ASPECTOS DE SEGURANÇA NA INTEGRAÇÃO DE VEÍCULOS AÉREOS NÃO TRIPULADOS (VANT) NO ESPAÇO AÉREO BRASILEIRO

Transcrição

1 ASPECTOS DE SEGURANÇA NA INTEGRAÇÃO DE VEÍCULOS AÉREOS NÃO TRIPULADOS (VANT) NO ESPAÇO AÉREO BRASILEIRO Vitor Hugo Furtado Ricardo Alexandre Veiga Gimenes João Batista Camargo Júnior Jorge Rady de Almeida Júnior Grupo de Análise de Segurança GAS, Departamento de Engenharia de Computação e Sistemas Digitais Escola Politécnica da Universidade de São Paulo RESUMO A integração de Veículos Aéreos Não Tripulados (VANT) no Espaço Aéreo Civil ainda possui grandes barreiras que passam pelos domínios de regulamentação corrente, falta de experiência operacional e deficiências tecnológicas. Para a utilização de VANTs no espaço aéreo brasileiro, novos estudos sobre metodologias de análise e tecnologias deverão ser incorporados aos sistemas de controle atuais, promovendo uma convivência segura e confiável entre aeronaves tripuladas e não tripuladas. Um cenário de inovações tecnológicas, como é o caso do CNS/ATM, torna-se um facilitador desta integração entre o universo tripulado e não tripulado. O objetivo deste trabalho é determinar diretrizes para a integração de aeronaves não tripuladas no espaço aéreo brasileiro. Estas diretrizes possibilitam a construção de um Modelo de Risco para VANT que identifique as etapas necessárias para se alcançar o nível de Confiabilidade e Segurança Crítica (Safety) desejados e como a Segurança Crítica pode ser calculada para quantificar o Risco envolvido. Nesse caminho, este estudo baseia-se em metodologias tais como a SAM (Safety Assessment Methodology), desenvolvida pelo Eurocontrol. A SAM descreve um processo para a certificação de Segurança Crítica de Sistemas de Navegação Aérea Tripulados que pode fornecer uma referência aos Sistemas de Navegação Aérea Não Tripulados. Desta forma, este estudo também irá permitir a identificação de diferentes necessidades do Gerenciamento de Tráfego Aéreo para uma futura integração de VANTs. Como resultado, este estudo oferece diretrizes que auxiliem na definição de normas e leis e conseqüente certificação de aeronaves não tripuladas no espaço aéreo brasileiro para uso segregado e não segregado, ainda não existentes no Brasil. ABSTRACT Unmanned Air Vehicles (UAV) integration in the Civilian Airspace still faces great barriers that go through the current regulations domain, lack of operational experience and technological deficiencies. For the use of UAVs in the Brazilian airspace, new studies on analysis and technologies methodology will have to be incorporated to the current control systems, providing a safe and reliable coexistence between manned and unmanned aircraft. A technological innovation scenario, as is the CNS/ATM case, becomes a facilitator of this integration between the manned and unmanned universe. The aim of this work is to determine directives for the integration of unmanned aircraft in the Brazilian airspace. These directives allow the construction of a Risk Model for UAV that identifies the necessary stages in order to reach the required level of Reliability and Safety and how Safety can be calculated to quantify the involved Risk. In this way, this study is based on methodologies such as SAM (Safety Assessment Methodology), developed by the Eurocontrol. SAM describes a process for the Safety certification of Manned Air Traffic Systems that can be a reference to the Unmanned Air Traffic Systems. Furthermore, this study also will allow the identification of different needs of Air Traffic Management for a future integration of UAVs. Therefore, this study offers directives that can help in the definition of standards and laws and consequent certification of unmanned aircraft in the Brazilian airspace for segregated and non segregated use, still nonexistent in Brazil. 1. INTRODUÇÃO Veículo Aéreo Não Tripulado (VANT) é um termo genérico que identifica uma aeronave que pode voar sem tripulação, normalmente projetada para operar em situações perigosas e repetitivas em regiões consideradas hostis ou de difícil acesso. Existe uma grande diversidade de tipos de VANTs, muitos deles ganhando ênfase na esfera civil e tornando-se uma opção válida no cenário comercial atual. 506

2 Há um grande mercado que está emergindo a partir de aplicações e serviços potenciais que podem ser oferecidos pelas aeronaves não tripuladas. Mais precisamente, VANTs podem ser aplicados em missões chamadas de D-cubo (Dangerous-Dirty-Dull), isto é, missões identificadas como perigosas, sujas e/ou enfadonhas. Quando se considera o VANT em aplicações civis, há um grande escopo de cenários possíveis para sua utilização. Por exemplo, pesquisa ambiental remota, monitoração e certificação de poluição, gerenciamento de queimadas, segurança, monitoração de fronteira, oceanografia, agricultura e aplicações de pesca. Em geral, todas estas aplicações podem ser divididas em quatro grandes grupos: aplicações ambientais, aplicações de segurança, aplicações de comunicação e aplicações de monitoramento [1]. Atualmente, e após muitos anos de desenvolvimento, os VANTs estão alcançando um ponto crítico no qual eles poderiam ser aplicados em cenário civil/comercial. Sua forma de controle pode ser remota, utilizando pilotos em estações de controle remoto terrestre ou com sistemas de controles embarcados (neste caso, os VANTs são considerados autônomos). No entanto há uma falta de suporte de hardware, software e principalmente políticas de segurança para efetivamente desenvolver tais potencialidades, sendo necessário um profundo estudo por parte da academia para que sua utilização seja viável. 2. MOTIVAÇÃO No Brasil, os VANTs estão se tornando uma realidade cada vez maior, com aplicações voltadas principalmente à área da agricultura, vigilância e monitoração de recursos. Empresas como a Embrapa precisam de imagens aéreas que auxiliem na identificação de irregularidades no plantio, controle de doenças e pragas, pulverização adequada e formem uma base de dados que maximize o resultado de uma colheita. A Chesf, empresa de distribuição de energia do Nordeste, necessita gerenciar sua planta externa para atender às exigências de empresas reguladoras, monitorando recursos como cabos e postes. Para o controle destes recursos, por serem distribuídos em grandes extensões territoriais no país e, em muitas vezes, em áreas de difícil acesso por via terrestre, o VANT se torna uma importante ferramenta contra roubos e a deterioração de equipamentos. A Petrobrás é outra grande empresa que busca investir nos VANTs, pois os dutos que conduzem seu precioso recurso precisam de constante monitoração contra vazamentos e desvios inesperados. Todas essas empresas necessitam de um sistema de vigilância efetivo, que percorra constantemente a extensão de seus recursos e o mais rápido possível, não deixando com que fiquem muito tempo sem informação. Esse controle é custoso se for considerado o formato tradicional, envolvendo aeronaves mais pesadas e tripuladas, tanto pelo preço do combustível quanto pelo preço do piloto por hora de vôo. Neste caso, a monitoração contínua no tempo torna-se quase que proibitiva. Essas aeronaves ainda podem controlar queimadas, identificando-as e combatendo-as. Em um país com extensão territorial como o Brasil que faz fronteira com quase todos os países da América do Sul, o combate ao tráfico de drogas, contrabando, entrada de armas ilegais e soberania nacional seria extremamente facilitado com os dados enviados constantemente por essas aeronaves aos centros militares no país. Além disso, o controle de desmatamentos, queimadas e outras ameaças a regiões como a floresta amazônica seriam devidamente registradas em tempos adequados, quando ainda alguma coisa pudesse ser feita e não como um simples registro de algo que nada mais pode ajudar. 507

3 Ampliando a lista, outras aplicações como vigilância de morros e favelas no combate ao tráfico de drogas e à violência, promovendo a segurança no cotidiano das grandes cidades e em eventos extraordinários. Ainda há espaço para o transporte de cargas e no futuro, com os riscos devidamente calculados e garantidos os níveis de segurança crítica iguais ou maiores que o universo tripulado, poder-se-á contar com o transporte de passageiros. Independentemente do transporte de passageiros, um nível equivalente de segurança crítica precisará ser garantido para a sobrevivência dessas aeronaves, não importando o tipo de sua missão. Quanto maior a aeronave e seu alcance, maior será a probabilidade de compartilhamento com o espaço aéreo civil habitado pelos vôos tripulados, sejam eles comerciais ou militares. E mesmo que não haja ser humano dentro de um VANT, o risco de colisão com aeronaves que conduzam vidas humanas já torna necessária uma pesquisa aprofundada a respeito de sua confiabilidade e segurança. Ainda que a colisão seja entre VANTs, a probabilidade de impactos em construções, habitações, áreas de preservação, e acima de tudo, vidas humanas em solo precisa ser considerada no cálculo de riscos. De acordo com [1], o controle da missão e da carga útil são os principais gargalos que podem impedir o desenvolvimento real de VANTs no setor civil. Os VANTs militares usam projetos de controle específicos, especialmente sob medida para a missão de vigilância que eles devem executar. No entanto, um VANT civil deveria ser capaz de implementar uma grande variedade de missões com um pequeno tempo de reconfiguração e overhead, caso a aplicação tenha a necessidade de ser economicamente viável. 3. O SISTEMA VANT O Controle de Tráfego Aéreo brasileiro ainda não está devidamente preparado pra aplicações com VANTs. Será preciso, além de uma legislação a respeito, recursos computacionais e treinamentos adequados para os controladores de tráfego aéreo e pilotos. Estações de Controle de VANTs deverão comunicar-se com as estações de controle tradicionais, e estas com as aeronaves, sejam elas tripuladas ou não. Sistemas anti-colisão pró-ativos e colaborativos precisam ser implementados, permitindo a convivência entre o mundo tripulado e o não tripulado. Pró-ativos quando os equipamentos a bordo das aeronaves ou em solo identificam ameaças e riscos de colisão, e avisam aos sistemas de controle das aeronaves a alternativa mais adequada para evitar um desastre aéreo. Colaborativos quando os próprios pilotos são parte ativa na prevenção do acidente, com equipamentos a bordo que ajudem a monitorar o espaço ao redor e sua rota, sem que o controlador precise intervir a todo instante, em solo. Isso é possível hoje, principalmente devido à presença de uma nova forma de monitoração baseada no CNS/ATM, sucessor do atual conceito de sistema de tráfego aéreo, o qual se baseia em novas tecnologias digitais aplicadas à comunicação, à vigilância, à navegação e ao gerenciamento do tráfego aéreo. A implementação de comunicação de dados digitais e de navegação por satélite, entre outras tecnologias, permitiria obter maiores níveis de automação e de acurácia no controle do tráfego aéreo e, a princípio, minimizaria as restrições existentes no sistema de transporte aéreo atual. Por conseqüência, seria possível atender à crescente demanda por tráfego aéreo, mantendo-se (ou, de preferência, elevando-se) os níveis de segurança atuais [2]. A figura 1 contempla as melhorias em cada um dos elementos que compõe o paradigma CNS/ATM. 508

4 Figura 1: Melhorias no CNS e impacto sobre o ATM ([3] apud [2]) O VANT surge nesse cenário, onde o espaço aéreo que, em sua quase totalidade, é composto por veículos tripulados, e está passando por uma reestruturação a fim de ampliar sua capacidade, respondendo a novas demandas, sem que com isso tenha sua segurança negligenciada. A ampliação de rotas e o distanciamento entre as aeronaves é a resposta às novas necessidades da aviação civil. A chegada de um novo paradigma de aeronaves não pode interferir negativamente neste ambiente. É preciso uma adaptação, da forma mais transparente possível, com riscos devidamente calculados. O Gerenciamento de Tráfego Aéreo é responsável pela manutenção do distanciamento seguro entre as aeronaves desde a decolagem até sua aterrissagem e taxiamento. Um controlador de tráfego aéreo está constantemente em vigilância, observando cada aeronave que estiver dentro do espaço aéreo, identificando sua posição, velocidade, direção dos vôos e estimativas de posições futuras. Caso ocorra alguma situação diferente do que foi previamente planejado, ele tem a obrigação de comunicar aos pilotos quais ações deverão ser executadas para que o conflito detectado seja resolvido o mais rapidamente possível. 4. A INTEGRAÇÃO DE VANTS NO ESPAÇO AÉREO CONTROLADO A integração de um VANT em um espaço aéreo depende da aplicação pela qual ele foi projetado, pois de acordo com ela é que serão definidas as características físicas da aeronave. Tamanho e peso são critérios que devem ser levados em conta no momento de um compartilhamento de espaço aéreo com outros aviões, sejam eles tripulados ou não. Quanto maior o tamanho da aeronave, maior será a superfície de contato, ampliando a probabilidade de colisão. Já o peso é um elemento perigoso, principalmente quando associado à velocidade. Um VANT em alta velocidade chocando-se contra um avião, mesmo que de grande porte, poderá causar estragos irreparáveis à sua fuselagem. A altitude é outra variável importante na integração dos VANTs. Se as altitudes forem baixas, é preciso tomar cuidado com prédios, casas e até mesmo aeroportos, devido a prováveis 509

5 interferências nos procedimentos de decolagem e aterrissagem de aviões comerciais. Em altas altitudes, aumenta-se ainda mais o risco de colisões com outras aeronaves, como aquelas de transporte de passageiros. Principalmente quando o VANT tiver uma autonomia de longas horas de vôo. Em resumo, a probabilidade de um acidente com um VANT aumenta com a altitude, autonomia, tamanho, peso e velocidade da aeronave. Todas estas características físicas são função do tipo de missão do veículo não tripulado. Missões de transporte de carga ou produtos bélicos exigirão aviões mais robustos e pesados. Enquanto que missões de vigilância e segurança normalmente exigem aviões mais leves, com maior importância à carga útil que está sendo conduzida junto à armação da aeronave. As normas de integração devem levar em conta todos esses aspectos. Regras menos restritivas podem ser aplicadas para aquelas aeronaves cuja área de atuação seja um espaço aéreo segregado com baixa densidade de tráfego. Por outro lado, regras mais severas podem e devem ser consideradas em espaços aéreos não segregados, em meio a uma grande variedade de rotas e uma alta densidade de tráfego. O processo de certificação deve levar em conta também objetos que estão abaixo das aeronaves. Construções como pontes, edifícios, áreas residenciais e estradas são alvos fáceis na queda de um avião. Se um VANT descontrolado cair sobre uma área residencial ou uma ponte poderá causar uma imensa perda econômica e, no pior caso, danos a vidas humanas e impactos ambientais. Estudos dos efeitos do impacto de uma aeronave não tripulada em solo devem levar em conta o tamanho desta aeronave, peso, velocidade, potencial de explosão, dentre outras variáveis. Medidas de redução de severidade, como a explosão da aeronave ainda no ar, evitando um estrago maior em solo, devem ser levadas em consideração. Mesmo que se diga que uma aeronave não tripulada estará limitada a uma determinada altitude, sobrevoando uma região restrita, não se pode garantir que ela não ultrapassará estes limites. No cálculo de risco, será preciso determinar com que probabilidade uma aeronave poderá sair de sua rota ou do plano de vôo a que foi programada. 5. PROPOSTA DE MODELO DE RISCO CONSIDERANDO A EXISTÊNCIA DE VANTS Sistemas críticos são aqueles sistemas em que uma falha pode provocar perdas de vidas humanas, danos ambientais ou perdas financeiras consideráveis. Quando uma perda é considerada grave, os esforços e recursos a serem investidos à sua prevenção são geralmente justificados. Logo na concepção do sistema devem ser iniciadas as atividades relativas à segurança, fazendo parte de todo o ciclo de vida do projeto [8]. As políticas de segurança devem definir uma relação entre a segurança crítica e os demais objetivos do sistema que está sendo avaliado, tais como, confiabilidade, disponibilidade, segurança e custos. A análise de risco avalia a importância relativa do perigo e permite avaliar sua aceitabilidade ou não [8]. Para os VANTs, a necessidade de mensurar os riscos envolvidos torna-se condição necessária para sua viabilidade e aceitação para o uso comercial. 510

6 5.1. Mensuração do risco para Sistemas Críticos Para compreender melhor a natureza do risco, é muito importante considerar a relação entre Perigos e Acidentes, que resultam em um dano à pessoa humana ou ao meio ambiente. Considera-se que o perigo representa uma situação de potencial acidente [8]. O risco associado a um perigo é determinado pela combinação de dois fatores: a freqüência ou probabilidade da ocorrência de um acidente e a severidade da conseqüência envolvida no acidente. Risco = probabilidade do acidente * severidade Um determinado risco não é aceitável, se existir um determinado perigo com alta probabilidade de ocorrência e conseqüências desastrosas. No entanto, é aceitável um risco, em relação a um perigo, em que haja uma baixíssima probabilidade de ocorrência, mesmo que apresente conseqüências altamente danosas. O nível de aceitabilidade do risco é determinado pelo benefício associado ao risco, e pelo esforço requerido em diminuí-lo [8]. Um dos métodos conhecidos para determinação de risco aceitável é o ALARP (As Low As Reasonable Practible). A aplicação deste método significa tentar reduzir o nível de risco de um sistema a valores tão baixos quanto à relação entre o ganho e o investimento for aceitável [8]. O risco aceitável ou tolerável é aquele com o qual podemos conviver, obtendo os benefícios do funcionamento do sistema. A norma IEC define níveis de integridade de segurança SIL (Safety Integrity Level) para sistemas que operam em regime de baixa demanda e sistemas que operam em regime de alta demanda ou de modo contínuo [8]. A tabela 1 abaixo apresenta os quatro níveis SIL existentes: Tabela 1: Níveis de Integridade de Segurança [8] Considerando o estudo feito por [8], para determinar o nível de integridade de segurança crítica, o VANT no espaço aéreo nacional é um sistema de alta demanda que tem como conseqüência do risco, a morte de várias pessoas, com exposição ao perigo de freqüente a permanente, sendo possível de ser evitado sob certas condições e probabilidade relativamente alta de que as ocorrências indesejáveis acontecerão. De acordo com a classificação apresentada em [8], portanto, este sistema tem o SIL igual a 4 (quatro), com falha insegura por hora (λ) variando de 10-9 a Durante a análise de risco, qualquer indício ou suspeita que possa vir a provocar um acidente deve ser considerado. Portanto é fundamental uma atividade de garantia da segurança atuando em cada uma das fases do ciclo de vida do sistema. Daí a importância em se adotar e 511

7 desenvolver metodologias e métodos que cada vez mais assegurem a qualidade dos trabalhos desenvolvidos na garantia da segurança de sistemas, de forma que se obtenham sistemas de funcionamento robusto [8]. Avaliar e certificar VANTs ainda é um desafio internacional, tal como se tem observado nos relatórios da FAA UAS Experimental Certification Team [10]. Desta forma, visando obter caminhos nacionais para a certificação de VANTs, a proposta apresentada neste artigo é de que a Safety Assesment Methodology (SAM), desenvolvida pelo Eurocontrol com o objetivo de garantir Segurança Crítica para um sistema de navegação aérea tradicional, também possa ser utilizada para a avaliação de veículos aéreos não tripulados Metodologia de Certificação: Safety Assessment Methodology - SAM A SAM é uma metodologia de certificação de segurança crítica para o sistema de navegação aérea (Air Navigation System ou ANS) e foi desenvolvida com o objetivo de identificar as melhores práticas para obter-se esta certificação e servir de guia para sua aplicação. Como primeira etapa na formação de um processo de certificação para VANTs, é necessário definir quais fatores deverão ser avaliados. A SAM descreve um processo genérico que consiste de três passos principais na identificação destes fatores [4]: Certificação de Danos Funcionais (Functional Hazard Assessment - FHA); Certificação Preliminar da Segurança Crítica do Sistema (Preliminary System Safety Assessment - PSSA); Certificação da Segurança Crítica do Sistema (System Safety Assessment - SSA). A figura 2 apresenta como se relacionam os processos de certificação no ciclo de vida do sistema. Quão seguro o Sistema precisa ser? FUNCTIONAL HAZARD ASSESSMENT MUDANÇAS DEFINIÇÃO DO SISTEMA Quão segura a arquitetura do Sistema pode ser? PRELIMINARY SYSTEM SAFETY ASSESSMENT MUDANÇAS PROJETO DO SISTEMA Quão seguro é o Sistema implementado? MUDANÇAS INTEGRAÇÃO E IMPLEMENTAÇÃO DO SISTEMA SYSTEM SAFETY ASSESSMENT MUDANÇAS MANUTENÇÃO E OPERAÇÕES MUDANÇAS DESASSOCIAÇÃO Figura 2: Relacionamento entre o Processo de Certificação de Segurança Crítica e o ciclo de vida completo do sistema [4] 512

8 O FHA atua na definição do sistema e pergunta o quão seguro o sistema precisa ser para alcançar um risco aceitável. O segundo passo, o PSSA, atua no projeto do sistema e questiona se a arquitetura que está sendo proposta é capaz de alcançar um risco aceitável. O SSA é o último nível e tem relação com a implementação e integração do sistema, nele surge a questão se o que está sendo implementado alcança um risco aceitável. Em todas as fases a segurança crítica é analisada e busca-se minimizar a distância do nível de segurança crítica que foi requisitado para o nível realmente implementado O Processo Functional Hazard Assessment (FHA) O FHA é um processo iterativo que deve ser aplicado no início do desenvolvimento de um sistema de navegação aérea. Nesta fase é que se determina qual o nível de segurança que o sistema precisa ter. Aqui são identificados os potenciais modos de falhas (failures) e danos (hazards). A condução do FHA acontece justamente no momento do ciclo de vida em que o sistema está sendo definido e os objetivos de segurança crítica a serem alcançados devem ser anunciados. Para cada função ou combinação de funções do sistema é preciso [5]: 1) Identificar os danos em potencial: o que poderia dar errado com o sistema e o que poderia ocorrer se isto acontecesse; 2) Identificar os efeitos dos danos: como a segurança das operações de controle e da aeronave é afetada; 3) Certificar a severidade dos efeitos dos danos: quão severos seriam esses efeitos; 4) Especificar os objetivos da segurança: qual freqüência pode ser aceitável à ocorrência do dano; 5) Certificar o risco agregado pretendido: qual é o nível de segurança previsto? Isto possibilita formalizar os modos de falhas que o VANT venha a ter e possíveis danos conseqüentes destas falhas. O forte impacto psicológico perante a sociedade ainda faz com que o uso de VANTs tenha graus de exigência maiores que as aeronaves tripuladas. Desta forma, a tolerância a falhas é menor e, conseqüentemente, o processo de avaliação de perigos deve ser rígido o suficiente para sua aceitação O Processo Preliminary System Safety Assessment (PSSA) O PSSA é um processo iterativo aplicado no início de um novo projeto de um sistema de navegação aérea ou na modificação de um existente. O objetivo de desenvolver um PSSA é demonstrar se a arquitetura do sistema certificada alcança os objetivos de segurança crítica especificados no FHA [6]. Como mostra a figura 3, o processo PSSA transforma os objetivos de segurança crítica em requisitos de segurança crítica alocados aos elementos do sistema, ou seja, especifica o nível de risco a ser alcançado pelos elementos do sistema. O PSSA também identifica um nível de certificação por elemento [6]. O propósito do PSSA é identificar o impacto de uma mudança na arquitetura e garantir a capacidade da nova arquitetura de encontrar os mesmos ou novos objetivos de segurança crítica. O pré-requisito essencial para conduzir um PSSA é uma descrição das funções de alto 513

9 nível do sistema, com uma lista de premissas, danos e seus objetivos de segurança associados. A lista de danos e objetivos de segurança vem do FHA e é completada durante o PSSA. Papel do PSSA Funções do Sistema Objetivos da Segurança (Safety) Arquitetura do Sistema AT COs Procedimentos Operacionais Equipamentos RS = Requisitos de Segurança RS RS RS Hardware Interface Homem- Máquina Software RS RS Figura 3: Papel do PSSA [6] RS Os requisitos de segurança, para VANTs, precisam ser reescritos, uma vez que a arquitetura e o modelo de seu funcionamento são diferentes da aviação tradicional. Por exemplo, os VANTs não possuem, necessariamente a Interface Homem-Máquina (presente na Figura 3) e, assim, a princípio, não necessitaria de requisitos de segurança para este caso. Porém, algumas vezes, ela pode existir, mesmo que distante da aeronave, quando é operada remotamente. Seus requisitos de segurança, neste caso, envolvem fatores de disponibilidade e confiabilidade na transmissão dos dados da aeronave ao centro de controle e deste até a aeronave. Porém, os requisitos gerais de segurança são os mesmos, sejam os vôos tripulados ou não O Processo System Safety Assessment (SSA) O SSA é um processo aplicado no início da implementação de um sistema de navegação aérea [7]. O objetivo do SSA é demonstrar que o sistema encontre um risco aceitável e satisfaça seus objetivos de segurança crítica no FHA e os elementos do sistema encontrem seus requisitos de segurança crítica especificados no PSSA. O SSA monitora o desempenho do sistema durante seu tempo de vida operacional. 514

10 Figura 4: Papel do SSA [7] O SSA, conforme apresentado na figura 4, é conduzido durante as fases de implementação e integração do sistema, transferência em operação, operação, manutenção e entrega do ciclo de vida do sistema. Seu objetivo é limitar o número de iterações entre as atividades de desenvolvimento do sistema e a certificação da segurança crítica. O desenvolvimento e certificação da segurança geralmente acontecem em paralelo. O SSA integra os resultados das várias análises para verificar a segurança crítica do sistema como um todo e para cobrir todas as considerações de segurança crítica identificadas no PSSA. O processo de certificação inclui as seguintes informações [9]: a) Lista das probabilidades de eventos externos levantados previamente; b) Descrição dos sistemas; c) Lista das condições de falha (FHA, PSSA); d) Classificação da condição de falha (FHA, PSSA); e) Análise qualitativa para as condições de falha; f) Análise quantitativa para as condições de falha; g) Análise de causa comum; h) Tarefas relacionadas à segurança crítica; i) Níveis de garantia do desenvolvimento para hardware e software (PSSA); j) Verificação que os requisitos de segurança vindos do PSSA estão incorporados no projeto e no processo de teste; k) Os resultados do processo de verificação não analítico (ou seja, teste, demonstração e atividades de inspeção). A varredura destes elementos citados fornece ao avaliador, uma estrutura formal dos fatores envolvidos no uso do VANT, garantindo que novos fatores, ainda em estudo pela comunidade científica, sejam expostos ao vôo autônomo. 515

11 6. CONCLUSÕES E PERSPECTIVAS FUTURAS O Veículo Aéreo Não Tripulado está se tornando uma realidade cada vez mais forte na esfera da aviação civil. Com isso, surge a necessidade de uma regulamentação e métodos que auxiliem na integração desses veículos ao espaço aéreo controlado e não segregado. A importância da definição de níveis de risco e de segurança crítica aceitáveis é fundamental para que o compartilhamento desse espaço, envolvendo o universo tripulado e o não tripulado, torne-se possível. De outra forma essa convivência poderá ter resultados catastróficos. Este artigo tem o objetivo de expor a necessidade de um processo estruturado de avaliação e certificação que facilite e torne exeqüível o uso de aeronaves tripuladas com VANTs em um nível de segurança crítica aceitável no espaço aéreo controlado. É preciso, portanto, que a certificação esteja presente desde o início do ciclo de vida do sistema, partindo de sua definição até sua implementação e execução, nos aspectos relevantes de segurança. A falta de metodologia para a avaliação de VANTs, mesmo para o uso no espaço aéreo segregado, dificulta a diversificação do uso de VANTs para aplicações civis. Desta maneira, a busca por uma metodologia, tal como a SAM apresentada neste artigo, fortalece novos investimentos nacionais, sem que ocorra uma dependência na importação tanto de tecnologia como de certificação para VANTs. A diversidade de aplicações que podem ser implementadas com o uso dessas aeronaves justifica o uso adequado de uma metodologia que permita a convivência entre os diferentes modelos com tamanhos, pesos, capacidades, autonomia e velocidade diretamente ligados a aplicação pela qual foram projetadas. A certificação ideal não auxilia a especificar o nível esperado de segurança crítica para uma única aeronave, mas sim para todo o sistema do qual ela faz parte. O veículo aéreo não tripulado se relaciona com seus pares de mesma categoria e função, e também com outras aeronaves não tripuladas de diferentes aplicações, além do já estabelecido universo tripulado e todo o sistema de controle de tráfego aéreo. Logo, a Safety Assesment Methodology, já utilizada para a certificação de segurança crítica para o sistema de navegação aérea tripulado, pode ser utilizada, com suas devidas adaptações, para a composição do sistema aéreo com ambos os tipos de aeronaves. O nível de exigência da sociedade para os VANTs será muitíssimo maior que aquele aplicado ao universo tripulado, principalmente por trazer riscos à estrutura já estabelecida. A tolerância aos acidentes será muito menor, condenando uma tecnologia antes mesmo que sejam percebidos seus benefícios à humanidade. Por isto mesmo, é de extrema importância que a comunidade científica estabeleça critérios e métodos adequados à nova ordem do espaço aéreo brasileiro e mundial. REFERÊNCIAS BIBLIOGRÁFICAS [1] Pastor, E., Lopes, J. and Royo, P. UAV Payload and Mission Hardware/Software Architecture. IEEE A&E Systems Magazine. June [2] Vismari, L. F., Camargo, J. B. Vigilância Dependente Automática no Controle de Tráfego Aéreo: Avaliação de Risco Baseada em Modelagem em Redes de Petri Fluidas e Estocásticas. Dissertação de Mestrado, Escola Politécnica da Universidade de São Paulo, [3] GALOTTI, V. P; The Future Air Navigation System: Communication, Navigation, Surveillance, Air Traffic Management. 1ª Edição. England: Ashgate Publishing Company,

12 [4] Sam V2.1 - Air Navigation System Safety Assessment Methodology. SAF.ET1.ST MAN October European Air Traffic Management - European Organisation for the Safety of Air Navigation Eurocontrol. [5] FHA V2-0 Safety Objectives Specification. SAF.ET1.ST MAN Chapter 3. October European Air Traffic Management - European Organisation for the Safety of Air Navigation Eurocontrol. [6] PSSA V2-1 - Preliminary System Safety Assessment. SAF.ET1.ST MAN October European Air Traffic Management - European Organisation for the Safety of Air Navigation Eurocontrol. [7] SSA V1-1 - System Safety Assessment. SAF.ET1.ST MAN October European Air Traffic Management - European Organisation for the Safety of Air Navigation Eurocontrol. [8] Camargo, J. B. Metodologia de Análise em Sistemas Computacionais de Aplicação Crítica. Tese de Livre Docência, Departamento de Engenharia de Computação e Sistemas Digitais. São Paulo, [9] Information Handlling Services SAE ARP4761, The Engineering Society For Advancing Mobility Land Sea Air and Space International. December [10] FAA UAS Experimental Certification Team - UAS NEWS - JANUARY JUNE 2008 Disponível em ww.faa.gov. Vitor Hugo Furtado (vhfurtado@usp.br) João Batista Camargo Jr. (joao.camargo@poli.usp.br) Jorge Rady de Almeida Júnior (jorge.almeida@poli.usp.br) Ricardo Alexandre Veiga Gimenes (ricardo.gimenes@poli.usp.br) Grupo de Análise de Segurança, Escola Politécnica, Universidade de São Paulo Av. Prof. Luciano Gualberto, travessa 3, n. 158, Cidade Universitária São Paulo, SP, Brasil 517