Académique Documents
Professionnel Documents
Culture Documents
IS N 21-002
Reviso A
Aprovao:
Assunto:
1.
OBJETIVO
Esta Instruo Suplementar IS visa orientar a emisso de Certificado de Autorizao de
Voo Experimental com base no Regulamento Brasileiro da Aviao Civil n 21 RBAC
21 para Veculos Areos No Tripulados VANT.
2.
REVOGAO
N/A.
3.
FUNDAMENTOS
3.1
O art. 114 da Lei n 7.565, de 19 de dezembro de 1986 (Cdigo Brasileiro de Aeronutica CBAer), dispe que nenhuma aeronave poder ser autorizada para o voo sem a
prvia expedio do correspondente Certificado de Aeronavegabilidade CA, que s
ser vlido durante o prazo estipulado.
3.2
O art. 8, XXXI da Lei n 11.182, de 27 de setembro de 2005, dispe que a competncia para emisso de CA cabe ANAC como autoridade de aviao civil.
3.3
A Resoluo n 30, de 21 de maio de 2008, considerando a redao dada pela Resoluo n 162, de 20 de julho de 2010, estabelece, em seu art. 14, que a ANAC pode emitir
IS para esclarecer, detalhar e orientar a aplicao de requisito previsto em RBAC.
3.4
3.5
Considerando o exposto nesta seo, esta IS objetiva detalhar e orientar a aplicao dos
requisitos do RBAC 21 aos Sistemas de Veculo Areo No Tripulado visando
emisso de um Certificado de Autorizao de Voo Experimental.
Origem: SAR/GTPN
1/21
05/10/2012
4.
IS n 21-002
Reviso A
DEFINIES
4.1
4.2
Componente crtico: Aquele que possui limite de utilizao para reviso, substituio,
teste e/ou calibrao previstos no programa de manuteno do fabricante. Estes limites
podem ser estipulados em horas de utilizao, nmero de pousos ou de ciclos, tempo calendrico, mtodos estatsticos de controle ou quaisquer outros mtodos de controle
predefinidos e aprovados; podem ser propostos pelos fabricantes (inicialmente e de
forma conservadora) ou pelos operadores (em funo de suas operaes especficas),
com a necessria aprovao e o acompanhamento da ANAC.
4.3
Condio de falha: Condio que tem efeito no RPAS e/ou na carga de trabalho de sua
equipe, tanto direta quanto indiretamente, que causada, no todo ou em parte, por uma
ou mais falhas e/ou erros, considerando fase de voo e condies operacionais ou ambientais adversas ou eventos externos.
4.4
4.5
Condies de falha remotas: condies de falha que no se espera ocorrerem com cada
RPAS durante todo seu ciclo de vida, mas que podem ocorrer vrias vezes quando considerada a vida operacional total de um nmero de RPAS do mesmo tipo.
4.6
4.7
4.8
4.9
Equipe de RPAS: Todos os membros de uma equipe com atribuies essenciais operao de um Sistema de Aeronave Remotamente Pilotada RPAS. (Retificado no Dirio Oficial da Unio de 23 de outubro de 2012, Seo 1, pgina 1).
4.10
Fabricante: Pessoa ou organizao que manufatura o RPAS, criando-o a partir de componentes e peas. Pode ou no ter projetado o RPAS.
4.11
4.12
Operao em linha de visada visual: operao em que o piloto ou o observador mantm contato visual direto com a RPA com vistas a manter as separaes previstas, bem
como prevenir colises.
4.13
Origem: SAR/GTPN
2/21
05/10/2012
IS n 21-002
Reviso A
4.14
4.15
Requerente: Pessoa que solicita ANAC e aos outros rgos governamentais as aprovaes e solicitaes necessrias operao do RPAS. Pode ser o fabricante ou o operador.
4.16
4.17
Sistema de terminao de voo: sistema que visa o trmino imediato do voo e a reduo da energia cintica no momento do impacto, mas no necessariamente garante a localizao da queda.
4.18
Sistema de Veculo Areo No Tripulado SISVANT: Aeronave e componentes associados destinados operao sem piloto a bordo.
4.19
Veculo Areo No Tripulado VANT: Aeronave projetada para operar sem piloto a
bordo e que no seja utilizada para fins meramente recreativos. Nesta definio, incluem-se todos os avies, helicpteros e dirigveis controlveis nos trs eixos, excluindose, portanto, os bales tradicionais e os aeromodelos.
5.
DESENVOLVIMENTO DO ASSUNTO
5.1
5.1.1
Geral
Aplicabilidade
Esta IS aplicvel a qualquer pessoa que pretenda obter Certificado de Autorizao de
Voo Experimental para aeronaves civis remotamente pilotadas no Brasil. (Retificado no
Dirio Oficial da Unio de 23 de outubro de 2012, Seo 1, pgina 1)
5.1.2
Abrangncia
Consideraes
Origem: SAR/GTPN
3/21
05/10/2012
IS n 21-002
Reviso A
5.1.3.1 Com um nmero cada vez maior de fabricantes, institutos de pesquisas e instituies
interessadas no projeto, na fabricao e na operao de Sistemas de Veculo Areo No
Tripulado SISVANT, vital que os regulamentos evoluam com os desenvolvimentos
tecnolgicos na rea, sem perder o foco nos assuntos de segurana de voo relacionados
operao simultnea de aeronaves tripuladas e no tripuladas. Pretende-se que esta IS seja
constantemente avaliada e revista, para lidar com os avanos da tecnologia, experincia da
indstria, reconhecimento de melhores prticas e mudanas nos regulamentos que sejam
desenvolvidos para satisfazer essas demandas.
5.1.3.2 Independentemente da posse de um Certificado de Autorizao de Voo Experimental
CAVE emitido segundo as orientaes desta IS, a operao de RPAS estar condicionada
autorizao do Departamento de Controle do Espao Areo DECEA, da Agncia
Nacional de Telecomunicaes ANATEL e, em alguns casos, do Ministrio da Defesa ou
do Comando da Aeronutica (vide 4 e 5 do Art. 8 da Lei 11.182, de 27 de setembro
de 2005).
5.1.3.3 Considerando limitaes constantes do Certificado de Autorizao de Voo Experimental,
as operaes de RPAS no devem apresentar ou criar um risco maior, enquanto em voo ou
em solo, do que aquele atribudo a operaes de aeronaves tripuladas de classe ou
categoria equivalente para pessoas, propriedades, veculos ou outras aeronaves.
5.1.3.4 Em um RPAS, a aeronave pilotada por um piloto remoto situado em uma estao de
pilotagem remota localizada externamente aeronave (por exemplo, em uma estao de
solo, em um navio, em outra aeronave, no espao). O piloto monitora a aeronave o tempo
todo e possui responsabilidade direta pela operao segura da aeronave durante todo o voo.
Caso determinado pela autoridade competente, em funo da classe de espao areo e/ou
do tipo de operao, o piloto deve estar apto a comunicar via voz ou enlace de dados com o
controle de trfego areo e atender suas instrues. A atuao do Piloto em Comando da
RPA essencial para a operao segura da aeronave conforme ela interage com outras
aeronaves e com o sistema de gerenciamento de trfego areo.
5.1.3.5 A operao de aeromodelos no Brasil deve obedecer s regras especficas estabelecidas
pelos rgos competentes.
5.1.3.6 Todos os itens desta IS so aplicveis s RPA que se pretenda operar a mais de 400 ft
acima da superfcie terrestre (Above Ground Level AGL) ou alm da linha de visada
visual, ainda que abaixo desta altura. Esta IS tambm aplicvel s RPA com peso
mximo de decolagem superior a 25 kg, ainda que operando em linha de visada visual e
abaixo de 400 ft AGL.
5.1.3.7 Para a operao de RPA com peso mximo de decolagem igual ou inferior a 25 kg
operando a 400 ft ou menos acima da superfcie terrestre, em linha de visada visual, dos
itens seguintes, aplica-se a subseo 5.3 acrescida dos itens desta IS que a ANAC
considerar necessrios com base em uma anlise caso a caso.
5.1.4
4/21
05/10/2012
IS n 21-002
Reviso A
5/21
05/10/2012
IS n 21-002
Reviso A
XV- Descrio dos procedimentos em caso de perda dos enlaces de comando e controle e terminao de voo;
XVI- Lista de verificao de segurana, contendo verificaes para o pr-voo;
XVII- Manual de voo da aeronave (limites, desempenho, procedimentos normais,
anormais e de emergncia) e listas de verificao operacionais check-list (se
aplicvel);
XVIII- Descrio de quaisquer aspectos relevantes ou pouco usuais da operao do
RPAS;
XIX- Relatrio de Avaliao de Risco da operao experimental solicitada, conforme
orientaes do Apndice B desta IS;
XX- Para o propsito de pesquisa e desenvolvimento, os objetivos da experincia, o
tempo estimado ou nmero de voos requeridos pela experincia e as reas sobre as quais os voos de experincia sero conduzidos; e
XXI- Qualquer outra informao que a ANAC julgue importante para analisar a capacidade de operao segura do RPAS.
c) A ANAC realizar uma avaliao de segurana, baseada na documentao enviada, e,
se necessrio, poder solicitar visitas s instalaes do fabricante e, para propsitos
que no sejam pesquisa e desenvolvimento ou treinamento de tripulaes, poder ser
solicitada demonstrao em voo.
d) O requerente dever esclarecer ANAC os itens abertos durante a avaliao de segurana.
5.1.4.6 Emisso e Validade do CAVE
a) O Certificado de Autorizao de Voo Experimental ir conter as condies e limitaes
especficas para a operao do RPAS.
b) O CAVE indicar para qual(is) dos propsitos foi emitido.
c) Caso o RPAS no atenda aos requisitos necessrios, e o CAVE for negado, a ANAC informar ao requerente, por carta, sobre a recusa na emisso do CAVE, declarando as
razes.
d) Conforme a seo 21.181 do RBAC 21, o CAVE emitido com uma validade de 1 ano
ou menos, de acordo com o critrio que a ANAC julgue mais adequado para a manuteno da segurana operacional.
e) possvel requerer a renovao do CAVE atravs de uma nova solicitao.
5.1.4.7 Cancelamento ou Suspenso do CAVE
a) O CAVE poder ser suspenso caso o registro da aeronave seja cancelado ou revogado.
Origem: SAR/GTPN
6/21
05/10/2012
IS n 21-002
Reviso A
Inspeo
5.1.5.1 Aps a concluso da avaliao de segurana para emisso de um CAVE, a ANAC poder
realizar uma inspeo local para determinar a aeronavegabilidade da aeronave.
5.1.5.2 Inspeo do RPAS
A documentao do RPAS e o prprio RPAS sero inspecionados pela ANAC para:
a) Verificar a documentao fornecida pelo fabricante para determinar se os requisitos de
registro foram cumpridos de acordo com o RBHA 47 ou documento que venha a
substitu-lo, bem como as consideraes do subpargrafo 5.1.6.4 desta IS.
b) Verificar se as marcas de nacionalidade e matrcula esto de acordo com o RBAC 45.
Caso no seja possvel marcar e identificar a aeronave de acordo com o RBAC 45
devido s suas dimenses reduzidas, as condies indicadas na alnea b) do subpargrafo 5.1.6.4 desta IS devero ser cumpridas.
c) Verificar se o sistema de controle de voo opera adequadamente.
d) Verificar se os motores, hlices e instrumentos associados operam de acordo com as
instrues do fabricante.
e) Verificar se todos os elementos da estao de pilotagem remota operam apropriadamente como demonstrado por verificaes normais de pr-voo.
f) Verificar o peso e balanceamento da aeronave.
g) Certificar que todos os documentos e registros requeridos para a operao do RPAS foram fornecidos.
h) Determinar que a configurao do sistema foi estabelecida e corresponde documentao analisada.
i) Verificar qualquer outro aspecto que a ANAC considere necessrio para a confirmao
adequada da aeronavegabilidade do RPAS.
5.1.6
7/21
05/10/2012
IS n 21-002
Reviso A
5.1.7.1 Todos os RPAS devem ser capazes de informar a posio e a altitude para o piloto em
comando, e este deve monitor-las continuamente. Isto ajuda o piloto em comando a
manter a conscincia situacional e assegurar que a aeronave permanea dentro dos limites
operacionais apropriados.
5.1.7.2 Todos os RPAS devem apresentar nveis mnimos de capacidade de subida e margem de
manobra, adequados sua misso, levando em conta as propores fsicas do veculo e a
faixa de velocidades de operao. Tais capacidades devem ser suficientes para garantir a
Origem: SAR/GTPN
8/21
05/10/2012
IS n 21-002
Reviso A
Aeronavegabilidade Continuada
Consideraes Gerais
9/21
05/10/2012
IS n 21-002
Reviso A
procedimentos do fabricante.
5.2.2
10/21
05/10/2012
IS n 21-002
Reviso A
5.2.2.3 As inspees e manutenes do RPAS devem ser registradas nos registros de manuteno
do RPAS. As seguintes informaes devem ser registradas:
a) Descrio do trabalho executado.
b) Data de concluso do trabalho.
c) O tempo total de servio do RPAS.
d) O nome e a assinatura da pessoa que executou a tarefa.
5.2.3
5.3
5.4
5.4.1
5.4.2
As estaes utilizadas a bordo das aeronaves ou as estaes em terra devem ser licenciadas
e os equipamentos de radiocomunicao, incluindo os sistemas radiantes, devem possuir
certificao expedida ou aceita pela ANATEL, de acordo com a regulamentao vigente.
6.
APNDICES
Apndice A Lista de Siglas
Apndice B Relatrio de Avaliao de Risco para Emisso de CAVE para Aeronaves
Remotamente Pilotadas (Retificado no Dirio Oficial da Unio de 23 de outubro de 2012,
Seo 1, pgina 1).
7.
DISPOSIES FINAIS
7.1
7.2
Origem: SAR/GTPN
11/21
05/10/2012
IS n 21-002
Reviso A
12/21
05/10/2012
IS n 21-002
Reviso A
Origem: SAR/GTPN
13/21
05/10/2012
IS n 21-002
Reviso A
OBJETIVO
B1.1
B1.2
Uma avaliao de risco consiste na identificao dos perigos e na sua classificao quanto
sua severidade e probabilidade de ocorrncia, como forma de dimensionar os riscos existentes e permitir sua comparao com um nvel de risco considerado aceitvel.
B1.3
Para os objetivos desta Instruo Suplementar, a avaliao de risco dever permitir a concluso quanto aceitabilidade dos riscos identificados, tendo em vista o exposto no item
5.1.3.3 desta IS.
B1.4
B1.5
Este Apndice estabelece um meio aceitvel para que um requerente de CAVE para RPAS
desenvolva uma Avaliao da Segurana de Sistemas (System Safety Assessment SSA)
como forma de atender a necessidade de elaborao de um Relatrio de Avaliao de Risco.
B1.6
Um requerente pode propor um meio alternativo, desde que a ANAC entenda que um
meio aceitvel de cumprimento com os requisitos aplicveis do RBAC. No entanto, ao optar por usar os meios descritos neste Apndice, o requerente deve atend-lo em todos os
seus aspectos.
B2.
DESENVOLVIMENTO DO ASSUNTO
B2.1
Conceitos gerais
B2.1.1 Uma avaliao da segurana do RPAS deve ser realizada para demonstrar que o sistema
apresenta um nvel de segurana aceitvel, ou seja, que o projeto tem caractersticas
compatveis com o propsito e o tipo de operao a serem autorizados pela ANAC.
B2.1.2 Neste documento, so apresentadas linhas gerais sobre como conduzir esse processo, sendo
que informaes mais detalhadas podem ser encontradas na Advisory Circular AC
23.1309-1, publicada pela Federal Aviation Administration FAA, e na Aerospace
Recommended Practice ARP 4761, publicada pela Society of Automotive Engineers
SAE International, nas suas revises mais recentes.
B2.1.3 A Avaliao da Segurana de Sistemas deve considerar o projeto dos sistemas do RPAS e
no deve ser restrita apenas aeronave em si.
Origem: SAR/GTPN
14/21
05/10/2012
IS n 21-002
Reviso A
B2.1.4 O processo de SSA deve ser planejado e gerenciado de modo a fornecer a garantia
necessria de que todas as condies de falha relevantes foram identificadas e todas as
combinaes significativas de falhas que poderiam causar tais condies foram
consideradas.
B2.1.5 O processo de SSA de um RPAS uma avaliao sistemtica e compreensiva do sistema
implementado para demonstrar que os objetivos de segurana foram alcanados.
B2.1.6 Para a avaliao, o requerente pode levar em conta medidas mitigadoras, como a
capacidade de recuperao de emergncias, se disponvel. No entanto, a existncia de tal
capacidade no deve ser usada como compensao para quaisquer falhas ou no
cumprimentos, uma vez que a histria da indstria aeronutica demonstra que a segurana
de um projeto no deve se apoiar em um nico pilar.
B2.1.7 Uma SSA tipicamente envolve, mas no se limita a, uma anlise quantitativa dos eventos
considerados mais crticos, como forma de garantir que o projeto apresenta um nvel de
segurana aceitvel. No entanto, a anlise quantitativa no ser sempre exigida para
emisso de um CAVE, sendo apenas requerida, a critrio da ANAC, dependendo da
complexidade do RPAS, dimenses e pesos, riscos da operao pretendida (por exemplo,
operao em espao areo no segregado) e propsito do certificado.
B2.1.8 Desta forma, uma anlise de segurana de sistemas neste estgio dever contemplar, pelo
menos, as seguintes etapas:
a) Anlise Geral de Segurana de Sistemas para CAVE;
b) Functional Hazard Assessment FHA;
c) Fault Tree Analysis FTA ou Dependence Diagram DD;
d) Failure Modes and Effects Analysis FMEA;
e) Sumrio da Avaliao.
B2.1.9 Caso seja considerado necessrio, de acordo com o risco apresentado em funo de
dimenses fsicas, tipo de operao ou outros critrios, a ANAC poder requerer anlises
adicionais.
B2.1.10 esperado que, ao final desse processo, seja possvel determinar, com razovel confiana,
o nvel de segurana do projeto avaliado.
B2.2
B2.2.1 O objetivo da Anlise Geral de Segurana de Sistemas fazer uma primeira anlise dos
requisitos de segurana dos sistemas e determinar se razovel esperar que a arquitetura
proposta satisfaa os objetivos de segurana que sero identificados pelo FHA.
B2.2.2 Como se trata de um processo iterativo, em que anlises subsequentes podem levar
reavaliao de premissas adotadas nos estgios iniciais, esperado que esta anlise seja
realimentada com resultados das anlises subsequentes.
Origem: SAR/GTPN
15/21
05/10/2012
IS n 21-002
Reviso A
B2.2.3 A anlise geral deve identificar as estratgias de proteo, levando em conta o conceito de
fail-safe e os atributos de arquitetura que podem ser necessrios para satisfazer os objetivos
de segurana.
B2.2.4 O conceito de projeto fail-safe considera os efeitos de falhas e de combinaes de falhas na
definio de um projeto seguro.
B2.2.4.1 Os seguintes objetivos bsicos relativos a falhas so aplicveis:
a) Em qualquer sistema ou subsistema, a falha de qualquer elemento, componente ou conexo nica durante qualquer voo deve ser presumida, independentemente de sua
probabilidade. Tais falhas simples no devem ser catastrficas.
b) Falhas subsequentes durante o mesmo voo, quer sejam evidentes ou latentes, e suas
combinaes devem ser assumidas, a menos que seja demonstrado que sua probabilidade conjunta com a primeira falha extremamente improvvel.
B2.2.4.2 O conceito de fail-safe usa os seguintes princpios ou tcnicas de projeto como forma de
garantir um projeto seguro:
a) Integridade ou qualidade projetada, incluindo limites de vida, para garantir a funo
pretendida e prevenir falhas;
b) Redundncia ou sistemas de backup para permitir funcionamento continuado aps qualquer falha simples (ou outra combinao definida de falhas);
c) Isolao ou segregao de sistemas, componentes e elementos de modo que a falha de
um no cause a falha de outro;
d) Confiabilidade comprovada de maneira que no seja esperado que falhas mltiplas e independentes ocorram durante o mesmo voo;
e) Alerta ou indicao de falhas para fornecer capacidade de deteco;
f) Procedimentos para a Equipe de RPAS especificando aes corretivas a serem tomadas
aps a deteco da falha;
g) Conteno de efeitos de falhas, incluindo a capacidade de suportar danos, para limitar o
impacto na segurana ou os efeitos de uma falha;
h) Controle ou direcionamento dos efeitos de uma falha de uma maneira que limite seu
impacto em segurana.
i) Margens ou fatores de segurana para lidar com condies adversas indefinidas ou no
previsveis.
j) Tolerncia a erro que considere efeitos adversos ou erros previsveis durante o projeto,
teste, fabricao, operao e manuteno do RPAS.
B2.2.4.3 O uso de apenas um desses princpios ou tcnicas raramente adequado. Uma combinao
de dois ou mais geralmente necessria para fornecer um projeto fail-safe, isto , garantir
Origem: SAR/GTPN
16/21
05/10/2012
IS n 21-002
Reviso A
que as condies de falha major sejam remotas, condies de falha hazardous sejam
extremamente remotas e condies de falha catastrficas sejam extremamente
improvveis.
B2.2.4.4 Para isso, o fabricante deve identificar e capturar todos os requisitos de segurana de
sistema (por exemplo, estratgias de proteo, tais como particionamento, uso de software
certificado, uso de equipamento j certificado para emprego em aeronave tripulada,
dissimilaridade, monitoramento, dispositivos de recuperao de emergncias etc.).
B2.2.4.5 Uma vez que os RPAS apresentam grande dependncia do funcionamento dos seus
sistemas para a realizao de um voo seguro, e que sistemas sujeitos a falhas com
criticalidade hazardous ou catastrfica em geral contm redundncia, recomendado que
os sistemas redundantes no estejam sujeitos a falhas de modo comum.
B2.2.4.6 Quando usando sistemas eletrnicos bastante integrados e complexos, existe a
possibilidade de que anlises de segurana utilizadas para determinar riscos em sistemas
tradicionais, no complexos, no sejam suficientes. Portanto, recomenda-se que,
adicionalmente, sejam consideradas outras tcnicas, como development assurance process
ou tcnicas de anlise e avaliao estruturada aplicada no nvel aeronave, se necessrio, ou
pelo menos considerando os sistemas integrados ou interativos. O uso sistemtico destas
tcnicas aumenta a confiana de que os erros nos requisitos ou projeto dos sistemas e os
efeitos de integrao e interao foram adequadamente identificados e corrigidos.
B2.2.4.7 A Anlise Inicial de Segurana de Sistemas deve conter uma anlise qualitativa sobre as
caractersticas adotadas para lidar com o risco de abalroamento (coliso em voo ou em solo
com outra aeronave). Para isso, devem ser elencadas medidas mitigadoras que podem
incluir, por exemplo, uso de transponder, de cmeras para monitoramento do espao areo
prximo, caractersticas de visibilidade da aeronave, dentre outras, e ainda, dependendo do
tipo de operao, limitaes operacionais e dimenses fsicas da aeronave.
B2.2.4.8 Tambm deve ser apresentada uma anlise qualitativa associada ao risco de atos de
interferncia ilcita contra o sistema de comando e controle C2 da aeronave. Devem ser
apresentadas as caractersticas do sinal utilizado, tcnicas de criptografia adotadas,
caractersticas de salto em frequncia e/ou qualquer outra medida adotada pelo fabricante
para lidar com esse risco.
B2.3
17/21
05/10/2012
IS n 21-002
Reviso A
Capacidade de se comunicar com o controle de trfego areo e outros elementos da equipe de RPAS;
No Safety
Effect
Condio de
falha que no
tem efeito em
segurana.
Origem: SAR/GTPN
Minor
Condio de falha
que no reduz significativamente a
segurana do RPAS
e envolve aes da
equipe de RPAS que
esto facilmente
dentro de suas capacidades.
Este tipo de condio pode incluir
uma pequena reduo nas margens de
segurana ou nas
capacidades funcionais, e um pequeno
aumento na carga de
trabalho da equipe
de RPAS.
Major
Hazardous
Catastrophic
18/21
05/10/2012
Probabilidade
Admissvel
B2.4
IS n 21-002
Reviso A
Qualquer
probabilidade
Provvel
Remota
Extremamente
Remota
Extremamente
Improvvel
B2.4.1 Entre os diversos mtodos que podem ser usados como auxlio anlise qualitativa,
existem dois particularmente indicados para a avaliao proposta neste documento: Fault
Tree Analisys e Dependence Diagram. Estes dois mtodos so, de certa forma,
equivalentes, de modo que a adoo de apenas um deles considerada suficiente. Ambos
auxiliam na identificao dos fatores que contribuem para a ocorrncia de uma
determinada condio de falha e na compreenso de como estes fatores precisam ser
combinados para que a condio de falha ocorra. Desta forma, tais mtodos auxiliam, por
exemplo, a identificar possveis falhas simples e a avaliar as caractersticas fail-safe do
projeto, bem como a identificar pontos especficos onde a insero de melhorias traria
ganhos mais significativos para o projeto como um todo. Desta forma, um destes mtodos
deve ser utilizado para analisar, no mnimo, todas as falhas identificadas no FHA com
criticalidade hazardous ou catastrfica. Uma breve descrio de cada um destes mtodos
apresentada a seguir.
B2.4.2 Fault Tree Analysis
B2.4.2.1 A FTA uma anlise de falhas dedutiva, que se concentra em um evento indesejado em
particular e, a partir deste, prov um mtodo para a determinao de suas causas. Trata-se
de um procedimento analtico (top-down) de avaliao do sistema no qual um modelo
qualitativo para um evento indesejado em particular construdo e, em seguida, avaliado.
Inicia-se com um evento indesejado e, de maneira sistemtica, determina-se, um nvel
abaixo, todas as falhas simples e combinaes de falhas de blocos funcionais que podem
causar tal evento. Cada nova falha ou combinao desenvolvida sucessivamente, segundo
o mesmo procedimento, at um nvel de detalhe que no justifique desenvolvimento
adicional, ou seja, quando o nvel de detalhe for tal que seja possvel identificar que foram
satisfeitos os requisitos de segurana para o evento indesejado em questo. A cada evento
obtido no nvel mais baixo de uma rvore de falhas, aps seu completo desenvolvimento,
d-se o nome de Evento Primrio.
B2.4.2.2 O desenvolvimento de cada evento indesejado apresentado graficamente, de maneira
hierrquica, fazendo uso de smbolos que representem a lgica pela qual os elementos
interconectados se relacionam, permitindo fcil visualizao das combinaes de fatores
que contribuem para a ocorrncia de uma condio de falha.
B2.4.3 Dependence Diagram
B2.4.3.1 O mtodo do Dependence Diagram pode ser usado como alternativa para a representao
das informaes de uma FTA. Este mtodo tem uma representao grfica distinta da
representao de uma FTA, mas que serve aos mesmos propsitos. A principal diferena
do DD em relao FTA que ele no faz uso de smbolos lgicos para representar a
relao entre os elementos. A lgica entre os elementos de um DD representada por meio
de ligaes em srie ou em paralelo. Alm disso, os DD no contm elementos
representativos de eventos intermedirios, sendo que suas caixas representam somente
aqueles eventos que, na FTA, so denominados Eventos Primrios.
B2.4.3.2 Cada DD representa um evento indesejvel em particular, ou seja, uma condio de falha.
Origem: SAR/GTPN
19/21
05/10/2012
IS n 21-002
Reviso A
Faz-se uso de caixas retangulares, cada uma das quais representa um evento de falha
(Evento Primrio) que contribui para a condio de falha. As caixas so conectadas umas
s outras de modo a representar a relao lgica entre elas para a ocorrncia da condio de
falha. Ligaes em srie representam a lgica "OU", enquanto ligaes em paralelo
representam a lgica "E".
B2.5
B2.5.1 Uma FMEA um mtodo sistemtico de sntese (bottom-up) para identificar os modos de
falha de um sistema, item ou funo e determinar quais os seus efeitos no prximo nvel
superior. Ela pode ser realizada em qualquer nvel dentro de um sistema (isto ,
componente, equipamento, sistema etc.). Para os efeitos deste documento, a ANAC
recomenda que a FMEA seja realizada no nvel equipamento.
B2.5.2 Existem dois tipos bsicos de FMEA: funcional e piece-part. FMEA funcionais so
tipicamente realizadas para apoiar a avaliao da segurana, enquanto FMEA piece-part
so realizadas conforme necessrio, para fornecer um maior refinamento das taxas de
falha. Dados os fundamentos que apiam a elaborao deste documento, sero tipicamente
requeridas apenas FMEA funcionais, sendo que FMEA piece-part sero requeridas apenas
quando julgadas necessrias dentro um contexto mais amplo.
B2.5.3 O efeito de cada modo de falha deve ser determinado levando-se em considerao a forma
como a funo est inserida no conceito geral do projeto.
B2.5.4 Desta forma, a FMEA deve tipicamente incluir as seguintes informaes:
a) Identificao do equipamento;
b) Modos de falha;
c) Efeitos da falha (diretamente e/ou no prximo nvel mais alto);
d) Detectabilidade e meios de deteco;
e) Medidas compensatrias (manuais ou automticas);
f) Fase(s) de voo em que a falha ocorre;
g) Severidade dos efeitos da falha.
B2.6
B2.6.1 Para os efeitos deste documento, considera-se que a Avaliao da Segurana de Sistemas
do RPAS demonstra que o projeto atinge um nvel aceitvel de segurana quando:
a) Os objetivos do FHA e do projeto fail-safe forem cumpridos;
b) O nvel de segurana projetado for compatvel com o risco decorrente das caractersticas
fsicas e de operao do RPAS; e
Origem: SAR/GTPN
20/21
05/10/2012
IS n 21-002
Reviso A
Origem: SAR/GTPN
21/21