration February 2017 Richard L. DeWeese, David M. Moorcroft, M.M.G.M. Philippens

4) Development of Improved Injury Criteria for the Assessment of Advanced Automotive Restraint Systems – II, novembre 1999

5) Programme européen d’évaluation des nouveaux modelés de voitures (Euro NCAP). Pedestrian Testing Protocol, version 8.4, novembre 2017

6) UAS Center of Excellence de la FAA Task A4: UAS Ground Collision Severity Evaluation Revision 2 Mr. David Arterburn, Principal Investigator – arterbd@uah.edu Director, Rotorcraft Systems Engineering and Simulation Center The University of Alabama in Huntsville, Dr. Mark Ewing – mewing@ku.edu Associate Professor and Director of the Flight Research Laboratory The University of Kansas, 28 avril 2017

7) CI 25.562-1B de la FAA – Dynamic Evaluation of Seat Restraint Systems and Occupant Protection on Transport Airplanes / with Change 1, 10 janvier 2016

8) Federal Motor Vehicle Safety Standards 208 (FMVSS 208)

9) Final Report of Workshop on Criteria for Head Injury and Helmet Standards Scientific Editors: Harold Fenner, Jr., Daniel J. Thomas, Thomas Gennarelli, Frank A. Pintar, Edward B. Becker, James A. Newman, Narayan Yoganandan, Department of Neurosurgery, Medical College of Wisconsin, 16 décembre 2005

10) Moderate Overlap Frontal Crashworthiness Evaluation Guidelines for Rating Injury Measures, septembre 2014

11) National Highway Traffic Safety Administration Test Procedure TP208-14 Appendix A (Part 572E (50th Male) Dummy Performance Calibration Test Procedure

12) Prasad P, Mertz HJ. The position of the United States Delegation to the ISO Working Group 6 on the use of HIC in the automotive environment. Warrendale, PA. Report No.: SAE 851246,1985.

viii. SAE J1727 Issued 1996-08 Revised 2015-02 Calculation Guidelines for Impact Testing
ix. SAE International. Sign Convention for Vehicle Crash Testing. Warrendale, PA: SAE International; Dec. 1994; SAE Surface Vehicle Information Report No: J1733.
x. SAE International. Instrumentation for Impact Test – Part 1- Electronic Instrumentation. Warrendale, PA: SAE International; 2014; Surface Vehicle Recommended Practice No: J211/1.
xi. SAE International. Instrumentation for Impact Test – Part 2- Photographic Instrumentation. Warrendale, PA: SAE International; 2014; SAE Surface Vehicle Recommended Practice No: J211/2.
xii. SAE J2570: Performance Specifications for Anthropomorphic Test Device Transducers
xiii. The Abbreviated Injury Scale 2005 - Update 2008, Barrington, Illinois, Association for the Advancement of Automotive Medicine, 2008.
xiv. Transports Canada, Groupe de travail sur la conception du programme de systèmes de véhicules aériens non habités (UAV) Rapport final de la phase 1, mars 2012

13) Nations Unies, Règlement technique mondial (RTM) n° 9, Sécurité des piétons, 12 novembre 2008.

14) UN Regulation n°94 (R94), Uniform provisions concerning the approval of vehicles with regard to the protection of the occupants in the event of a frontal collision, 20 août 2013.

15) Titre 14 du CFR des États-Unis, partie 25.562. Airworthiness Standards: Transport Category Airplanes, Emergency Landing Conditions. Washington, DC : US Government Printing Office, 1988.

16) Titre 14 du CFR des États-Unis, partie 23.562. Airworthiness Standards: Transport Category Airplanes, Emergency Landing Conditions. Washington, DC : US Government Printing Office, 1988.

17) Titre 49 du CFR des États-Unis, partie 571.208. Occupant Crash Protection. Washington, DC : US Government Printing Office, 2011.

3.0 Procédures d’essai normalisées – lien avec la conception

1) Comme mentionné ci-dessus, les essais sont normalisés par nécessité et ils sont présentés ci-dessous.

a) Tiers. Les essais dynamiques sont réalisés à l’aide d’un dispositif anthropomorphe d’essai (DAE), Hybrid III, qui correspond au 50e percentile adulte du sexe masculin.
Poids du tiers. Un DAE qui correspond au 50e percentile assure une évaluation par rapport au plus large éventail des tiers.
b) Conditions des essais. La présente circulaire décrit six (6) types de base de procédures d’essai dynamique (voir les figures de C-1 à C-6) : un essai dans le cadre duquel la principale trajectoire de l’impact est verticale; trois essais pour lesquels la trajectoire d’impact est horizontale; et deux essais employant la trajectoire de la pire des situations définie lors d’essais en vol visant à démontrer différentes conditions de défaillance. Ces procédures concernent les essais requis pour faire la démonstration d’un domaine de vol sécuritaire dans le cadre d’opérations au-dessus de personnes. D’autres essais pourraient s’avérer nécessaires pour démontrer la sécurité des opérations liées à ces variations si elles ne peuvent être abordées adéquatement dans le cadre d’une analyse.
c) Vitesses. La vitesse du SATP avant l’impact peut varier selon l’essai et le type de SATP utilisé. Deux vitesses ont été retenues.
- Vitesse critique : Vitesse à laquelle l’aéronef peut atteindre le maximum de son énergie cinétique, en tenant compte du vol propulsé et des conditions de défaillance. La vitesse critique pour les aéronefs à voilure fixe est la vitesse de croisière maximale. La vitesse critique pour les aéronefs à voilure tournante est la vitesse du giravion à la vitesse terminale.
- Vitesse opérationnelle : Vitesse maximale à laquelle l’aéronef peut fonctionner normalement (en tenant compte de l’utilisation et des limites prévues dans le manuel d’exploitation).
Note d’information : Plusieurs autres aspects de la procédure d’essai normalisée pourraient devoir être pris en compte au moment de déterminer le programme d’essais requis pour démontrer l’assurance de la sécurité d’un domaine de vol ou interpréter les résultats des essais. L’ampleur du programme d’essais dépendra de la détermination de la situation la plus critique et de son applicabilité aux autres configurations. La section 5.0 aborde plus en détail cet aspect des essais.

4.0 Développement du scénario d’impact probable

1) Le constructeur peut déterminer les orientations les plus probables dans le cadre duquel le SATP heurte une personne à la tête en se fiant au jugement technique, à l’essai en vol, aux systèmes de parachute ou de descente installés, à la simulation ou en comprenant les caractéristiques de fonctionnement du SATP. Pour chaque orientation d’impact probable, le constructeur doit procéder à une série d’essais de chute afin de déterminer la pire situation, c’est-à-dire celle qui produit la blessure la plus grave, parmi ces orientations probables. Les essais de chute doivent comporter au moins trois chutes dans chaque orientation en fonction des hauteurs de largage précisées ci-dessous.

5.0 Conditions des essais

5.1 Généralités

1) Les essais constituent toujours un compromis entre les SATP qui font l’objet d’une surveillance et l’incidence d’une surveillance supplémentaire, c’est pourquoi les essais doivent être structurés et étalonnés pour obtenir les résultats les plus précis et exacts possibles pour les paramètres évalués. Les essais visent à évaluer la direction de l’impact critique et le degré de gravité des blessures subies, afin d’appuyer l’analyse des blessures requise par la norme 922 du RAC. Le constructeur devrait bien comprendre les caractéristiques de fonctionnement de son SATP avant de lancer le processus énoncé dans le présent document d’orientation. Il est présumé que ce dernier pourra justifier des cas les plus probables de l’impact critique, les hauteurs et vitesses types et maximales de fonctionnement, et la vitesse terminale de son SATP, ainsi que la fonction d’altitude afin de comparer les résultats de l’analyse de l’impact avec le concept de fonctionnement du système proposé. Par conséquent, le constructeur devrait bien comprendre les modes de défaillance (p. ex. panne de moteur), et le domaine de vol doit prendre en compte différentes conditions environnementales, comme les rafales, dans le but de définir les conditions critiques.

5.2 Détermination de l’orientation de l’impact critique

1) Le constructeur doit déterminer l’orientation de l’impact critique qui entraînerait une collision entre le SATP et le corps d’une personne et qui produirait la blessure la plus grave. Pour ce faire, il peut avoir recours à des essais en vol ou à d’autres méthodes (voir la section 4.0 de la présente annexe); il doit également procéder à des essais ou à une simulation des modes de défaillance du SATP pour déterminer l’incidence dans le cadre de situations critiques.

2) Simulation. En ayant recours à la simulation, le constructeur peut déterminer qu’aucun essai en vol n’est requis; cependant, il doit fournir le raisonnement technique montrant les écarts entre les modèles (méthode de validation des modèles), et il doit montrer que l’écart produit une différence minimale en position de vol par rapport aux données d’essai de fonctionnement. Il est recommandé d’employer l’analyse dynamique computationnelle des fluides lorsque le constructeur a démontré qu’il est en mesure de reproduire le comportement du SATP. La corrélation entre le modèle de la mécanique des fluides numérique et la conception du SATP peut être extrapolée à une configuration de SATP similaire afin de soutenir d’autres analyses.

3) Il est nécessaire d’effectuer au moins six (6) essais à la vitesse de vol maximale avec différentes conditions de défaillance.

4) Si le système est muni d’un parachute ou d’un système de descente, le constructeur doit bien comprendre les caractéristiques de fonctionnement de l’ATP, et il doit procéder à des essais en vol pour déterminer s’il observe des répercussions aux situations critiques définies au préalable (le cas échéant). Concernant les SATP munis d’un parachute (ou de tout autre système de descente) atténuant le vol non contrôlé, les hauteurs de chute doivent être choisies de sorte que la vitesse d’impact soit au moins égale à la vitesse de descente maximale avec le parachute (ou tout autre système de descente) déployé (l’essai ayant pour objectif d’évaluer si le système de descente atténue le choc, tel que mesuré par le critère concernant les blessures au tableau C-1).

5) Les véhicules d’essai doivent être dotés d’instruments permettant de définir l’accélération et la vitesse à l’impact.

6) Le constructeur doit consigner les résultats suivants lors des essais :

a) la configuration du SATP;
b) l’orientation de l’impact du SATP;
c) la vitesse du SATP à l’impact, la magnitude maximale de la vitesse résultante maximale;
d) toute observation pertinente relative à l’impact;
e) tout dommage causé au SpATP ou au DAE, avec photographies à l’appui conservées dans les dossiers;
f) les accélérations maximales pour chaque orientation du choc.

Les concepteurs ou constructeurs doivent produire un rapport d’essai comportant les renseignements susmentionnés et les conclusions générales à l’issue des essais. Plus précisément, ils doivent déterminer l’orientation de l’impact critique comme étant celle qui a entraîné la plus forte accélération maximale mesurée après trois chutes.

Note d’information : Cette orientation de l’impact critique établie n’est valide que pour la configuration mise à l’essai par le constructeur.

7) Si un modificateur n’a pas accès à cette orientation du choc critique établie par le constructeur, il doit réaliser une analyse des modes de défaillance et suivre les procédures décrites à la section portant sur l’orientation de l’impact critique (voir la section 7.0 pour l’information sur les modifications).

a) S’il souhaite avoir recours à la simulation en guise de méthode de conformité à cette procédure, ou à l’exigence générale visant la prévention des blessures, il est recommandé au constructeur de discuter de la méthode proposée avec TCAC. Ainsi, TCAC pourra prendre de l’expérience avec la méthode employée et contribuer à faire connaître et adopter les normes de l’industrie les plus récentes en matière de sécurité. Il faut aussi veiller à établir la corrélation afin de valider la simulation avec les données d’essai en vol.

5.3 Impact sur un DAE

1) Les méthodes d’essais dynamiques présentées ci-dessous peuvent être corrélées à d’autres normes, comme FMVSS 208, pour déterminer la probabilité correspondante d’une blessure. Au moins six (6) essais dynamiques doivent être menés pour définir les limites opérationnelles de l’utilisation d’un SATP à proximité ou au-dessus de personnes.

Note d’information : Le SATP illustré dans les diagrammes suivants est un giravion multirotor, mais il sert à représenter tous les types de SATP, que ce soit un aéronef à voilure fixe, un giravion, un aéronef hybride ou un aérostat.

2) Essai 1 – Chute verticale. L’essai de chute verticale consiste à laisser chuter l’ATP sur la tête du DAE mâle à la vitesse critique, et avec une orientation de vol normale. Au moins deux (2) chutes sont requises dans cette orientation afin de réduire toute variabilité possible.

Figure C-1 – Configuration de l’essai de chute verticale

3) Essai 2 – Essai de choc frontal à la tête. L’essai de choc frontal à la tête vise à heurter le front du DAE mâle avec l’ATP à la vitesse opérationnelle, et selon une orientation de vol normale. Au moins deux (2) essais sont requis dans cette orientation afin de réduire toute variabilité possible.

Figure C-2 – Configuration de l’essai de choc frontal à la tête

4) Essai 3 – Direction d’un choc critique à la tête. L’essai de direction d’un choc critique à la tête vise à heurter la tête du DAE dans l’orientation critique à la vitesse critique. Au moins deux (2) essais sont requis dans cette orientation.

Figure C-3 – Configuration de l’essai de direction du choc critique à la tête

5) Essai 4 – Choc latéral à la tête. L’essai de choc latéral à la tête vise à heurter de côté la tête du DAE mâle à la vitesse opérationnelle, et selon une orientation de vol normale. Au moins deux (2) essais sont requis dans cette orientation afin de réduire toute variabilité possible.

Figure C-4 – Configuration de l’essai d’un choc latéral à la tête

Note d’information : Il peut être possible d’évaluer le critère de blessure à la tête (HIC) en utilisant des tests alternatifs. Il est recommandé que si d’autres méthodologies sont utilisées, le fabricant se coordonne avec TCAC pour soutenir un processus de développement collaboratif.

6.0 Articles mis à l’essai

1) Généralités. Dans tous les cas, l’article mis à l’essai (c.-à-d., le SATP) doit être représentatif du produit final et il doit comprendre un cadre structurel, des moteurs, des hélices, des composants électroniques, des batteries et une charge utile. Il doit aussi comprendre des servomoteurs en état de fonctionner, le cas échéant. Le SATP n’a pas nécessairement besoin d’être sous tension. La configuration de chaque SATP utilisé pour chaque essai d’impact doit être documentée, et cette configuration doit être conforme aux spécifications de production du SATP qui sera visé par la déclaration. Les modifications particulières apportées au SATP avant la réalisation des essais doivent être clairement documentées, ainsi que leurs répercussions possibles sur les résultats des essais. Si le SATP a plusieurs configurations (c’est-à-dire différentes batteries, accessoires, équipement, charge utile) qui doivent être testées, le déclarant doit soit tester chaque configuration, soit documenter les raisons pour lesquelles une certaine configuration représente le scénario le plus défavorable, puis tester cette configuration.

2) Appareils. La charge utile peut être remplacée par une charge fictive reproduisant la forme, la rigidité et la masse à l’identique.

3) Élément lourd. Toute partie du SATP qui peut se détacher pendant un impact (p. ex., appareils photographiques amovibles, batteries) et qui peut se transformer en projectile lancé avec une force suffisante pour causer une blessure grave (voir la section 6.5) à une personne. Le détachement de ces éléments justifie la reprise de l’essai après amélioration des moyens de fixation de l’élément en changeant la conception ou la mise en œuvre. Le détachement d’un élément lourd ne doit pas présenter de bords tranchants pouvant causer des blessures. Une fois le maintien d’un élément démontré, les essais subséquents peuvent être effectués avec l’article bien maintenu en place par des moyens autres que ceux de la configuration de fonctionnement normale pour les besoins de l’essai (le cas échéant).

a) Batteries. Les batteries qui présentent un risque d’incendie lors d’un impact doivent être déchargées le plus possible afin d’atténuer ce risque. Les batteries doivent être soumises aux essais séparément pour démontrer l’absence de risque d’incendie lors d’un impact (de nombreux constructeurs de batteries effectuent ces essais dans le cadre de leur processus de développement). Le constructeur doit conserver un rapport sur l’essai de choc de la batterie, avec preuve photographique ou vidéo à l’appui, afin de démontrer que la batterie ne prend pas feu au moment de l’impact.
b) Articles usagés. Les unités d’essai ne doivent pas être utilisées pour plus d’un essai sauf si l’article testé s’avère être mécaniquement équivalent à la configuration d’origine. Dans ce cas, il faut rédiger un rapport mentionnant la méthode utilisée pour déterminer l’équivalence. Par exemple, une inspection visuelle du matériau composite peut déterminer que les matériaux ayant subi l’impact sont équivalents mécaniquement à la configuration d’origine, par contre aucune microfissure ne peut être visible.
c) Composants critiques. Les modifications apportées à la conception peuvent avoir une incidence sur d’autres paramètres de rendement, comme le HIC. Le texte ci-après résume les éléments critiques par rapport aux critères d’évaluation.

4) Le cadre forme la disposition de base sur laquelle est bâti le reste de la structure. Il soutient les moteurs et divers autres dispositifs pour assurer leur stabilité pendant le vol et maintenir l’aéronef à niveau. Plusieurs types de cadre définissent l’ATP multirotor ou à voilure fixe. Une modification du matériau peut changer les caractéristiques d’un impact de l’ATP. Par conséquent, il faudra peut-être réévaluer le HIC.

7.0 Installation et préparation des essais

1) Généralités. L’installation dicte la manière dont les charges d’impact heurteront le DAE et comment réagira le mannequin. Il faudra tout mettre en œuvre pour que l’impact et les réactions du DAE soient les plus réalistes possible. Pour ce faire, le DAE doit être assis dans une position fixe pour produire des résultats stables et doit permettre de contrôler toute variabilité. La chaise doit être suffisamment rigide pour éviter tout type de déformation qui risquerait de fausser les résultats de l’essai (figure C-5).

Figure C-5 – Installation de la chaise du DAE pour les essais

Le DAE doit être assis bien droit. Un dispositif de retenue pourrait être nécessaire selon les installations d’essai et la configuration du DAE. De plus, il faut porter une attention particulière à la position du DAE contre le dossier de la chaise ainsi qu’à la position de ses bras et de ses jambes. La démonstration de conformité au HIC doit porter sur les situations critiques (tel qu’indiqué ci-dessus). Le domaine de vol sera défini à partir de ces cas. L’évaluation démontrant une valeur égale ou inférieure à 700 du HIC doit provenir d’un choc franc à la tête du DAE et non d’une frappe en oblique. Les essais dynamiques sont réalisés à l’aide d’un DAE (ou tout équivalent) qui correspond au 50e percentile adulte de sexe masculin.

La conformité au HIC dépend des détails de conception du SATP et du montage en vue de l’essai. La préparation des essais concerne la position et le maintien en place du DAE, du SATP et des instruments d’évaluation. La préparation dépend de la situation critique particulière mise à l’essai. Les préparations relatives au fonctionnement normal d’une installation d’essai, comme les dispositions en matière de sécurité ainsi que les procédures réelles pour réaliser les essais, sont propres à chaque installation d’essai et ne sont pas abordées dans la présente CI.

7.1 Installations d’essai

1) Généralités. Les divers scénarios d’essais dynamiques mentionnés à la section 5.0 peuvent être réalisés dans un certain nombre d’installations d’essai. Les dispositifs suivants sont acceptables pour procéder aux essais, mais tout autre dispositif, installation ou mécanisme d’essai peut être utilisé pourvu qu’il offre les mêmes capacités concernant la mesure des chocs et la reproductibilité des essais.

2) Catapultage du SATP. Avec la catapulte, le SATP est lancé vers le DAE comme un projectile. Cette installation peut comporter des difficultés quant à l’obtention de la vitesse de lancement appropriée et de l’orientation en raison de l’influence des surfaces aérodynamiques du SATP. Dans cette situation, il est possible d’obtenir les angles d’impact requis en modifiant l’emplacement et l’angle de la chaise par rapport à la catapulte, ou en modifiant l’emplacement et la position de la catapulte afin de mettre à l’essai différents angles d’impact.

La couverture photométrique du SATP à la sortie de la catapulte peut servir à définir l’orientation du SATP. En outre, la vitesse de sortie peut être mesurée pour s’assurer d’atteindre la vitesse maximale et la force d’impulsion à la vitesse requise pour l’essai en particulier.

L’utilisation de caméras latérales pourrait assurer la couverture photographique lors de l’essai. Ces caméras devront être installées de chaque côté et au-dessus du DAE pour fournir la meilleure indication de l’orientation du SATP lors de l’impact. Elles permettront de déterminer si la pire des situations (tel que défini ci-dessus) s’est produite.

3) Banc d’essai à chariot. Il convient de suivre les recommandations formulées dans l’AC 25.562 de la FAA pour ce type d’installation d’essai.

4) Tour de chute. Les tours de chute constituent les installations les plus simples à construire et à utiliser. Elles sont donc souvent utilisées pour ces types d’essais. Avec cette installation, on se sert de la traction de la gravité terrestre pour accélérer la vitesse d’impact de l’ATP, ce qui élimine la nécessité de recourir à un système mécanique complexe d’accélération. Il est possible de modifier l’angle de la chaise pour atteindre les géométries requises selon le scénario d’essai. Des précautions particulières seront prises pour s’assurer que les variations de l’orientation de la position assise n’empêchent pas le DAE d’être maintenu dans la position adéquate pour l’essai.

Des caméras de vue latérale devraient être installées de chaque côté et au-dessus du DAE pour fournir la meilleure indication de l’orientation du SATP lors de l’impact. Elles permettront de déterminer si la pire des situations (tel que défini ci-dessus) s’est produite.

7.2 Dispositif anthropomorphe d’essai

1) Généralités. L’utilisation du mannequin d’essai Hybride III du 50e percentile adulte du sexe masculin spécifié dans la sous-partie E du titre 49 du CFR, partie 572, est obligatoire, à moins que TCAC soit d’accord avec un autre type de DAE.

2) Étalonnage. Les cellules de charge du DAE doivent être étalonnées au besoin, ou au moins une fois par année, selon la première de ces éventualités. Les accéléromètres du DAE doivent être étalonnés au besoin, ou au moins une fois tous les six mois, selon la première de ces éventualités. La nécessité est déterminée par un étalonnage à excitation en dérivation effectué avant et après l’essai. Si l’équilibre demeure inchangé après l’essai, et si l’étalonnage complet à excitation en dérivation produit la même valeur que celle obtenue avant l’essai, alors les caractéristiques du transducteur se situent dans les tolérances d’étalonnage. Si les charges deviennent suspectes, il convient de vérifier la linéarité de la cellule de charge au moyen d’une machine d’essai universelle de compression. La procédure exacte visant l’étalonnage est présentée dans le document intitulé Test Procedure TP208-14 Appendix A (Part 572E (50th Male) Dummy Performance Calibration Test Procedure de la National Highway Traffic Safety Administration (NHTSA).

3) Maintenance. Les mannequins anthropomorphes utilisés pour les essais doivent faire l’objet d’un entretien pour offrir un rendement conforme aux exigences décrites dans leurs spécifications. Les DAE doivent être régulièrement démontés et inspectés afin de relever toute trace d’usure ou de dommage et de réparer les pièces dégradées. Ils doivent être soumis également à des essais d’étalonnage (selon leurs spécifications) si des pièces majeures sont remplacées.

4) Installation. Le DAE doit être installé et attaché sur la chaise d’essai de manière à pouvoir répéter les essais et à garantir un transfert d’énergie maximal entre le SATP et le DAE, représentant le pire cas de choc avec le mannequin. Par conséquent, il est recommandé de suivre les procédures de montage du DAE suivantes :

a) Le DAE devrait être placé au centre de la chaise dans la position la plus symétrique possible. Il doit être installé dans la chaise de manière uniforme afin d’obtenir des résultats d’essai reproductibles.
b) Le dos du DAE devrait être appuyé au dossier de la chaise sans laisser d’espace libre. Pour ce faire, il suffit de lever les jambes du DAE en l’asseyant sur le socle immobile. Puis, le DAE est appuyé au dossier alors qu’il est abaissé de quelques centimètres pour atteindre le baquet de siège. Lorsque tous les appareils de levage ont été retirés du DAE, le mannequin peut être secoué légèrement pour terminer son installation sur la chaise.
c) Les genoux du DAE devraient être espacés d’environ 10 cm (4 po).
d) Les mains du DAE devraient reposer sur ses cuisses, tout juste au-dessus des genoux.

7.3 Instruments

1) Généralités. Il est nécessaire d’utiliser des instruments électroniques et photographiques pour enregistrer les données pour la qualification des SATP. Les instruments électroniques devraient mesurer l’environnement d’essai, mesurer et enregistrer les données requises aux fins de comparaison du rendement à la lumière des critères de réussite et d’échec établis. Le matériel photographique devrait servir à documenter les résultats généraux des essais.

2) Instruments électroniques. Ces instruments doivent être conformes à la pratique recommandée J211 de la SAE, Instrumentation for Impact Tests, utilisée de concert avec le document J1733, Sign Convention for Vehicle Crash Testing, également publié par la SAE. Selon cette pratique, un canal de transmission de données comprend tous les instruments, du transducteur aux instruments de mesure des données finales, y compris les câbles de raccordement et toute procédure analytique qui peut modifier la magnitude ou la fréquence des données. Chaque canal de données dynamiques est attribué à une classe de canal nominal équivalent à la limite de haute fréquence du canal selon un rapport constant d’entrée et de sortie par rapport à la réponse en fréquence, qui commence à 0,1 Hz (+1/2 à -1/2 décibel [dB]) et peut aller jusqu’à la limite de haute fréquence (+1/2 à -1 dB). Les caractéristiques de réponse en fréquence qui excèdent cette limite de haute fréquence sont également précisées. Au moment de numériser les données, le taux d’échantillon devrait être d’au moins cinq fois la fréquence de coupure de 3 dB des filtres analogiques pré-échantillons. Comme la plupart des installations règlent tous les filtres analogiques pré-échantillons sur le canal de fréquence de classe (CFC) 1000, et comme la fréquence de coupure de 3 dB pour ce canal est de 1 650 Hz, le taux d’échantillon numérique minimal serait d’environ 8 000 échantillons par seconde. Concernant les essais dynamiques abordés dans le cadre de la présente annexe, les canaux de données dynamiques doivent être conformes aux caractéristiques suivantes visant la classe :

a) l’accélération du véhicule lancé par catapulte ou de la tour de chute est mesurée conformément aux exigences du canal de la classe 60;
b) les accélérations à la tête du DAE utilisées pour calculer le HIC sont mesurées conformément aux exigences du canal de la classe 1000;
c) la plage d’étalonnage complète pour chaque canal offre une plage dynamique suffisante convenant aux données mesurées;
d) la conversion numérique des données analogiques fournit un modèle de résolution d’au moins 1 % de la gamme d’entrée.
Remarque : Le paragraphe 5 de la norme J 211 de la SAE, concernant la sélection du canal de données, indique « que le choix de la classe de réponse en fréquence dépend de nombreuses considérations, dont certaines peuvent être propres à un test particulier ». En outre, la norme J211 de la SAE indique que les recommandations de classe de canal pour une application particulière ne doivent pas être considérées comme impliquant que toutes les fréquences transmises par ce canal sont significatives pour l’application. En conséquence, TCAC sollicite des commentaires sur un CFC approprié pour évaluer les données.

3) Matériel photographique. Le matériel photographique sert à enregistrer les réactions des DAE et des articles mis à l’essai dans l’environnement d’essai dynamique. Il conviendrait d’utiliser à la fois des caméras vidéo à grande vitesse et des appareils d’imagerie statique. Les recommandations suivantes quant au choix, à l’installation et à l’étalonnage du matériel photographique devraient être adoptées comme pratiques exemplaires :

a) les instruments photographiques devraient être choisis conformément à la partie 2 de la pratique recommandée J211 de la SAE;
b) il ne faudrait pas utiliser des méthodes de photoélectrographie pour mesurer l’accélération;
c) les caméras à grande vitesse qui fournissent les données utilisées pour calculer le déplacement ou la vitesse devraient opérer à une vitesse nominale minimale de 1 000 images par seconde;
d) des caméras opérant à une vitesse nominale de 1 000 images par seconde ou plus peuvent être utilisées pour documenter les réactions des DAE et des articles mis à l’essai lorsque les mesures ne sont pas exigées;
e) l’emplacement de la caméra et des cibles ou des points de mesure cibles dans le champ de vision devrait être mesuré et documenté;
f) la proportion des cibles doit être d’au moins 1 % par rapport à la largeur du champ couvert par la caméra, et les cibles devraient être de couleurs contrastantes avec l’arrière-plan;
g) le centre de la cible devrait être bien en évidence;
h) la description des échelles d’étalonnage photographique devrait figurer dans le champ de vision de la caméra;
i) il conviendrait de consigner ce qui suit pour chaque essai :
- la distance focale de la lentille de la caméra;
- la marque de la caméra et de la lentille;
- le modèle de la caméra et de la lentille;
- les numéros de série de la caméra et de la lentille;
j) une horloge numérique devrait permettre d’indiquer l’heure et la date sur le support d’images;
k) la rectilinéarité de l’image est documentée, conformément à la partie 2 de la pratique recommandée J211 de la SAE;
si l’image n’est pas rectilinéaire, comme en fait foi une erreur globale excédant 1 %, des facteurs de correction appropriés devraient être appliqués lors du processus d’analyse des données;
l) des appareils photographiques devraient servir à documenter l’installation avant l’essai et la réaction des DAE et des articles évalués après l’essai. Il conviendrait de prendre au moins quatre photographies de différentes positions autour des articles mis à l’essai, pour documenter les conditions avant et après l’essai.
m) Il convient de fournir la description du signal ou des signaux de temporisation, des décalages temporels entre les signaux et les images, et des moyens employés pour établir une corrélation entre le moment de l’image et le moment des données électroniques.
n) L’analyse des données devrait se faire selon une procédure analytique rigoureuse et vérifiée. La précision de la procédure est jugée adéquate si la différence entre la distance mesurée et dérivée séparant la paire de cibles de validation, telle que définie dans la partie 2 de la pratique recommandée J211 de la SAE, n’excède pas 1 cm (0,4 po).

4) Installation. Une pratique professionnelle devrait être suivie lors de l’installation des instruments. Concernant les instruments utilisés avec les installations d’essai, il convient de suivre la pratique recommandée J211 de la SAE.

8.0 Dangers

1) Cette méthode d’essai implique des impacts avec une forte énergie cinétique et des pièces (mentionnées précédemment) du SATP peuvent se détacher et causer des blessures aux participants pendant l’essai si les risques ne sont pas bien cernés et atténués. Les appareils d’essai devraient être réglés pour contrôler l’impact avec le SATP de sorte que celui-ci demeure à l’intérieur de l’appareil d’essai pendant l’impact. Ces appareils doivent être conçus pour empêcher les débris de voler et donc de représenter un danger. Les participants devraient porter l’équipement de protection individuelle (EPI) approprié ou demeurer à l’abri pendant l’essai. Lors des essais impliquant un SATP muni d’un groupe motopropulseur ou de batteries au lithium, il conviendrait de garder à proximité du matériel d’extinction d’incendie approprié pour chaque application. Les participants devraient être conscients des dangers associés aux batteries au lithium et disposer d’extincteurs appropriés pour éteindre les feux causés par le lithium. Si une batterie prend feu, il faudrait indiquer que des modifications à la conception de la batterie pourraient être requises (selon l’analyse de la défaillance). Il faut alors mener des contre-essais avec la batterie au même niveau d’impact jusqu’à ce qu’il n’y ait plus de danger d’incendie.

9.0 Différence entre un échec à un essai et un contre-essai.

1) Diverses défaillances peuvent entraîner l’échec d’un test. Les échecs peuvent aller de l’absence d’orientation adéquate. Toutes les défaillances devraient être abordées et entraîner la prise de mesures correctives. Cependant, la nécessité de répéter les essais à la suite de l’application d’une mesure corrective relève du même processus décisionnel que celui utilisé pour déterminer au départ quels essais doivent être menés.

2) Si un essai excède les conditions minimales d’essai et se conclut par un échec, il convient d’évaluer les conditions d’essai, d’établir et de présenter un motif raisonnable pour effectuer un contre-essai sans modifier la conception.

10.0 Rapport d’essai

1) Généralités. En vertu des exigences en matière de tenue de registres, les résultats des vérifications associées aux exigences techniques de la norme 922 du RAC doivent être conservés par le constructeur. À cette fin, des rapports d’essai créés à partir des données brutes et des données d’essai analysées en fonction des procédures énoncées dans la présente annexe doivent être conservés pour faire la démonstration que les essais ont été menés et que toutes les exigences de la présente annexe ont été respectées.

11.0 Exigences en matière de données

1) Généralités. Les données produites à l’issue des essais et des analyses doivent comprendre des graphiques, des listes ou des résultats mis en tableaux ainsi que des copies de toutes les photographies prises à l’appui des résultats. Il conviendrait de consigner ce qui suit :

a) la forme d’impulsion de l’impact;
b) la réaction à l’impact des capteurs de la tête et du cou;
c) la réaction à l’impact des capteurs de la poitrine;
d) le changement de vitesse totale du SATP;
e) l’accélération résultante maximale enregistrée à la tête du mannequin à chacun des trois axes : ax, ay, az avec la magnitude de l’accélération amag=(a_x²+a_y²+a_z²)1/2;
f) l’accélération rotationnelle maximale enregistrée à la tête du mannequin à chacun des trois axes : (̇ x, ̇ y, ̇ z);
g) l’énergie cinétique calculée qu’a reçue le DAE;
h) les moyens de fixation des caméras, des batteries ou de toute autre pièce qui peut se détacher pendant un impact;
i) l’angle de l’impact et la masse du SATP;
j) l’enregistrement vidéo de l’impact de la collision et des réactions du véhicule et du DAE avec une résolution d’au moins 1 000 images par seconde;
k) toute observation détaillée relative à l’impact. Il convient de consigner tout dommage causé au SATP.

12.0 Analyse des données

1) Généralités. Toutes les données générées lors des essais dynamiques devraient être soumises à un examen en vue d’y relever les erreurs. La dérive, le masquage, les oscillations parasites et les autres problèmes communs rencontrés avec les instruments électroniques doivent être détectés et corrigés avant l’exécution des essais. La perte de données pendant l’essai est visible dans la courbe des données par rapport au temps, et elle est indiquée généralement par des discontinuités marquées dans les données, souvent excédant les limites d’amplitudes du système de collecte de données. Si la perte de données survient au début de l’essai dans les canaux de transmission importants, il conviendrait alors d’éliminer les données et de répéter l’essai. Si la perte survient vers la fin de l’essai, après l’enregistrement des données de crête, la validité des données doit être soigneusement évaluée, et les valeurs maximales des données peuvent demeurer acceptables pour les essais décrits ci-dessus. Les instruments, la collecte des données et le filtrage de ces données lors des essais doivent satisfaire aux exigences de la pratique recommandée J211-1 de la SAE, Instrumentation for Impact Test. Se reporter au tableau C-1 pour les valeurs seuils des paramètres de blessures associés aux valeurs acceptables pour les blessures.

2) Forme d’impulsion de l’impact. L’impulsion doit satisfaire aux exigences du document 1727 de la SAE, Calculation Guidelines for Impact Testing.

3) Changement de vitesse totale. La vitesse du SATP tout juste avant le moment de l’impact doit être mesurée à chaque point de mesure de l’essai. Une vidéo de l’impact doit être réalisée dans un plan perpendiculaire à la chute, en prévoyant une manière de mesurer la distance parcourue entre les images (p. ex., mesures radar ou ultrasoniques de la distance, ou autres capteurs). L’incertitude quant aux mesures doit être documentée. Au moment de ce calcul, on utilise les erreurs possibles de mesure du temps et des déplacements pour calculer une erreur de mesure de vitesse probable, et la vitesse d’impact de l’essai devrait excéder la vitesse limite de chute calculée à l’analyse de la situation critique par au moins l’erreur de mesure de vitesse.

4) Tête et cou.

a) Mécanisme de blessure à la tête. Il existe trois principaux types de blessures à la tête par impact direct :
b) Lésion cérébrale. Une lésion cérébrale peut être provoquée par de fortes accélérations soumises au cerveau, entraînant souvent des lésions liées à des objets plats ou semi-contondants rigides, ou par un impact direct sur une partie locale du cerveau se traduira par une contusion (ecchymoses) pour une pénétration directe du cerveau souvent liée à des impacts contondants ou coupants. La présente CI n’aborde pas cet aspect en ce moment.
c) Fracture du crâne. Une fracture du crâne peut être provoquée par un impact direct. Les fractures crâniennes peuvent être provoquées par deux mécanismes de charge d’impact différents.
- Impact avec une surface plane produisant des fractures de type linéaire
- Impact avec un objet contondant produisant des fractures par enfoncement localisées
d) Lacérations faciales. Les lacérations faciales causées par des objets pointus sont susceptibles d’avoir des entailles discrètes, mais peuvent s’étendre profondément et impliquer des structures sous-jacentes, telles que les muscles de l’expression du visage, les nerfs et les artères. Les blessures causées par des forces contondantes occasionnent une rupture de la peau, endommagent les cellules et produisent un œdème tissulaire, ce qui ralentit le processus de guérison. C’est pourquoi il est nécessaire de prendre des mesures d’atténuation pour réduire le risque de ce type de blessures. Par exemple, les protections de rotor, l’arrêt des pales, la détection et l’arrêt, etc. Ces moyens d’atténuation devront être testés en vol pour démontrer leur efficacité. Les résultats de l’essai devraient être annexés au rapport des résultats de l’essai. La présente CI ne prend pas en compte les critères de lésion par lacération, et le tableau C-1 ne retient qu’un critère de réussite ou d’échec à cet égard.
e) Nous considérons une valeur HIC calculée avec un intervalle de temps qui maximise la valeur HIC jusqu’à une période de 15 ms maximum, et non de 36 ms, qui est généralement utilisée pour les occupants d’une voiture. La raison principale est que l’impact à la tête sur la structure d’un SATP est très court, seulement quelques millisecondes de contact. Ainsi, alors que l’intervalle de temps utilisé dans le calcul peut aller jusqu’à 15 ms, selon la conception de l’ATP, on peut s’attendre à une période de seulement quelques millisecondes pour ce calcul.
f) La présente CI évaluera le risque de traumatisme crânien principalement sur la base d’un critère de blessure à la tête (HIC) avec une l’intervalle de temps qui maximise la valeur HIC, jusqu’à 15 ms pour la période sur laquelle il est calculé. Une valeur HIC de 1 000 équivaut à environ 15 % de risque de blessure à la tête de type 4 selon l’EAT, alors qu’une valeur HIC de 700 équivaut à 5 % de risque de blessure à la tête de type 4 selon l’EAT. Une blessure « grave » correspond à une blessure de type 4 selon l’EAT. La valeur HIC-15 maximale calculée ne doit pas dépasser 700, et le maximum du pique d’accélération ne doit pas dépasser 237 g.
g) Cou. Les critères de lésion au cou qui en résultent, appelés « N_ij », proposent des limites critiques pour les quatre modes de chargement du cou possibles; tension ou compression combinées avec un moment de flexion soit en flexion (avant) soit en extension (arrière). Le N_ijest défini comme la somme des charges et des moments normalisés. Le calcul doit respecter les exigences du document 1727 de la SAE, Calculation Guidelines for Impact Testing. Une valeur N_ijde 1,21 marquerait la limite acceptable et représenterait 30 % de risque de blessure de type 3 selon l’EAT.
h) La force de cisaillement (F_x), la force axiale (Fz) et le moment de flexion (My) doivent être mesurés par la cellule de charge du haut du cou du mannequin pour la durée de l’accident, tel que précisé dans le document FMVSS 208, S4.11. La force de cisaillement, la force axiale et le moment de flexion doivent être filtrés pour les besoins d’évaluation du Nij dans la pratique recommandée n° J211 de la SAE.
i) Pendant l’activité, la force axiale (F_z) peut être mesurée par tension ou par compression, alors que le moment de flexion au condyle de l’occipital (M_ocy) peut être mesuré soit par flexion ou extension. Les résultats produisent quatre conditions de charges possibles pour N_ij : tension-extension (N_te), tension-flexion (N_tf), compression-extension (N_ce) ou compression-flexion (N_cf).
j) Pour le calcul de la valeur N_ij, les valeurs critiques, F_zc et M_yc, sont :
- F_zc = 6 806 N (1 530 livres-force [lbf]) lorsque F_z est en tension.
- F_zc = 6 160 N (1 385 lbf) lorsque F_z est en compression.
- M_yc = 310 newtons mètres (Nm) (229 livres-force pied [lbf-pi]) lorsqu’un moment de flexion survient au condyle de l’occipital.
- M_yc = 135 Nm (100 lbf-pi) lorsqu’un moment d’extension survient au condyle de l’occipital.
k) À chaque point dans le temps, une seule des quatre conditions de charge survient et la valeur N_ij correspondant à cette condition de charge est calculée, tandis que la valeur des trois autres modes de charge restants doit être considérée à zéro. L’expression pour calculer chaque condition de charge N_ijs’obtient des façons suivantes :
- N_ij = (F_z/F_zc) + (M_ocy/M_yc)
- Aucune des quatre valeurs N_ij ne doit excéder 1,0 à aucun moment pendant l’activité.
- Tension maximale. À aucun moment, la force de tension (F_z), mesurée à la cellule de charge du haut du cou, ne doit excéder 4 170 N (937 lbf).
- Compression maximale. À aucun moment, la force de compression (F_z), mesurée à la cellule de charge du haut du cou, ne doit excéder 4 000 N (899 lbf) à tout moment.
- Sauf indication contraire, les instruments pour l’acquisition de données, la classe de fréquence de canal et le moment de calcul sont les mêmes que ceux indiqués à la sous-partie E du titre 49 du CFR, partie 572, portant sur le mannequin d’essai Hybrid III.

5) Poitrine. Le risque de blessure thoracique est évalué sur la base de l’accélération de la colonne vertébrale et du taux de déviation du sternum. Une déviation du sternum de 63 mm représente un risque de 45 ou 70 % de blessure thoracique de type 3 et plus selon l’EAT.

a) L’accélération résultante calculée à partir du résultat de l’instrumentation thoracique illustrée dans le dessin 78051.218, révision R, incorporée par référence dans la partie 572, sous-partie E du titre 49 du Code of Federal Regulations des États-Unis ne doit pas dépasser 60 g, sauf pour les intervalles dont la durée cumulée ne dépasse pas 3 millisecondes.
b) La déviation en compression du sternum par rapport à la colonne vertébrale ne doit pas dépasser 63 mm (2,5 po).

Tableau C-1
Partie du corps	Paramètre	Valeurs maximales	Mesure
Partie du corps	Paramètre	Valeurs maximales	C-1	C-2	C-3	C-4
Tête	HIC-15	700
Tête	Pique d’accélération (g)	237
Cou	N_ij	1,21
	F_zTension (N)	4 170
	F_z Compression (N)	4 297

6) Remarque : Ces paramètres de blessures présentent un risque associé à un niveau spécifique de blessure, généralement basé selon l’échelle abrégée des traumatismes (EAT). L’EAT est un système de codage à base anatomique développé par l’Association for the Advancement of Automotive Medicine (association pour l’avancement de la médecine automobile) qui classifie et classe la gravité de blessures spécifiques. L’EAT représente la menace pour la vie associée à la blessure plutôt que l’évaluation complète de la gravité de la blessure. Une blessure de type 2 selon l’EAT est considérée modérée, une blessure de type 3 est importante et une blessure de type 4 est grave.

a) L’EAT se base sur les exigences techniques suivantes : UN R94, Règlement technique mondial (RTM) n° 9, Sécurité des piétons, AC 25.562 de la FAA et FMVSS 208.
b) Le tableau C-1 résume les critères de réussite des essais et fournit au demandeur des indications sur la manière de présenter et de collecter de l’information.

13.0 Documentation des essais

1) Généralités. Les essais doivent être documentés dans des rapports qui décrivent les procédures, les limites, les résultats et les écarts par rapport aux essais abordés dans la présente annexe.

2) Renseignements sur les installations. Afin de clairement consigner les renseignements propres aux installations (voir la section 7.2 de l’annexe C) où se sont déroulés les essais, il convient d’indiquer ce qui suit dans les rapports d’essai :

a) le nom et l’adresse de l’installation où se sont déroulés les essais;
b) le nom et le numéro de téléphone de la personne responsable des essais à l’installation;
c) une courte description ou une photographie de chaque dispositif d’essai;
d) des déclarations confirmant que :
- tous les instruments et l’équipement de collecte de données utilisés lors des essais satisfont aux exigences internes de l’installation visant l’étalonnage;
- ces exigences en matière d’étalonnage sont documentées et disponibles aux fins d’inspection sur demande; tous les étalonnages peuvent être rattachés à une norme nationale;
- les dossiers sur l’étalonnage de tous les instruments utilisés pour les essais sont conservés à l’installation.
e) une déclaration confirmant que la collecte des données a été effectuée conformément aux recommandations de la présente annexe, ou une description détaillée de la procédure suivie et de l’analyse technique démontrant l’équivalence aux procédures et aux résultats escomptés de la présente CI;
f) le nom du fabricant, les spécifications, le numéro de série et le poids des DAE utilisés pour les essais, ainsi qu’une description de toute modification ou réparation effectuée sur les DAE qui pourrait l’éloigner de leur spécification;
g) une description des appareils de photographie utilisée pour les essais.

3) Renseignements sur le SATP. Comme le SATP est l’unité soumise à l’essai, des renseignements détaillés sur les articles mis à l’essai contribuent à confirmer que les exigences ont été respectées. Cela comprend, entre autres, les renseignements suivants :

a) le nom du constructeur et les numéros identificateurs de modèle du SATP soumis aux essais ainsi qu’une courte description du système, y compris l’identification et la description fonctionnelle de tous les composants importants, et des photographies ou des images, s’il y a lieu;
b) la masse du SATP;
c) la direction de l’impact critique, la vitesse limite de chute, l’accélération et le rapport sur les conditions environnementales (tel que décrit dans la présente annexe).

4) Description de l’essai. La description de l’essai doit comporter suffisamment de détails pour que l’essai puisse être reproduit facilement, simplement en suivant les directives indiquées dans le rapport. Les procédures fournies dans la présente annexe peuvent être citées en référence dans le rapport, mais elles doivent être accompagnées des détails nécessaires pour décrire les conditions uniques des essais. Par exemple :

a) il faut fournir les dimensions pertinentes et d’autres détails sur l’installation qui ne figurent pas sur les plans des articles mis à l’essai;
b) il faut consigner le montage et les caractéristiques des instruments électroniques et des appareils de photographie choisis pour les essais, en plus des renseignements fournis par l’installation. Ces renseignements peuvent comprendre des cibles spéciales, des grilles ou les marques utilisées pour l’interprétation des photographies, des données des transducteurs, des charges des systèmes de retenue, des forces de réaction au sol ou de toute autre mesure en plus de celles abordées dans la présente annexe;
c) Toute activité ou tout événement inhabituel ou unique lié à la réalisation de l’essai doit être documenté. Cela pourrait comprendre les dommages causés au SATP ou les appuis des DAE, les articles mis à l’essai ou les transducteurs, les conditions opérationnelles ou les activités, comme des procédures d’essai qui ont dû être retardées ou annulées, des défaillances des installations lors de l’essai, des composants des instruments ou des DAE;
d) le comportement structural escompté devrait être consigné.

14.0 Conclusions

1) Généralités. Les résultats des essais susmentionnés devraient indiquer les limites opérationnelles du SATP pour les utilisations au-dessus de personnes. Ces résultats peuvent entraîner les deux réactions suivantes :

2) Modification de la conception. Si les résultats des essais révèlent que l’ATP obtiendra des mesures qui se situent en deçà des valeurs marginales acceptables décrites au tableau C-1, il est possible qu’un nouvel ATP soit conçu en utilisant des matériaux et des configurations structurales différents, ou en y intégrant de l’équipement atténuant les risques. S’il choisit cette option, le constructeur doit soumettre la nouvelle conception à de nouveaux essais conformes à ceux présentés dans cette annexe.

3) Limites opérationnelles strictes. Si les résultats des essais indiquent qu’une vitesse (ou un ensemble de vitesses) et une altitude (ou un ensemble d’altitudes) de l’ATP risquent de causer une blessure HIC-15 dont la valeur est inférieure à la valeur autorisée, le constructeur peut établir des limites opérationnelles strictes associées à la conception afin de restreindre la vitesse de l’ATP pour respecter ces limites de vitesse plus basse. Il conviendrait de noter que dans le cas d’un giravion, la vitesse limite de chute correspond à la vitesse critique et, par conséquent, cela entraînerait très probablement l’obligation d’une nouvelle conception du système en cas d’échec aux essais. Les mécanismes de restriction des opérations pour assurer la sécurité des personnes au sol doivent être inclus dans le cadre de l’évaluation du mode de défaillance, comme l’exige le processus d’assurance de la sécurité.

4) En règle générale, les résultats de ces essais devraient fournir au constructeur suffisamment de renseignements pour que celui-ci puisse déterminer les altitudes, les vitesses, les configurations de vol et les manœuvres opérationnelles maximales autorisées pour l’ATP.

5) Le constructeur peut décider de créer un régime de vol permettant d’opérer en toute sécurité au-dessus de personnes. Ainsi, réduire la charge de travail du commandant de bord et tenir compte dans ce mode de vol des limites opérationnelles d’altitudes, de vitesses, de configurations de vol et de manœuvres opérationnelles de l’ATP autorisées. Dans ce développement, le constructeur doit prendre en compte les éléments suivants :

a) Facteurs humains
- Une évaluation qualitative de la charge de travail de l’équipage et du degré de difficulté dans tous les modes de fonctionnement du circuit de commandes de vol, y compris en pilotage direct manuel (le cas échéant) à toutes les étapes de vol (p. ex., force du lancement), devrait être réalisée afin de démontrer que la probabilité des erreurs de pilotage est réduite au minimum. Cette évaluation doit comprendre une évaluation de la charge de travail en situation d’urgence.
b) Transition
- Il devrait être possible d’effectuer une transition sans heurt d’une étape ou condition de vol à une autre (y compris les virages et les dérapages) sans avoir à craindre de dépasser la charge limite de l’aéronef dans toutes les conditions de fonctionnement possibles (y compris, pour les ATP multimoteurs, les conditions normalement rencontrées lors d’une défaillance soudaine d’un moteur). Le cas échéant, il conviendrait de prendre en compte la transition de l’étape du lancement à la condition normale de vol, ainsi que la transition de la condition normale de vol à l’étape de descente de l’aéronef.
c) Protection du domaine de vol
- Il est possible de doter le circuit de commandes de vol d’une protection du domaine de vol.
  - Les caractéristiques de chaque option de protection du domaine de vol devraient assurer une transition harmonieuse et appropriée à l’étape de vol et au type de manœuvre.
- Les valeurs limites des paramètres de vol protégé doivent être compatibles avec :
  - les limites structurales de l’ATP;
  - les valeurs acceptables du tableau C-1;
  - la manœuvre sécuritaire et contrôlable requise de l’ATP.
- Il convient d’assurer une marge de sécurité aux conditions de défaillance qui conduisent à une perte de contrôle de l’ATP.
  - L’ATP doit répondre à la manœuvre dynamique intentionnelle se situant dans une plage convenable de limites de paramètres.
  - Les caractéristiques dynamiques, comme le dépassement et la remise des gaz, doivent également être appropriées à la manœuvre et aux limites de paramètres concernés.
  - Les caractéristiques du circuit de commandes de vol ne doivent pas causer une oscillation résiduelle à la sortie commandée en raison des combinaisons des limites de protection du domaine de vol.
  - Il faut engager rapidement la protection automatique du domaine de vol des paramètres critiques de vol.
    - Des exemples de manœuvres qui pourraient provoquer les conditions susmentionnées pourraient comprendre, entre autres, l’inversion en tonneau d’un SATP à rotor, une remontée, une amorce de descente, une manœuvre rapide en dérapage et un changement de cap de grande amplitude. Le document ADS-33, Aeronautical Design Standard Performance Specification Handling Qualities Requirements for Military Aircraft, décrit ces manœuvres et quelques autres qui pourraient faire partie de la mission du SATP giravion.

6) Le constructeur peut envisager d’utiliser des parachutes en cas de situations d’urgence; ASTM fournit des normes au sujet des parachutes. Se reporter à l’annexe A de la présente CI.

Annexe D – Éléments à prendre en compte dans le manuel d’exploitation d’un SATP

1.0 Manuel d’exploitation du SATP

1.1 Généralités

1) L’exemple de manuel d’exploitation qui figurait précédemment dans cette annexe a été supprimé. Depuis la publication initiale de cette circulaire, l’industrie s’est efforcée d’élaborer des normes et des orientations propres aux manuels d’exploitation des SATP auxquels devraient se référer les constructeurs de SATP et les déclarants. Cette annexe contient maintenant des conseils et des considérations spéciales que les déclarants doivent comprendre lorsqu’ils préparent la documentation nécessaire pour soutenir leur SATP sur le plan opérationnel et assurer la conformité continue avec les sections applicables de la norme 922 du RAC.

2) Les déclarants de SATP sont chargés de communiquer aux opérateurs de leurs SATP toutes les informations nécessaires pour assurer la sécurité de l’exploitation. Les déclarants doivent se placer dans l’état d’esprit d’un opérateur qui n’est peut-être pas intimement familiarisé avec tous les aspects de la conception du SATP. Les éléments de la conception d’un SATP qui peuvent être évidents pour le concepteur peuvent ne pas l’être pour un opérateur. Les questions suivantes doivent être prises en compte lors de l’élaboration d’un manuel de l’utilisateur du SATP :

a) Quels sont les aspects de l’architecture du système SATP qu’un opérateur doit comprendre pour prendre des décisions concernant la sécurité et le bon état de service du SATP?
b) Quels sont les éléments configurables du SATP qui sont nécessaires au maintien de la conformité avec la déclaration du SATP? Existe-t-il des éléments configurables qui ne sont pas nécessaires pour chaque vol? Existe-t-il des éléments configurables qui ne sont nécessaires que pour certains types d’opérations?
c) Existe-t-il des limitations opérationnelles (procédures, environnement, entretien, inspection, etc.) qui doivent être respectées pour garantir la conformité continue avec la déclaration à la norme 922 du RAC?
d) Existe-t-il des indications particulières, des tests intégrés ou des comportements opérationnels du SATP qu’un opérateur devrait connaître et qui pourraient indiquer que le SATP n’est plus conforme à la déclaration? Comment le SATP réagit-il si la liaison C2 est dégradée? Quel est l’effet de conditions environnementales extrêmes (température, humidité, précipitations, terrain, etc.) sur le système?
e) Les manuels d’utilisation doivent être rédigés en tenant compte des connaissances, des compétences et de l’expérience minimales attendues de l’utilisateur final. Existe-t-il des qualifications minimales ou une expérience particulières nécessaires pour exploiter en toute sécurité le SATP conformément aux hypothèses formulées dans la déclaration? Si les hypothèses relatives aux compétences des pilotes sont fondamentales pour la déclaration, il peut être nécessaire d’imposer des exigences en matière de formation, d’actualisation des connaissances et de compétence aux opérateurs de SATP.

1.2 Utilisation des normes industrielles

1) Les candidats sont encouragés à rechercher des normes industrielles plus récentes (c’est-à-dire ASTM F2908-23 ou une révision approuvée ultérieurement) et des orientations disponibles auprès d’autres associations industrielles (JARUS SORA Annexe A).

CI 922-001 - Assurance de la sécurité des systèmes d’aéronefs télépilotés
(PDF, 1,8 Mo)