Académique Documents
Professionnel Documents
Culture Documents
494
RESUMO
A integrao de Veculos Areos No Tripulados (VANT) no Espao Areo Civil ainda possui grandes barreiras
que passam pelos domnios de regulamentao corrente, falta de experincia operacional e deficincias
tecnolgicas. Para a utilizao de VANTs no espao areo brasileiro, novos estudos sobre metodologias de
anlise e tecnologias devero ser incorporados aos sistemas de controle atuais, promovendo uma convivncia
segura e confivel entre aeronaves tripuladas e no tripuladas. Um cenrio de inovaes tecnolgicas, como o
caso do CNS/ATM, torna-se um facilitador desta integrao entre o universo tripulado e no tripulado. O
objetivo deste trabalho determinar diretrizes para a integrao de aeronaves no tripuladas no espao areo
brasileiro. Estas diretrizes possibilitam a construo de um Modelo de Risco para VANT que identifique as
etapas necessrias para se alcanar o nvel de Confiabilidade e Segurana Crtica (Safety) desejados e como a
Segurana Crtica pode ser calculada para quantificar o Risco envolvido. Nesse caminho, este estudo baseia-se
em metodologias tais como a SAM (Safety Assessment Methodology), desenvolvida pelo Eurocontrol. A SAM
descreve um processo para a certificao de Segurana Crtica de Sistemas de Navegao Area Tripulados que
pode fornecer uma referncia aos Sistemas de Navegao Area No Tripulados. Desta forma, este estudo
tambm ir permitir a identificao de diferentes necessidades do Gerenciamento de Trfego Areo para uma
futura integrao de VANTs. Como resultado, este estudo oferece diretrizes que auxiliem na definio de normas
e leis e conseqente certificao de aeronaves no tripuladas no espao areo brasileiro para uso segregado e no
segregado, ainda no existentes no Brasil.
ABSTRACT
Unmanned Air Vehicles (UAV) integration in the Civilian Airspace still faces great barriers that go through the
current regulations domain, lack of operational experience and technological deficiencies. For the use of UAVs
in the Brazilian airspace, new studies on analysis and technologies methodology will have to be incorporated to
the current control systems, providing a safe and reliable coexistence between manned and unmanned aircraft. A
technological innovation scenario, as is the CNS/ATM case, becomes a facilitator of this integration between the
manned and unmanned universe. The aim of this work is to determine directives for the integration of unmanned
aircraft in the Brazilian airspace. These directives allow the construction of a Risk Model for UAV that identifies
the necessary stages in order to reach the required level of Reliability and Safety and how Safety can be
calculated to quantify the involved Risk. In this way, this study is based on methodologies such as SAM (Safety
Assessment Methodology), developed by the Eurocontrol. SAM describes a process for the Safety certification
of Manned Air Traffic Systems that can be a reference to the Unmanned Air Traffic Systems. Furthermore, this
study also will allow the identification of different needs of Air Traffic Management for a future integration of
UAVs. Therefore, this study offers directives that can help in the definition of standards and laws and
consequent certification of unmanned aircraft in the Brazilian airspace for segregated and non segregated use,
still nonexistent in Brazil.
1. INTRODUO
Veculo Areo No Tripulado (VANT) um termo genrico que identifica uma aeronave que
pode voar sem tripulao, normalmente projetada para operar em situaes perigosas e
repetitivas em regies consideradas hostis ou de difcil acesso. Existe uma grande diversidade
de tipos de VANTs, muitos deles ganhando nfase na esfera civil e tornando-se uma opo
vlida no cenrio comercial atual.
506
Sitraer 7 (2008) 506-517 Tr. 494
H um grande mercado que est emergindo a partir de aplicaes e servios potenciais que
podem ser oferecidos pelas aeronaves no tripuladas. Mais precisamente, VANTs podem ser
aplicados em misses chamadas de D-cubo (Dangerous-Dirty-Dull), isto , misses
identificadas como perigosas, sujas e/ou enfadonhas. Quando se considera o VANT em
aplicaes civis, h um grande escopo de cenrios possveis para sua utilizao. Por exemplo,
pesquisa ambiental remota, monitorao e certificao de poluio, gerenciamento de
queimadas, segurana, monitorao de fronteira, oceanografia, agricultura e aplicaes de
pesca. Em geral, todas estas aplicaes podem ser divididas em quatro grandes grupos:
aplicaes ambientais, aplicaes de segurana, aplicaes de comunicao e aplicaes de
monitoramento [1].
2. MOTIVAO
No Brasil, os VANTs esto se tornando uma realidade cada vez maior, com aplicaes
voltadas principalmente rea da agricultura, vigilncia e monitorao de recursos. Empresas
como a Embrapa precisam de imagens areas que auxiliem na identificao de irregularidades
no plantio, controle de doenas e pragas, pulverizao adequada e formem uma base de dados
que maximize o resultado de uma colheita. A Chesf, empresa de distribuio de energia do
Nordeste, necessita gerenciar sua planta externa para atender s exigncias de empresas
reguladoras, monitorando recursos como cabos e postes. Para o controle destes recursos, por
serem distribudos em grandes extenses territoriais no pas e, em muitas vezes, em reas de
difcil acesso por via terrestre, o VANT se torna uma importante ferramenta contra roubos e a
deteriorao de equipamentos. A Petrobrs outra grande empresa que busca investir nos
VANTs, pois os dutos que conduzem seu precioso recurso precisam de constante monitorao
contra vazamentos e desvios inesperados.
507
Sitraer 7 (2008) 506-517 Tr. 494
De acordo com [1], o controle da misso e da carga til so os principais gargalos que podem
impedir o desenvolvimento real de VANTs no setor civil. Os VANTs militares usam projetos
de controle especficos, especialmente sob medida para a misso de vigilncia que eles devem
executar. No entanto, um VANT civil deveria ser capaz de implementar uma grande
variedade de misses com um pequeno tempo de reconfigurao e overhead, caso a aplicao
tenha a necessidade de ser economicamente vivel.
3. O SISTEMA VANT
O Controle de Trfego Areo brasileiro ainda no est devidamente preparado pra aplicaes
com VANTs. Ser preciso, alm de uma legislao a respeito, recursos computacionais e
treinamentos adequados para os controladores de trfego areo e pilotos. Estaes de
Controle de VANTs devero comunicar-se com as estaes de controle tradicionais, e estas
com as aeronaves, sejam elas tripuladas ou no. Sistemas anti-coliso pr-ativos e
colaborativos precisam ser implementados, permitindo a convivncia entre o mundo tripulado
e o no tripulado. Pr-ativos quando os equipamentos a bordo das aeronaves ou em solo
identificam ameaas e riscos de coliso, e avisam aos sistemas de controle das aeronaves a
alternativa mais adequada para evitar um desastre areo. Colaborativos quando os prprios
pilotos so parte ativa na preveno do acidente, com equipamentos a bordo que ajudem a
monitorar o espao ao redor e sua rota, sem que o controlador precise intervir a todo instante,
em solo.
Isso possvel hoje, principalmente devido presena de uma nova forma de monitorao
baseada no CNS/ATM, sucessor do atual conceito de sistema de trfego areo, o qual se baseia
em novas tecnologias digitais aplicadas comunicao, vigilncia, navegao e ao
gerenciamento do trfego areo. A implementao de comunicao de dados digitais e de
navegao por satlite, entre outras tecnologias, permitiria obter maiores nveis de automao e de
acurcia no controle do trfego areo e, a princpio, minimizaria as restries existentes no
sistema de transporte areo atual. Por conseqncia, seria possvel atender crescente demanda
por trfego areo, mantendo-se (ou, de preferncia, elevando-se) os nveis de segurana atuais [2].
A figura 1 contempla as melhorias em cada um dos elementos que compe o paradigma
CNS/ATM.
508
Sitraer 7 (2008) 506-517 Tr. 494
O VANT surge nesse cenrio, onde o espao areo que, em sua quase totalidade, composto
por veculos tripulados, e est passando por uma reestruturao a fim de ampliar sua
capacidade, respondendo a novas demandas, sem que com isso tenha sua segurana
negligenciada. A ampliao de rotas e o distanciamento entre as aeronaves a resposta s
novas necessidades da aviao civil. A chegada de um novo paradigma de aeronaves no pode
interferir negativamente neste ambiente. preciso uma adaptao, da forma mais transparente
possvel, com riscos devidamente calculados.
A altitude outra varivel importante na integrao dos VANTs. Se as altitudes forem baixas,
preciso tomar cuidado com prdios, casas e at mesmo aeroportos, devido a provveis
509
Sitraer 7 (2008) 506-517 Tr. 494
As normas de integrao devem levar em conta todos esses aspectos. Regras menos restritivas
podem ser aplicadas para aquelas aeronaves cuja rea de atuao seja um espao areo
segregado com baixa densidade de trfego. Por outro lado, regras mais severas podem e
devem ser consideradas em espaos areos no segregados, em meio a uma grande variedade
de rotas e uma alta densidade de trfego.
O processo de certificao deve levar em conta tambm objetos que esto abaixo das
aeronaves. Construes como pontes, edifcios, reas residenciais e estradas so alvos fceis
na queda de um avio. Se um VANT descontrolado cair sobre uma rea residencial ou uma
ponte poder causar uma imensa perda econmica e, no pior caso, danos a vidas humanas e
impactos ambientais. Estudos dos efeitos do impacto de uma aeronave no tripulada em solo
devem levar em conta o tamanho desta aeronave, peso, velocidade, potencial de exploso,
dentre outras variveis. Medidas de reduo de severidade, como a exploso da aeronave
ainda no ar, evitando um estrago maior em solo, devem ser levadas em considerao.
Mesmo que se diga que uma aeronave no tripulada estar limitada a uma determinada
altitude, sobrevoando uma regio restrita, no se pode garantir que ela no ultrapassar estes
limites. No clculo de risco, ser preciso determinar com que probabilidade uma aeronave
poder sair de sua rota ou do plano de vo a que foi programada.
As polticas de segurana devem definir uma relao entre a segurana crtica e os demais
objetivos do sistema que est sendo avaliado, tais como, confiabilidade, disponibilidade,
segurana e custos. A anlise de risco avalia a importncia relativa do perigo e permite avaliar
sua aceitabilidade ou no [8].
510
Sitraer 7 (2008) 506-517 Tr. 494
Um dos mtodos conhecidos para determinao de risco aceitvel o ALARP (As Low As
Reasonable Practible). A aplicao deste mtodo significa tentar reduzir o nvel de risco de
um sistema a valores to baixos quanto relao entre o ganho e o investimento for aceitvel
[8].
O risco aceitvel ou tolervel aquele com o qual podemos conviver, obtendo os benefcios
do funcionamento do sistema. A norma IEC 61508-1 define nveis de integridade de
segurana SIL (Safety Integrity Level) para sistemas que operam em regime de baixa demanda
e sistemas que operam em regime de alta demanda ou de modo contnuo [8]. A tabela 1
abaixo apresenta os quatro nveis SIL existentes:
Considerando o estudo feito por [8], para determinar o nvel de integridade de segurana
crtica, o VANT no espao areo nacional um sistema de alta demanda que tem como
conseqncia do risco, a morte de vrias pessoas, com exposio ao perigo de freqente a
permanente, sendo possvel de ser evitado sob certas condies e probabilidade relativamente
alta de que as ocorrncias indesejveis acontecero. De acordo com a classificao
apresentada em [8], portanto, este sistema tem o SIL igual a 4 (quatro), com falha insegura
por hora () variando de 10-9 a 10-8 .
Durante a anlise de risco, qualquer indcio ou suspeita que possa vir a provocar um acidente
deve ser considerado. Portanto fundamental uma atividade de garantia da segurana atuando
em cada uma das fases do ciclo de vida do sistema. Da a importncia em se adotar e
511
Sitraer 7 (2008) 506-517 Tr. 494
desenvolver metodologias e mtodos que cada vez mais assegurem a qualidade dos trabalhos
desenvolvidos na garantia da segurana de sistemas, de forma que se obtenham sistemas de
funcionamento robusto [8].
Avaliar e certificar VANTs ainda um desafio internacional, tal como se tem observado nos
relatrios da FAA UAS Experimental Certification Team [10]. Desta forma, visando obter
caminhos nacionais para a certificao de VANTs, a proposta apresentada neste artigo de
que a Safety Assesment Methodology (SAM), desenvolvida pelo Eurocontrol com o objetivo
de garantir Segurana Crtica para um sistema de navegao area tradicional, tambm possa
ser utilizada para a avaliao de veculos areos no tripulados.
Quo segura a
arquitetura do PRELIMINARY
PROJETO DO
Sistema pode SYSTEM SAFETY MUDANAS
SISTEMA
ser? ASSESSMENT
MUDANAS DESASSOCIAO
512
Sitraer 7 (2008) 506-517 Tr. 494
O FHA atua na definio do sistema e pergunta o quo seguro o sistema precisa ser para
alcanar um risco aceitvel. O segundo passo, o PSSA, atua no projeto do sistema e questiona
se a arquitetura que est sendo proposta capaz de alcanar um risco aceitvel. O SSA o
ltimo nvel e tem relao com a implementao e integrao do sistema, nele surge a questo
se o que est sendo implementado alcana um risco aceitvel. Em todas as fases a segurana
crtica analisada e busca-se minimizar a distncia do nvel de segurana crtica que foi
requisitado para o nvel realmente implementado.
A conduo do FHA acontece justamente no momento do ciclo de vida em que o sistema est
sendo definido e os objetivos de segurana crtica a serem alcanados devem ser anunciados.
1) Identificar os danos em potencial: o que poderia dar errado com o sistema e o que
poderia ocorrer se isto acontecesse;
2) Identificar os efeitos dos danos: como a segurana das operaes de controle e da
aeronave afetada;
3) Certificar a severidade dos efeitos dos danos: quo severos seriam esses efeitos;
4) Especificar os objetivos da segurana: qual freqncia pode ser aceitvel ocorrncia
do dano;
5) Certificar o risco agregado pretendido: qual o nvel de segurana previsto?
Isto possibilita formalizar os modos de falhas que o VANT venha a ter e possveis danos
conseqentes destas falhas. O forte impacto psicolgico perante a sociedade ainda faz com
que o uso de VANTs tenha graus de exigncia maiores que as aeronaves tripuladas. Desta
forma, a tolerncia a falhas menor e, conseqentemente, o processo de avaliao de perigos
deve ser rgido o suficiente para sua aceitao.
513
Sitraer 7 (2008) 506-517 Tr. 494
nvel do sistema, com uma lista de premissas, danos e seus objetivos de segurana associados.
A lista de danos e objetivos de segurana vem do FHA e completada durante o PSSA.
Papel do PSSA
Funes do Sistema
Objetivos da
Segurana (Safety)
Arquitetura
do Sistema
Procedimentos RS = Requisitos de
AT COs Equipamentos
Operacionais Segurana
RS RS RS
Interface Homem-
Hardware Software
Mquina
RS RS RS
Figura 3: Papel do PSSA [6]
Os requisitos de segurana, para VANTs, precisam ser reescritos, uma vez que a arquitetura e
o modelo de seu funcionamento so diferentes da aviao tradicional. Por exemplo, os
VANTs no possuem, necessariamente a Interface Homem-Mquina (presente na Figura 3) e,
assim, a princpio, no necessitaria de requisitos de segurana para este caso. Porm, algumas
vezes, ela pode existir, mesmo que distante da aeronave, quando operada remotamente. Seus
requisitos de segurana, neste caso, envolvem fatores de disponibilidade e confiabilidade na
transmisso dos dados da aeronave ao centro de controle e deste at a aeronave. Porm, os
requisitos gerais de segurana so os mesmos, sejam os vos tripulados ou no.
514
Sitraer 7 (2008) 506-517 Tr. 494
O SSA integra os resultados das vrias anlises para verificar a segurana crtica do sistema
como um todo e para cobrir todas as consideraes de segurana crtica identificadas no
PSSA. O processo de certificao inclui as seguintes informaes [9]:
A varredura destes elementos citados fornece ao avaliador, uma estrutura formal dos fatores
envolvidos no uso do VANT, garantindo que novos fatores, ainda em estudo pela comunidade
cientfica, sejam expostos ao vo autnomo.
515
Sitraer 7 (2008) 506-517 Tr. 494
A falta de metodologia para a avaliao de VANTs, mesmo para o uso no espao areo
segregado, dificulta a diversificao do uso de VANTs para aplicaes civis. Desta maneira, a
busca por uma metodologia, tal como a SAM apresentada neste artigo, fortalece novos
investimentos nacionais, sem que ocorra uma dependncia na importao tanto de tecnologia
como de certificao para VANTs.
A diversidade de aplicaes que podem ser implementadas com o uso dessas aeronaves
justifica o uso adequado de uma metodologia que permita a convivncia entre os diferentes
modelos com tamanhos, pesos, capacidades, autonomia e velocidade diretamente ligados a
aplicao pela qual foram projetadas. A certificao ideal no auxilia a especificar o nvel
esperado de segurana crtica para uma nica aeronave, mas sim para todo o sistema do qual
ela faz parte. O veculo areo no tripulado se relaciona com seus pares de mesma categoria e
funo, e tambm com outras aeronaves no tripuladas de diferentes aplicaes, alm do j
estabelecido universo tripulado e todo o sistema de controle de trfego areo.
REFERNCIAS BIBLIOGRFICAS
[1] Pastor, E., Lopes, J. and Royo, P. UAV Payload and Mission Hardware/Software Architecture. IEEE
A&E Systems Magazine. June 2007.
[2] Vismari, L. F., Camargo, J. B. Vigilncia Dependente Automtica no Controle de Trfego Areo:
Avaliao de Risco Baseada em Modelagem em Redes de Petri Fluidas e Estocsticas. Dissertao de
Mestrado, Escola Politcnica da Universidade de So Paulo, 2007.
[3] GALOTTI, V. P; The Future Air Navigation System: Communication, Navigation, Surveillance, Air
Traffic Management. 1 Edio. England: Ashgate Publishing Company, 1997.
516
Sitraer 7 (2008) 506-517 Tr. 494
[4] Sam V2.1 - Air Navigation System Safety Assessment Methodology. SAF.ET1.ST03.1000-MAN-01. 03
October 2006. European Air Traffic Management - European Organisation for the Safety of Air
Navigation Eurocontrol.
[5] FHA V2-0 Safety Objectives Specification. SAF.ET1.ST03.1000-MAN-01-01-03. Chapter 3. October
2006. European Air Traffic Management - European Organisation for the Safety of Air Navigation
Eurocontrol.
[6] PSSA V2-1 - Preliminary System Safety Assessment . SAF.ET1.ST03.1000-MAN-01-02-00. October
2006. European Air Traffic Management - European Organisation for the Safety of Air Navigation
Eurocontrol.
[7] SSA V1-1 - System Safety Assessment . SAF.ET1.ST03.1000-MAN-01-03-00. October 2006. European
Air Traffic Management - European Organisation for the Safety of Air Navigation Eurocontrol.
[8] Camargo, J. B. Metodologia de Anlise em Sistemas Computacionais de Aplicao Crtica. Tese de Livre
Docncia, Departamento de Engenharia de Computao e Sistemas Digitais. So Paulo, 2002.
[9] Information Handlling Services SAE ARP4761, The Engineering Society For Advancing Mobility Land
Sea Air and Space International. December 1999.
[10] FAA UAS Experimental Certification Team - UAS NEWS - JANUARY JUNE 2008 Disponvel em
ww.faa.gov.
517