Sitraer 7 (2008) 506-517 Tr.

494

ASPECTOS DE SEGURANA NA INTEGRAO DE VECULOS AREOS NO

TRIPULADOS (VANT) NO ESPAO AREO BRASILEIRO

Vitor Hugo Furtado

Ricardo Alexandre Veiga Gimenes
Joo Batista Camargo Jnior
Jorge Rady de Almeida Jnior
Grupo de Anlise de Segurana GAS, Departamento de Engenharia de Computao e Sistemas Digitais
Escola Politcnica da Universidade de So Paulo

RESUMO
A integrao de Veculos Areos No Tripulados (VANT) no Espao Areo Civil ainda possui grandes barreiras
que passam pelos domnios de regulamentao corrente, falta de experincia operacional e deficincias
tecnolgicas. Para a utilizao de VANTs no espao areo brasileiro, novos estudos sobre metodologias de
anlise e tecnologias devero ser incorporados aos sistemas de controle atuais, promovendo uma convivncia
segura e confivel entre aeronaves tripuladas e no tripuladas. Um cenrio de inovaes tecnolgicas, como o
caso do CNS/ATM, torna-se um facilitador desta integrao entre o universo tripulado e no tripulado. O
objetivo deste trabalho determinar diretrizes para a integrao de aeronaves no tripuladas no espao areo
brasileiro. Estas diretrizes possibilitam a construo de um Modelo de Risco para VANT que identifique as
etapas necessrias para se alcanar o nvel de Confiabilidade e Segurana Crtica (Safety) desejados e como a
Segurana Crtica pode ser calculada para quantificar o Risco envolvido. Nesse caminho, este estudo baseia-se
em metodologias tais como a SAM (Safety Assessment Methodology), desenvolvida pelo Eurocontrol. A SAM
descreve um processo para a certificao de Segurana Crtica de Sistemas de Navegao Area Tripulados que
pode fornecer uma referncia aos Sistemas de Navegao Area No Tripulados. Desta forma, este estudo
tambm ir permitir a identificao de diferentes necessidades do Gerenciamento de Trfego Areo para uma
futura integrao de VANTs. Como resultado, este estudo oferece diretrizes que auxiliem na definio de normas
e leis e conseqente certificao de aeronaves no tripuladas no espao areo brasileiro para uso segregado e no
segregado, ainda no existentes no Brasil.

ABSTRACT
Unmanned Air Vehicles (UAV) integration in the Civilian Airspace still faces great barriers that go through the
current regulations domain, lack of operational experience and technological deficiencies. For the use of UAVs
in the Brazilian airspace, new studies on analysis and technologies methodology will have to be incorporated to
the current control systems, providing a safe and reliable coexistence between manned and unmanned aircraft. A
technological innovation scenario, as is the CNS/ATM case, becomes a facilitator of this integration between the
manned and unmanned universe. The aim of this work is to determine directives for the integration of unmanned
aircraft in the Brazilian airspace. These directives allow the construction of a Risk Model for UAV that identifies
the necessary stages in order to reach the required level of Reliability and Safety and how Safety can be
calculated to quantify the involved Risk. In this way, this study is based on methodologies such as SAM (Safety
Assessment Methodology), developed by the Eurocontrol. SAM describes a process for the Safety certification
of Manned Air Traffic Systems that can be a reference to the Unmanned Air Traffic Systems. Furthermore, this
study also will allow the identification of different needs of Air Traffic Management for a future integration of
UAVs. Therefore, this study offers directives that can help in the definition of standards and laws and
consequent certification of unmanned aircraft in the Brazilian airspace for segregated and non segregated use,
still nonexistent in Brazil.

1. INTRODUO
Veculo Areo No Tripulado (VANT) um termo genrico que identifica uma aeronave que
pode voar sem tripulao, normalmente projetada para operar em situaes perigosas e
repetitivas em regies consideradas hostis ou de difcil acesso. Existe uma grande diversidade
de tipos de VANTs, muitos deles ganhando nfase na esfera civil e tornando-se uma opo
vlida no cenrio comercial atual.

506
 Sitraer 7 (2008) 506-517 Tr. 494

H um grande mercado que est emergindo a partir de aplicaes e servios potenciais que
podem ser oferecidos pelas aeronaves no tripuladas. Mais precisamente, VANTs podem ser
aplicados em misses chamadas de D-cubo (Dangerous-Dirty-Dull), isto , misses
identificadas como perigosas, sujas e/ou enfadonhas. Quando se considera o VANT em
aplicaes civis, h um grande escopo de cenrios possveis para sua utilizao. Por exemplo,
pesquisa ambiental remota, monitorao e certificao de poluio, gerenciamento de
queimadas, segurana, monitorao de fronteira, oceanografia, agricultura e aplicaes de
pesca. Em geral, todas estas aplicaes podem ser divididas em quatro grandes grupos:
aplicaes ambientais, aplicaes de segurana, aplicaes de comunicao e aplicaes de
monitoramento [1].

Atualmente, e aps muitos anos de desenvolvimento, os VANTs esto alcanando um ponto

crtico no qual eles poderiam ser aplicados em cenrio civil/comercial. Sua forma de controle
pode ser remota, utilizando pilotos em estaes de controle remoto terrestre ou com sistemas
de controles embarcados (neste caso, os VANTs so considerados autnomos). No entanto h
uma falta de suporte de hardware, software e principalmente polticas de segurana para
efetivamente desenvolver tais potencialidades, sendo necessrio um profundo estudo por parte
da academia para que sua utilizao seja vivel.

2. MOTIVAO
No Brasil, os VANTs esto se tornando uma realidade cada vez maior, com aplicaes
voltadas principalmente rea da agricultura, vigilncia e monitorao de recursos. Empresas
como a Embrapa precisam de imagens areas que auxiliem na identificao de irregularidades
no plantio, controle de doenas e pragas, pulverizao adequada e formem uma base de dados
que maximize o resultado de uma colheita. A Chesf, empresa de distribuio de energia do
Nordeste, necessita gerenciar sua planta externa para atender s exigncias de empresas
reguladoras, monitorando recursos como cabos e postes. Para o controle destes recursos, por
serem distribudos em grandes extenses territoriais no pas e, em muitas vezes, em reas de
difcil acesso por via terrestre, o VANT se torna uma importante ferramenta contra roubos e a
deteriorao de equipamentos. A Petrobrs outra grande empresa que busca investir nos
VANTs, pois os dutos que conduzem seu precioso recurso precisam de constante monitorao
contra vazamentos e desvios inesperados.

Todas essas empresas necessitam de um sistema de vigilncia efetivo, que percorra

constantemente a extenso de seus recursos e o mais rpido possvel, no deixando com que
fiquem muito tempo sem informao. Esse controle custoso se for considerado o formato
tradicional, envolvendo aeronaves mais pesadas e tripuladas, tanto pelo preo do combustvel
quanto pelo preo do piloto por hora de vo. Neste caso, a monitorao contnua no tempo
torna-se quase que proibitiva.

Essas aeronaves ainda podem controlar queimadas, identificando-as e combatendo-as. Em um

pas com extenso territorial como o Brasil que faz fronteira com quase todos os pases da
Amrica do Sul, o combate ao trfico de drogas, contrabando, entrada de armas ilegais e
soberania nacional seria extremamente facilitado com os dados enviados constantemente por
essas aeronaves aos centros militares no pas. Alm disso, o controle de desmatamentos,
queimadas e outras ameaas a regies como a floresta amaznica seriam devidamente
registradas em tempos adequados, quando ainda alguma coisa pudesse ser feita e no como
um simples registro de algo que nada mais pode ajudar.

507
 Sitraer 7 (2008) 506-517 Tr. 494

Ampliando a lista, outras aplicaes como vigilncia de morros e favelas no combate ao

trfico de drogas e violncia, promovendo a segurana no cotidiano das grandes cidades e
em eventos extraordinrios. Ainda h espao para o transporte de cargas e no futuro, com os
riscos devidamente calculados e garantidos os nveis de segurana crtica iguais ou maiores
que o universo tripulado, poder-se- contar com o transporte de passageiros.

Independentemente do transporte de passageiros, um nvel equivalente de segurana crtica

precisar ser garantido para a sobrevivncia dessas aeronaves, no importando o tipo de sua
misso. Quanto maior a aeronave e seu alcance, maior ser a probabilidade de
compartilhamento com o espao areo civil habitado pelos vos tripulados, sejam eles
comerciais ou militares. E mesmo que no haja ser humano dentro de um VANT, o risco de
coliso com aeronaves que conduzam vidas humanas j torna necessria uma pesquisa
aprofundada a respeito de sua confiabilidade e segurana. Ainda que a coliso seja entre
VANTs, a probabilidade de impactos em construes, habitaes, reas de preservao, e
acima de tudo, vidas humanas em solo precisa ser considerada no clculo de riscos.

De acordo com [1], o controle da misso e da carga til so os principais gargalos que podem
impedir o desenvolvimento real de VANTs no setor civil. Os VANTs militares usam projetos
de controle especficos, especialmente sob medida para a misso de vigilncia que eles devem
executar. No entanto, um VANT civil deveria ser capaz de implementar uma grande
variedade de misses com um pequeno tempo de reconfigurao e overhead, caso a aplicao
tenha a necessidade de ser economicamente vivel.

3. O SISTEMA VANT
O Controle de Trfego Areo brasileiro ainda no est devidamente preparado pra aplicaes
com VANTs. Ser preciso, alm de uma legislao a respeito, recursos computacionais e
treinamentos adequados para os controladores de trfego areo e pilotos. Estaes de
Controle de VANTs devero comunicar-se com as estaes de controle tradicionais, e estas
com as aeronaves, sejam elas tripuladas ou no. Sistemas anti-coliso pr-ativos e
colaborativos precisam ser implementados, permitindo a convivncia entre o mundo tripulado
e o no tripulado. Pr-ativos quando os equipamentos a bordo das aeronaves ou em solo
identificam ameaas e riscos de coliso, e avisam aos sistemas de controle das aeronaves a
alternativa mais adequada para evitar um desastre areo. Colaborativos quando os prprios
pilotos so parte ativa na preveno do acidente, com equipamentos a bordo que ajudem a
monitorar o espao ao redor e sua rota, sem que o controlador precise intervir a todo instante,
em solo.

Isso possvel hoje, principalmente devido presena de uma nova forma de monitorao
baseada no CNS/ATM, sucessor do atual conceito de sistema de trfego areo, o qual se baseia
em novas tecnologias digitais aplicadas comunicao, vigilncia, navegao e ao
gerenciamento do trfego areo. A implementao de comunicao de dados digitais e de
navegao por satlite, entre outras tecnologias, permitiria obter maiores nveis de automao e de
acurcia no controle do trfego areo e, a princpio, minimizaria as restries existentes no
sistema de transporte areo atual. Por conseqncia, seria possvel atender crescente demanda
por trfego areo, mantendo-se (ou, de preferncia, elevando-se) os nveis de segurana atuais [2].
A figura 1 contempla as melhorias em cada um dos elementos que compe o paradigma
CNS/ATM.

508
 Sitraer 7 (2008) 506-517 Tr. 494

Figura 1: Melhorias no CNS e impacto sobre o ATM ([3] apud [2])

O VANT surge nesse cenrio, onde o espao areo que, em sua quase totalidade, composto
por veculos tripulados, e est passando por uma reestruturao a fim de ampliar sua
capacidade, respondendo a novas demandas, sem que com isso tenha sua segurana
negligenciada. A ampliao de rotas e o distanciamento entre as aeronaves a resposta s
novas necessidades da aviao civil. A chegada de um novo paradigma de aeronaves no pode
interferir negativamente neste ambiente. preciso uma adaptao, da forma mais transparente
possvel, com riscos devidamente calculados.

O Gerenciamento de Trfego Areo responsvel pela manuteno do distanciamento seguro

entre as aeronaves desde a decolagem at sua aterrissagem e taxiamento. Um controlador de
trfego areo est constantemente em vigilncia, observando cada aeronave que estiver dentro
do espao areo, identificando sua posio, velocidade, direo dos vos e estimativas de
posies futuras. Caso ocorra alguma situao diferente do que foi previamente planejado, ele
tem a obrigao de comunicar aos pilotos quais aes devero ser executadas para que o
conflito detectado seja resolvido o mais rapidamente possvel.

4. A INTEGRAO DE VANTS NO ESPAO AREO CONTROLADO

A integrao de um VANT em um espao areo depende da aplicao pela qual ele foi
projetado, pois de acordo com ela que sero definidas as caractersticas fsicas da aeronave.
Tamanho e peso so critrios que devem ser levados em conta no momento de um
compartilhamento de espao areo com outros avies, sejam eles tripulados ou no. Quanto
maior o tamanho da aeronave, maior ser a superfcie de contato, ampliando a probabilidade
de coliso. J o peso um elemento perigoso, principalmente quando associado velocidade.
Um VANT em alta velocidade chocando-se contra um avio, mesmo que de grande porte,
poder causar estragos irreparveis sua fuselagem.

A altitude outra varivel importante na integrao dos VANTs. Se as altitudes forem baixas,
preciso tomar cuidado com prdios, casas e at mesmo aeroportos, devido a provveis

509
 Sitraer 7 (2008) 506-517 Tr. 494

interferncias nos procedimentos de decolagem e aterrissagem de avies comerciais. Em altas

altitudes, aumenta-se ainda mais o risco de colises com outras aeronaves, como aquelas de
transporte de passageiros. Principalmente quando o VANT tiver uma autonomia de longas
horas de vo.

Em resumo, a probabilidade de um acidente com um VANT aumenta com a altitude,

autonomia, tamanho, peso e velocidade da aeronave. Todas estas caractersticas fsicas so
funo do tipo de misso do veculo no tripulado. Misses de transporte de carga ou
produtos blicos exigiro avies mais robustos e pesados. Enquanto que misses de vigilncia
e segurana normalmente exigem avies mais leves, com maior importncia carga til que
est sendo conduzida junto armao da aeronave.

As normas de integrao devem levar em conta todos esses aspectos. Regras menos restritivas
podem ser aplicadas para aquelas aeronaves cuja rea de atuao seja um espao areo
segregado com baixa densidade de trfego. Por outro lado, regras mais severas podem e
devem ser consideradas em espaos areos no segregados, em meio a uma grande variedade
de rotas e uma alta densidade de trfego.

O processo de certificao deve levar em conta tambm objetos que esto abaixo das
aeronaves. Construes como pontes, edifcios, reas residenciais e estradas so alvos fceis
na queda de um avio. Se um VANT descontrolado cair sobre uma rea residencial ou uma
ponte poder causar uma imensa perda econmica e, no pior caso, danos a vidas humanas e
impactos ambientais. Estudos dos efeitos do impacto de uma aeronave no tripulada em solo
devem levar em conta o tamanho desta aeronave, peso, velocidade, potencial de exploso,
dentre outras variveis. Medidas de reduo de severidade, como a exploso da aeronave
ainda no ar, evitando um estrago maior em solo, devem ser levadas em considerao.

Mesmo que se diga que uma aeronave no tripulada estar limitada a uma determinada
altitude, sobrevoando uma regio restrita, no se pode garantir que ela no ultrapassar estes
limites. No clculo de risco, ser preciso determinar com que probabilidade uma aeronave
poder sair de sua rota ou do plano de vo a que foi programada.

5. PROPOSTA DE MODELO DE RISCO CONSIDERANDO A EXISTNCIA DE

VANTS
Sistemas crticos so aqueles sistemas em que uma falha pode provocar perdas de vidas
humanas, danos ambientais ou perdas financeiras considerveis. Quando uma perda
considerada grave, os esforos e recursos a serem investidos sua preveno so geralmente
justificados. Logo na concepo do sistema devem ser iniciadas as atividades relativas
segurana, fazendo parte de todo o ciclo de vida do projeto [8].

As polticas de segurana devem definir uma relao entre a segurana crtica e os demais
objetivos do sistema que est sendo avaliado, tais como, confiabilidade, disponibilidade,
segurana e custos. A anlise de risco avalia a importncia relativa do perigo e permite avaliar
sua aceitabilidade ou no [8].

Para os VANTs, a necessidade de mensurar os riscos envolvidos torna-se condio necessria

para sua viabilidade e aceitao para o uso comercial.

510
 Sitraer 7 (2008) 506-517 Tr. 494

5.1. Mensurao do risco para Sistemas Crticos

Para compreender melhor a natureza do risco, muito importante considerar a relao entre
Perigos e Acidentes, que resultam em um dano pessoa humana ou ao meio ambiente.
Considera-se que o perigo representa uma situao de potencial acidente [8].

O risco associado a um perigo determinado pela combinao de dois fatores: a freqncia ou

probabilidade da ocorrncia de um acidente e a severidade da conseqncia envolvida no
acidente.
Risco = probabilidade do acidente * severidade

Um determinado risco no aceitvel, se existir um determinado perigo com alta

probabilidade de ocorrncia e conseqncias desastrosas. No entanto, aceitvel um risco, em
relao a um perigo, em que haja uma baixssima probabilidade de ocorrncia, mesmo que
apresente conseqncias altamente danosas. O nvel de aceitabilidade do risco determinado
pelo benefcio associado ao risco, e pelo esforo requerido em diminu-lo [8].

Um dos mtodos conhecidos para determinao de risco aceitvel o ALARP (As Low As
Reasonable Practible). A aplicao deste mtodo significa tentar reduzir o nvel de risco de
um sistema a valores to baixos quanto relao entre o ganho e o investimento for aceitvel
[8].

O risco aceitvel ou tolervel aquele com o qual podemos conviver, obtendo os benefcios
do funcionamento do sistema. A norma IEC 61508-1 define nveis de integridade de
segurana SIL (Safety Integrity Level) para sistemas que operam em regime de baixa demanda
e sistemas que operam em regime de alta demanda ou de modo contnuo [8]. A tabela 1
abaixo apresenta os quatro nveis SIL existentes:

Tabela 1: Nveis de Integridade de Segurana [8]

Considerando o estudo feito por [8], para determinar o nvel de integridade de segurana
crtica, o VANT no espao areo nacional um sistema de alta demanda que tem como
conseqncia do risco, a morte de vrias pessoas, com exposio ao perigo de freqente a
permanente, sendo possvel de ser evitado sob certas condies e probabilidade relativamente
alta de que as ocorrncias indesejveis acontecero. De acordo com a classificao
apresentada em [8], portanto, este sistema tem o SIL igual a 4 (quatro), com falha insegura
por hora () variando de 10-9 a 10-8 .

Durante a anlise de risco, qualquer indcio ou suspeita que possa vir a provocar um acidente
deve ser considerado. Portanto fundamental uma atividade de garantia da segurana atuando
em cada uma das fases do ciclo de vida do sistema. Da a importncia em se adotar e

511
 Sitraer 7 (2008) 506-517 Tr. 494

desenvolver metodologias e mtodos que cada vez mais assegurem a qualidade dos trabalhos
desenvolvidos na garantia da segurana de sistemas, de forma que se obtenham sistemas de
funcionamento robusto [8].

Avaliar e certificar VANTs ainda um desafio internacional, tal como se tem observado nos
relatrios da FAA UAS Experimental Certification Team [10]. Desta forma, visando obter
caminhos nacionais para a certificao de VANTs, a proposta apresentada neste artigo de
que a Safety Assesment Methodology (SAM), desenvolvida pelo Eurocontrol com o objetivo
de garantir Segurana Crtica para um sistema de navegao area tradicional, tambm possa
ser utilizada para a avaliao de veculos areos no tripulados.

5.2. Metodologia de Certificao: Safety Assessment Methodology - SAM

A SAM uma metodologia de certificao de segurana crtica para o sistema de navegao
area (Air Navigation System ou ANS) e foi desenvolvida com o objetivo de identificar as
melhores prticas para obter-se esta certificao e servir de guia para sua aplicao.

Como primeira etapa na formao de um processo de certificao para VANTs, necessrio

definir quais fatores devero ser avaliados. A SAM descreve um processo genrico que
consiste de trs passos principais na identificao destes fatores [4]:

Certificao de Danos Funcionais (Functional Hazard Assessment - FHA);

Certificao Preliminar da Segurana Crtica do Sistema (Preliminary System Safety
Assessment - PSSA);
Certificao da Segurana Crtica do Sistema (System Safety Assessment - SSA).

A figura 2 apresenta como se relacionam os processos de certificao no ciclo de vida do

sistema.
Quo seguro o FUNCTIONAL
Sistema precisa DEFINIO DO
HAZARD MUDANAS
ser? SISTEMA
ASSESSMENT

Quo segura a
arquitetura do PRELIMINARY
PROJETO DO
Sistema pode SYSTEM SAFETY MUDANAS
SISTEMA
ser? ASSESSMENT

Quo seguro o INTEGRAO E

Sistema MUDANAS IMPLEMENTAO DO
implementado?
SISTEMA

SYSTEM SAFETY MANUTENO E

MUDANAS
ASSESSMENT OPERAES

MUDANAS DESASSOCIAO

Figura 2: Relacionamento entre o Processo de Certificao de Segurana Crtica e o ciclo de

vida completo do sistema [4]

512
 Sitraer 7 (2008) 506-517 Tr. 494

O FHA atua na definio do sistema e pergunta o quo seguro o sistema precisa ser para
alcanar um risco aceitvel. O segundo passo, o PSSA, atua no projeto do sistema e questiona
se a arquitetura que est sendo proposta capaz de alcanar um risco aceitvel. O SSA o
ltimo nvel e tem relao com a implementao e integrao do sistema, nele surge a questo
se o que est sendo implementado alcana um risco aceitvel. Em todas as fases a segurana
crtica analisada e busca-se minimizar a distncia do nvel de segurana crtica que foi
requisitado para o nvel realmente implementado.

5.3. O Processo Functional Hazard Assessment (FHA)

O FHA um processo iterativo que deve ser aplicado no incio do desenvolvimento de um
sistema de navegao area. Nesta fase que se determina qual o nvel de segurana que o
sistema precisa ter. Aqui so identificados os potenciais modos de falhas (failures) e danos
(hazards).

A conduo do FHA acontece justamente no momento do ciclo de vida em que o sistema est
sendo definido e os objetivos de segurana crtica a serem alcanados devem ser anunciados.

Para cada funo ou combinao de funes do sistema preciso [5]:

1) Identificar os danos em potencial: o que poderia dar errado com o sistema e o que
poderia ocorrer se isto acontecesse;
2) Identificar os efeitos dos danos: como a segurana das operaes de controle e da
aeronave afetada;
3) Certificar a severidade dos efeitos dos danos: quo severos seriam esses efeitos;
4) Especificar os objetivos da segurana: qual freqncia pode ser aceitvel ocorrncia
do dano;
5) Certificar o risco agregado pretendido: qual o nvel de segurana previsto?

Isto possibilita formalizar os modos de falhas que o VANT venha a ter e possveis danos
conseqentes destas falhas. O forte impacto psicolgico perante a sociedade ainda faz com
que o uso de VANTs tenha graus de exigncia maiores que as aeronaves tripuladas. Desta
forma, a tolerncia a falhas menor e, conseqentemente, o processo de avaliao de perigos
deve ser rgido o suficiente para sua aceitao.

5.4. O Processo Preliminary System Safety Assessment (PSSA)

O PSSA um processo iterativo aplicado no incio de um novo projeto de um sistema de
navegao area ou na modificao de um existente. O objetivo de desenvolver um PSSA
demonstrar se a arquitetura do sistema certificada alcana os objetivos de segurana crtica
especificados no FHA [6].

Como mostra a figura 3, o processo PSSA transforma os objetivos de segurana crtica em

requisitos de segurana crtica alocados aos elementos do sistema, ou seja, especifica o nvel
de risco a ser alcanado pelos elementos do sistema. O PSSA tambm identifica um nvel de
certificao por elemento [6].

O propsito do PSSA identificar o impacto de uma mudana na arquitetura e garantir a

capacidade da nova arquitetura de encontrar os mesmos ou novos objetivos de segurana
crtica. O pr-requisito essencial para conduzir um PSSA uma descrio das funes de alto

513
 Sitraer 7 (2008) 506-517 Tr. 494

nvel do sistema, com uma lista de premissas, danos e seus objetivos de segurana associados.
A lista de danos e objetivos de segurana vem do FHA e completada durante o PSSA.

Papel do PSSA

Funes do Sistema
Objetivos da
Segurana (Safety)

Arquitetura
do Sistema

Procedimentos RS = Requisitos de
AT COs Equipamentos
Operacionais Segurana
RS RS RS

Interface Homem-
Hardware Software
Mquina
RS RS RS
Figura 3: Papel do PSSA [6]

Os requisitos de segurana, para VANTs, precisam ser reescritos, uma vez que a arquitetura e
o modelo de seu funcionamento so diferentes da aviao tradicional. Por exemplo, os
VANTs no possuem, necessariamente a Interface Homem-Mquina (presente na Figura 3) e,
assim, a princpio, no necessitaria de requisitos de segurana para este caso. Porm, algumas
vezes, ela pode existir, mesmo que distante da aeronave, quando operada remotamente. Seus
requisitos de segurana, neste caso, envolvem fatores de disponibilidade e confiabilidade na
transmisso dos dados da aeronave ao centro de controle e deste at a aeronave. Porm, os
requisitos gerais de segurana so os mesmos, sejam os vos tripulados ou no.

5.5. O Processo System Safety Assessment (SSA)

O SSA um processo aplicado no incio da implementao de um sistema de navegao area
[7]. O objetivo do SSA demonstrar que o sistema encontre um risco aceitvel e satisfaa
seus objetivos de segurana crtica no FHA e os elementos do sistema encontrem seus
requisitos de segurana crtica especificados no PSSA. O SSA monitora o desempenho do
sistema durante seu tempo de vida operacional.

514
 Sitraer 7 (2008) 506-517 Tr. 494

Figura 4: Papel do SSA [7]

O SSA, conforme apresentado na figura 4, conduzido durante as fases de implementao e

integrao do sistema, transferncia em operao, operao, manuteno e entrega do ciclo de
vida do sistema. Seu objetivo limitar o nmero de iteraes entre as atividades de
desenvolvimento do sistema e a certificao da segurana crtica. O desenvolvimento e
certificao da segurana geralmente acontecem em paralelo.

O SSA integra os resultados das vrias anlises para verificar a segurana crtica do sistema
como um todo e para cobrir todas as consideraes de segurana crtica identificadas no
PSSA. O processo de certificao inclui as seguintes informaes [9]:

a) Lista das probabilidades de eventos externos levantados previamente;

b) Descrio dos sistemas;
c) Lista das condies de falha (FHA, PSSA);
d) Classificao da condio de falha (FHA, PSSA);
e) Anlise qualitativa para as condies de falha;
f) Anlise quantitativa para as condies de falha;
g) Anlise de causa comum;
h) Tarefas relacionadas segurana crtica;
i) Nveis de garantia do desenvolvimento para hardware e software (PSSA);
j) Verificao que os requisitos de segurana vindos do PSSA esto incorporados no
projeto e no processo de teste;
k) Os resultados do processo de verificao no analtico (ou seja, teste, demonstrao e
atividades de inspeo).

A varredura destes elementos citados fornece ao avaliador, uma estrutura formal dos fatores
envolvidos no uso do VANT, garantindo que novos fatores, ainda em estudo pela comunidade
cientfica, sejam expostos ao vo autnomo.

515
 Sitraer 7 (2008) 506-517 Tr. 494

6. CONCLUSES E PERSPECTIVAS FUTURAS

O Veculo Areo No Tripulado est se tornando uma realidade cada vez mais forte na esfera
da aviao civil. Com isso, surge a necessidade de uma regulamentao e mtodos que
auxiliem na integrao desses veculos ao espao areo controlado e no segregado.

A importncia da definio de nveis de risco e de segurana crtica aceitveis fundamental

para que o compartilhamento desse espao, envolvendo o universo tripulado e o no
tripulado, torne-se possvel. De outra forma essa convivncia poder ter resultados
catastrficos.

Este artigo tem o objetivo de expor a necessidade de um processo estruturado de avaliao e

certificao que facilite e torne exeqvel o uso de aeronaves tripuladas com VANTs em um
nvel de segurana crtica aceitvel no espao areo controlado. preciso, portanto, que a
certificao esteja presente desde o incio do ciclo de vida do sistema, partindo de sua
definio at sua implementao e execuo, nos aspectos relevantes de segurana.

A falta de metodologia para a avaliao de VANTs, mesmo para o uso no espao areo
segregado, dificulta a diversificao do uso de VANTs para aplicaes civis. Desta maneira, a
busca por uma metodologia, tal como a SAM apresentada neste artigo, fortalece novos
investimentos nacionais, sem que ocorra uma dependncia na importao tanto de tecnologia
como de certificao para VANTs.

A diversidade de aplicaes que podem ser implementadas com o uso dessas aeronaves
justifica o uso adequado de uma metodologia que permita a convivncia entre os diferentes
modelos com tamanhos, pesos, capacidades, autonomia e velocidade diretamente ligados a
aplicao pela qual foram projetadas. A certificao ideal no auxilia a especificar o nvel
esperado de segurana crtica para uma nica aeronave, mas sim para todo o sistema do qual
ela faz parte. O veculo areo no tripulado se relaciona com seus pares de mesma categoria e
funo, e tambm com outras aeronaves no tripuladas de diferentes aplicaes, alm do j
estabelecido universo tripulado e todo o sistema de controle de trfego areo.

Logo, a Safety Assesment Methodology, j utilizada para a certificao de segurana crtica

para o sistema de navegao area tripulado, pode ser utilizada, com suas devidas adaptaes,
para a composio do sistema areo com ambos os tipos de aeronaves. O nvel de exigncia
da sociedade para os VANTs ser muitssimo maior que aquele aplicado ao universo
tripulado, principalmente por trazer riscos estrutura j estabelecida. A tolerncia aos
acidentes ser muito menor, condenando uma tecnologia antes mesmo que sejam percebidos
seus benefcios humanidade. Por isto mesmo, de extrema importncia que a comunidade
cientfica estabelea critrios e mtodos adequados nova ordem do espao areo brasileiro e
mundial.

REFERNCIAS BIBLIOGRFICAS
[1] Pastor, E., Lopes, J. and Royo, P. UAV Payload and Mission Hardware/Software Architecture. IEEE
A&E Systems Magazine. June 2007.
[2] Vismari, L. F., Camargo, J. B. Vigilncia Dependente Automtica no Controle de Trfego Areo:
Avaliao de Risco Baseada em Modelagem em Redes de Petri Fluidas e Estocsticas. Dissertao de
Mestrado, Escola Politcnica da Universidade de So Paulo, 2007.
[3] GALOTTI, V. P; The Future Air Navigation System: Communication, Navigation, Surveillance, Air
Traffic Management. 1 Edio. England: Ashgate Publishing Company, 1997.

516
 Sitraer 7 (2008) 506-517 Tr. 494

[4] Sam V2.1 - Air Navigation System Safety Assessment Methodology. SAF.ET1.ST03.1000-MAN-01. 03
October 2006. European Air Traffic Management - European Organisation for the Safety of Air
Navigation Eurocontrol.
[5] FHA V2-0 Safety Objectives Specification. SAF.ET1.ST03.1000-MAN-01-01-03. Chapter 3. October
2006. European Air Traffic Management - European Organisation for the Safety of Air Navigation
Eurocontrol.
[6] PSSA V2-1 - Preliminary System Safety Assessment . SAF.ET1.ST03.1000-MAN-01-02-00. October
2006. European Air Traffic Management - European Organisation for the Safety of Air Navigation
Eurocontrol.
[7] SSA V1-1 - System Safety Assessment . SAF.ET1.ST03.1000-MAN-01-03-00. October 2006. European
Air Traffic Management - European Organisation for the Safety of Air Navigation Eurocontrol.
[8] Camargo, J. B. Metodologia de Anlise em Sistemas Computacionais de Aplicao Crtica. Tese de Livre
Docncia, Departamento de Engenharia de Computao e Sistemas Digitais. So Paulo, 2002.
[9] Information Handlling Services SAE ARP4761, The Engineering Society For Advancing Mobility Land
Sea Air and Space International. December 1999.
[10] FAA UAS Experimental Certification Team - UAS NEWS - JANUARY JUNE 2008 Disponvel em
ww.faa.gov.

Vitor Hugo Furtado (vhfurtado@usp.br)

Joo Batista Camargo Jr. (joao.camargo@poli.usp.br)
Jorge Rady de Almeida Jnior (jorge.almeida@poli.usp.br)
Ricardo Alexandre Veiga Gimenes (ricardo.gimenes@poli.usp.br)
Grupo de Anlise de Segurana, Escola Politcnica, Universidade de So Paulo
Av. Prof. Luciano Gualberto, travessa 3, n. 158, Cidade Universitria So Paulo, SP, Brasil

517