Seminário de Tese apresentado no âmbito do Programa de Pós-Graduação em
Engenharia de Infraestrutura Aeronáutica do Instituto Tecnológico de
Aeronáutica, área Transporte Aéreo e Aeroportos.
Idoaldo José de Lima
ABORDAGEM STAMP APLICADA À ANÁLISE DE
SEGURANÇA OPERACIONAL NA INFRAESTRUTURA
AEROPORTUÁRIA BRASILERIA
Cláudio Jorge Pinto Alves
Orientador
Giovanna Miceli Ronzani Borille
Relatora
Alessandro Vinícius Marques de Oliveira
Coordenador de Área
Campo Montenegro
São José dos Campos, SP – Brasil
2017
ii
Resumo
Esta pesquisa tem como objetivo utilizar a análise de processos baseada na teoria de
sistemas (Systems-Theoretic Process and Analysis, STPA) para avaliar perigos em operações
de aeronaves em aeroportos brasileiros e propor adaptações adequadas aos requisitos de
segurança operacional desses aeroportos. Será possível, dessa forma, verificar a utilização dessa
abordagem para a análise de perigos em aeroportos, e possivelmente contribuir com melhorias
para o sistema de transporte aéreo brasileiro. Além disso, na revisão de literatura até o momento
não foram encontradas evidências de outros estudos utilizando essa abordagem no mesmo
contexto proposto, indicando possíveis contribuições pioneiras para o setor. O desenvolvimento
do trabalho foi organizado em 3 etapas. A primeira delas trata da obtenção dos dados de entrada
necessários ao modelo por meio de uma análise de agrupamentos aeroportuários com base em
atributos de contexto de segurança operacional. Utilizando os perigos identificados dentre os
agrupamentos, então, foi aplicada a análise STPA para esses grupamentos. Por fim, os
resultados dessa análise serão discutidos quanto à validade e aplicabilidade, e recomendações
de segurança serão elaboradas para os agrupamentos de aeroportos. É esperado que este estudo
identifique os principais perigos atualmente presentes na operação de aeroportos no Brasil.
Além disso, os resultados indicados por esse processo devem gerar recomendações para
implementação nos sistemas de aeroportuários brasileiros.
Palavras-chave: Aeroportos; Segurança Operacional; STAMP; STPA
iii
Sumário
1
INTRODUÇÃO ................................................................................................................ 4
2
REVISÃO DA LITERATURA ....................................................................................... 5
2.1
Abordagens para análise de segurança operacional em aeroportos .................... 5
2.2
Abordagem STAMP/STPA ...................................................................................... 7
3
SYSTEM-THEORETIC PROCESS ANALYSIS (STPA) ............................................... 8
3.1
Fundamentos da engenharia de sistemas ............................................................... 9
3.2
Ações de Controle Inseguras (UCAs).................................................................... 10
3.3
Cenários Causais .................................................................................................... 10
4
METODOLOGIA........................................................................................................... 11
4.1
Agrupamento de aeroportos .................................................................................. 11
4.2
Análise STPA .......................................................................................................... 13
4.3
Recomendações de Segurança Operacional ......................................................... 13
5
RESULTADOS PRELIMINARES ............................................................................... 14
5.1
Agrupamento de aeroportos .................................................................................. 14
5.2
Análise STPA .......................................................................................................... 17
6
LIMITAÇÕES E PRÓXIMOS PASSOS ..................................................................... 22
REFERÊNCIAS ..................................................................................................................... 22
APÊNDICE ............................................................................................................................. 27
7
PLANO DE AÇÃO ......................................................................................................... 28
4
1 Introdução
De maneira geral, os sistemas de transporte se desenvolveram de acordo com rotas de
comércio, segundo rios, portos e ferrovias. Nesse contexto, uma alternativa relativamente nova,
com grande expansão, é o transporte aéreo e a consequente necessidade de aeroportos, dada a
flexibilidade das rotas e o tempo de viagem desse modo de transporte, segundo Button (2010).
Contudo, conforme discutido por Laracy (2007) e Landegren (2014), junto desse crescimento,
o sistema de infraestrutura de transporte aéreo se tornou amplo e crítico em segurança,
evidenciando a necessidade de soluções coerentes, que sejam capazes de promover os níveis de
segurança operacional adequados.
O presente trabalho tem por objetivo utilizar a análise de processos baseada na teoria de
sistemas (System-Theoretic Process and Analysis, STPA) para avaliar os perigos em operações
de aeronaves nos aeroportos brasileiros e propor recomendações de segurança adequadas. Dessa
forma, a pergunta de pesquisa consiste em: “A utilização da análise STPA para aeroportos é
capaz de gerar recomendações de segurança coerentes com a realidade destes aeroportos? ”
A análise de perigos ou análise de segurança operacional pode ser realizada de diversas
formas. Entretanto, a maioria das técnicas utilizadas, como a análise de modos de falha e efeitos,
a análise de árvore de falhas, e a análise probabilística de riscos dependem do paradigma da
cadeia de eventos falhos que causam um evento indesejado (incidente). Modelos baseados nesse
princípio geram simplificação das causas de um incidente uma vez que não consideram: a) a
interação existente entre os componentes dentro de um sistema; b) a complexidade e as nãolinearidades dessas interações; c) os fatores sistêmicos presentes em um incidente; d) os erros
humanos como sintomas de um sistema falho; ou ainda, os erros de desenvolvimento que um
sistema pode apresentar. (DULAC, 2007; LEVESON, 2011)
Uma abordagem diferente para esse problema foi proposta por Leveson (2004),
chamada Systems-Theoretic Accident Model and Processes (STAMP). Nessa abordagem,
processos falhos ou ineficientes passam a ser analisados como resultado das interações entre os
componentes de um sistema que levam à violação das restrições desse sistema. Essa perspectiva
inclui não apenas o sistema, mas também as interações entre seus componentes, e os erros
humanos e de desenvolvimento do próprio sistema.
A ferramenta específica de análise de perigos da abordagem STAMP é chamada
Systems-Theoretical Process Analysis (STPA) e busca principalmente identificar perigos,
dentre as interações entre os componentes de um sistema e propor um comportamento mais
5
seguro, por meio de requisitos de segurança mais coerentes. (ISHIMATSU; LEVESON;
THOMAS, 2010; LEVESON, 2011)
Considerando o aeroporto, um sistema com requisitos e restrições, a análise STPA é a
ferramenta de análise proposta neste trabalho. É esperado que a utilização dessa abordagem
para a análise de perigos em aeroportos contribua com melhorias para o sistema de transporte
aéreo brasileiro.
Este relatório é organizado em 6 seções, onde a primeira delas introduz o tema e o
problema abordado pelo trabalho, esclarecendo os objetivos e motivações. A segunda apresenta
o cenário do tema e os esforços de pesquisa desenvolvidos atualmente. Em seguida, é discutido
o modelo de análise que será utilizado neste trabalho. Na quarta seção, é apresentada a formação
do modelo conceitual para responder à pergunta de pesquisa. Então, são apontados os resultados
preliminares do estudo, e, por fim, discutidas suas limitações e os próximos passos.
2 Revisão da Literatura
Para discutir o tema e apresentar os trabalhos desenvolvidos atualmente, essa seção do
texto foi organizada em duas partes. A primeira parte aborda a análise de segurança operacional
em aeroportos e as diversas abordagens sugeridas pela literatura. A segunda é focada na
discussão das diversas aplicações propostas utilizando a análise STPA.
2.1
Abordagens para análise de segurança operacional em aeroportos
A Organização da Aviação Civil Internacional (ICAO, 2013) define o termo segurança
operacional como o “estado no qual o risco de lesões a pessoas ou danos a bens se reduz ou se
mantém em um nível aceitável, ou abaixo deste, por meio de um processo contínuo de
identificação de perigos e gestão de riscos”. No contexto aeroportuário, bem como nos demais
dos componentes do sistema de aviação civil, a segurança operacional é um dos temas centrais
dos esforços de regulação nacionais e internacionais. (ICAO, 2006)
Conforme discutido por Vrijling, van Hengel e Houben (1998) e Braithwaite, Caves e
Faulkner (1998), para garantir os níveis de segurança operacional, o desenvolvimento e as
decisões sobre o sistema devem ser feitos embasados na garantia do risco aceitável. Dessa
forma, para que os níveis de segurança sejam alcançados e as taxas de ocorrências sejam
reduzidas, é necessário que o risco seja quantificado e balanceado com as devidas medidas de
6
mitigação. Há ainda o problema apontado por Fajer (2009), da quantificação não apenas das
taxas de falha técnica ou probabilidades ambientais, mas também dos fatores humanos e
organizacionais, relativamente mais comuns atualmente.
A literatura identificando abordagens para quantificar esse risco é bastante ampla. A
Tabela 1 indica os trabalhos principais sobre as abordagens de análise de perigos utilizadas pela
literatura, bem como os respectivos temas e metodologias utilizadas.
Tabela 1 – Trabalhos sobre abordagens de análise de perigos no contexto da aviação.
Trabalho
Tema
Janic (2000)
Blom et al. (2001)
Shyur (2008)
Netjasov e Janic (2008)
Operações em aviação civil
Bellini (2008)
Operações de pátio
Metodologia
Modelagem quantitativa de
avaliação do risco de segurança
operacional
Medeiros (2009)
Santos (2009)
Pouso e decolagem
Chang e Wong (2012)
Incursão em pista
Wong et al. (2009a, 2009b)
Fernandes, Müller e Alves
(2015)
Fatores climáticos
Lee (2006)
Hadjimichel (2009)
Pacheco, Fernandes e
Domingos (2014)
Xenidis e Gkoumas (2014)
Riscos aeroportuários na
percepção dos operadores
Modelagem quantitativa
baseada em lógica fuzzy
Leva et al. (2009)
Stroeve, Blom e Bakker (2009)
Atividades aeroportuárias
críticas
Modelagem quantitativa
baseada em simulações Monte
Carlo
Sousa e Silva (2012)
Incursão de pista
Modelagem quantitativa
baseada em filtros adaptativos
Wilke, Majumdar e Ochieng
(2014, 2015)
Wu et al. (2015)
Operações aeroportuárias
Modelagem quantitativa
baseada em Business Process
Modelling (BPM)
É possível evidenciar uma crescente busca, principalmente na literatura mais recente, por
abordagens mais integrativas e adequadas aos sistemas atuais. Contudo, os novos desafios em
segurança operacional em aviação demandam o desenvolvimento de novas maneiras de lidar
com esses problemas. Segundo Oster, Strong e Zorn (2013), são necessárias abordagens mais
7
proativas, preditivas e sistêmicas, uma vez que os sistemas estão mais interativos, sociais e
dinâmicos.
2.2
Abordagem STAMP/STPA
Em esforço para modelar de maneira sistêmica os perigos em sistemas técnicos, sociais
e intensivos de software, como é o caso da aviação, Leveson (2004) propôs a abordagem
STAMP e a ferramenta STPA. Essa abordagem já foi aplicada em diversos trabalhos de
diferentes áreas de conhecimento. No contexto do transporte aéreo, essa ferramenta foi
discutida para diferentes questões operacionais, como apresentado na Tabela 2
Tabela 2 – Trabalhos que aplicam STPA no contexto de transporte aéreo.
Trabalho
Tema
Laracy (2007)
Segurança contra atos de
interferência ilícitos
Fleming et al. (2012)
Leveson, Fleming e Placke
(2013)
Xu et al. (2013)
Fleming, Placke e Leveson
(2013)
Fleming et al. (2013)
Fleming e Leveson (2015)
Leveson et al. (2015)
Garantia e certificação de
segurança operacional do
NextGen e de novos sistemas
de transporte
Boer e Jong (2014)
Controle de pistas durante
turnaround
Pappot e de Boer (2015)
Integração de drones ao sistema
de transporte aéreo
Scarini (2017)
Monitoramento de segurança
em operações de linha aérea
Metodologia
STPA
Em busca de técnicas mais adequadas, estudos recentes propõem adaptações à análise
STPA. A Tabela 3 aponta os novos trabalhos que aplicaram adaptações dessa ferramenta para
outros temas.
Tabela 3 – Trabalhos recentes que indicam adaptações de STPA.
8
Trabalho
Tema
Metodologia
Aps et al. (2015)
Ren, Zhong e Chen (2015)
Sgueglia (2015)
Thomas et al. (2015)
Sistemas mais complexos
STPA adaptada
Shapiro (2016)
Young e Leveson (2014)
Johnson (2017)
Outras propriedades
emergentes específicas
STPA-Security
STPA-Privacy
STPA-Coordination
Ball (2014)
Fleming (2014)
Fleming e Leveson (2015a,
2015b)
Desenvolvimento conceitual de
sistemas
STECA-Early Concept
Leveson (2015a)
Scarini (2017)
Indicadores de segurança para
gerenciamento de risco
STPA-Leading Indicators
France (2017)
Extensão para componentes
humanos
STPA-Engineering for Humans
Conforme ressaltado por Leveson (2016), a análise STPA está em avaliação pelas
organizações internacionais de normas e regulação para identificação de perigos potenciais e
novas aplicações em diversas áreas. Portanto, a proposta de aplicação da análise STPA ao
contexto de aeroportos representa uma oportunidade não apenas de indicar novos rumos para a
segurança operacional no setor, mas também contribuir para a consolidação da abordagem
como uma ferramenta robusta para o entendimento de causalidade de ocorrências. Além disso,
no estudo de revisão até o presente momento foram encontradas poucas evidências de trabalhos
utilizando essa abordagem no mesmo contexto que o proposto, indicando possíveis
contribuições inovadoras para o setor.
As literaturas principais para referência do presente estudo sob a metodologia proposta,
até então, são os estudos de: de Boer e Jong (2014), Leveson (2015), Cavaleiro (2017), France
(2017) e Scarini (2017).
3 System-Theoretic Process Analysis (STPA)
O procedimento de análise adotado segue a mesma estrutura descrita por Leveson
(2015). Inicialmente, devem ser estabelecidos os fundamentos da engenharia de sistemas para
análise. Definidas as bases do modelo a ser analisado, devem ser identificadas as ações de
controle inseguras (Unsafe Control Actions, UCAs) potenciais. A partir das UCAs, devem ser
9
criados então os requisitos e as restrições de segurança e determinado como cada ação de
controle potencialmente perigosa poderia ocorrer.
3.1
Fundamentos da engenharia de sistemas
A análise STPA se inicia com as atividades básicas da engenharia de sistemas associadas
à segurança: a) definição de quais são os acidentes e perdas que serão considerados no
desenvolvimento da análise, b) identificação dos perigos associados com esses eventos e c)
especificação dos respectivos requisitos e restrições de segurança do sistema em análise. Após
definir essas informações fundamentais, deve ser elaborada uma estrutura funcional de controle
do sistema de maneira hierárquica (Hierarchical Safety Control Structure, HSCS).
Para determinar os objetivos e o escopo da análise, a definição do que é considerado um
acidente ou uma perda inaceitável em um sistema deve ser feita antes de qualquer esforço de
segurança. Um acidente é um evento indesejado e não planejado que resulta em perda, incluindo
perda de vidas humanas ou lesões humanas, danos materiais, poluição ambiental, perda de
missão, perda financeira, entre outras. Uma vez tomada uma decisão sobre as perdas a serem
consideradas, os perigos associados a essas perdas podem ser identificados. Perigo é um estado
do sistema ou conjunto de condições que, juntamente com uma pior condição de circunstâncias
ambientais, levará a um acidente (ou perda).
Após identificados os perigos do sistema em análise, estes podem ser derivados em
requisitos ou restrições de segurança para esse sistema. Requisitos são usados para indicar o
comportamento necessário para cumprir a missão do sistema, enquanto restrições descrevem
limitações de como os objetivos da missão devem ser alcançados. Este processo traduz os
perigos em exigências necessárias ao desenvolvimento e operação do sistema em questão.
O próximo passo então é documentar a HSCS. Essa modelagem fornece uma
representação gráfica concisa da lógica funcional do sistema em questão, facilitando o
acompanhamento e verificação da análise. De uma maneira geral, a HSCS conta inicialmente
com uma estrutura básica, com poucos componentes, e, em seguida, ela é refinada. O primeiro
passo, portanto, na concepção da HSCS é identificar os principais componentes do sistema em
análise. Em seguida, devem ser determinados quais são os controladores e os processos
controlados.
Uma vez identificada a estrutura básica (caixas do diagrama), detalhes como as ações
de controle (setas para baixo), ações de feedback (setas para cima), responsabilidades e modelos
10
de processos dos controladores podem ser incluídos. Além disso, pode haver comunicação entre
os controladores e cada componente pode ser decomposto em diferentes níveis de abstração.
3.2
Ações de Controle Inseguras (UCAs)
Identificadas as bases da análise, o próximo passo é definir sob quais condições as ações
de controle tomadas pelos controladores poderiam ser inseguras (unsafe control actions ou
UCAs). A abordagem STAMP (LEVESON, 2015b) identifica quatro tipos de ações de controle
que podem levar a um perigo:
Ação de controle necessária para a segurança não é fornecida;
Ação de controle fornecida causa perigo;
em sequência incorreta;
Ação de controle potencialmente segura é fornecida muito tarde, muito cedo, ou
Ação de controle segura é interrompida muito cedo ou aplicada por muito tempo;
Um quinto tipo de situação pode ainda ser identificado, sendo a execução inadequada
de uma ação de controle necessária para a segurança.
As UCAs identificadas podem ser transcritas em restrições de segurança para o
componente considerado, desdobrando assim as restrições iniciais em restrições para cada um
dos componentes da HSCS.
3.3
Cenários Causais
Uma vez que as UCAs são identificadas, o último passo da análise STPA é identificar
as causas potenciais. Basicamente, esse procedimento envolve examinar a malha de controle e
identificar como ela poderia levar a um controle inseguro. Esses cenários que podem indicar
ações de controle fornecidas quando inseguras, ações de controle não executadas, além das
causas de o modelo de processo estar incorreto.
Em seguida, esses cenários são usados, para identificar soluções (controles) que podem
ser implementados para proteger o sistema em análise. O desenvolvimento dessas soluções não
faz parte da análise STPA, mas será discutido no presente estudo, conforme descrito na
metodologia, na seção a seguir.
11
4 Metodologia
Conforme indicado no fluxograma representado na Figura 1, a seguir, o
desenvolvimento do trabalho está organizado em três partes principais: a) agrupamento de
aeroportos para obtenção de dados (primeira linha do fluxograma); b) aplicação da análise
STPA (segunda linha do fluxograma); e c) discussão dos resultados para elaboração de
recomendações de segurança operacional (terceira linha do fluxograma).
Figura 1 - Fluxograma de atividades propostas na metodologia. Fonte: o autor.
4.1
Agrupamento de aeroportos
O primeiro passo da análise STPA envolve a delimitação dos objetivos e do escopo a
ser adotado pelo processo de análise. Para isso, são necessárias: a) a definição de quais acidentes
e perdas serão considerados, b) a identificação dos perigos associados a esses eventos e c) a
construção da estrutura hierárquica de controle de segurança.
Uma vez que o presente estudo objetiva a aplicação da análise para o sistema
aeroportuário como um todo, e não para um estudo de caso específico, os fundamentos
considerados para a análise devem apresentar elevada similaridade entre si. Contudo, conforme
discutido por Ashford et al. (2013), é possível evidenciar diferenças de contexto operacional
entre aeroportos diferentes, com diferentes perigos associados. Esse fato está associado às
variações nas interações entre os componentes do aeroporto com o ambiente operacional ao
redor do aeroporto (companhias aéreas, usuários, entre outros).
12
Dessa forma, o método adotado para a obtenção dos dados é organizado em quatro
etapas: a) identificação de atributos de segurança operacional, b) caracterização dos aeroportos,
c) agrupamento dos aeroportos, e d) levantamento dos acidentes associados.
Antes de buscar informações dos aeroportos para o agrupamento, é necessário definir
quais atributos aeroportuários devem ser considerados. Assim como no trabalho de Cavaleiro
(2017), devem ser levantados os atributos relevantes à segurança relacionados com os
elementos do aeroporto e do ambiente.
Definido o conjunto de atributos, a informação de natureza de cada um desses atributos
deve ser coletada para os aeroportos selecionados pelo estudo. No sentido de limitar as
informações a serem coletadas, para a pesquisa proposta, os aeroportos analisados são restritos
aos aeroportos que apresentam operações regulares em território brasileiro, com publicação no
HOTRAN (MTPAC, 2017) nos últimos 10 anos. As informações de natureza dos atributos são
coletadas na Lista de Aeródromos Públicos da ANAC (2017), no sistema Hórus (MTPAC,
2017) e no sistema AISWEB (DECEA, 2017).
O procedimento de agrupamento adotado nesse estudo é o de análise multivariada por
agrupamento (análise de clusters). Dessa forma, quando utilizados os dados generalistas de um
agrupamento (cluster), é possível inferir às recomendações da análise STPA entre os aeroportos
pertencentes àquele mesmo cluster.
Os aeroportos são agrupados em clusters de acordo com suas medidas de similaridade.
Após testes com variação dos parâmetros da análise, a medida de proximidade adotada é a
Euclidiana quadrática, mais comumente utilizada e que melhor considera dados em escalas. Em
conformidade com o estudo de Cavaleiro (2017), a abordagem aplicada é a de agrupamento
hierárquico sem sobreposição, com método de agrupamento de Ward, que busca minimizar a
variação dos atributos dentro dos clusters e maximizar a diferenciação entre clusters. Foi
também utilizada a padronização dos dados por escalas uma vez que os atributos apresentam
escalas diferentes. O resultado dessa análise é dado na forma de um dendrograma, evidenciando
as relações hierárquicas entre os aeroportos estudados.
Por fim, para cada um dos clusters encontrados, devem ser levantados os acidentes
ocorridos no mesmo período. Essas informações de acidentes são coletadas no Painel SIPAER,
base de dados abertos do CENIPA (2017), e processadas para evidenciar os acidentes mais
comuns dentro de cada cluster. Esses dados são utilizados como entrada no processo de análise
STPA a ser realizado no passo seguinte.
13
4.2
Análise STPA
Após o agrupamento dos aeroportos e a identificação dos acidentes para cada cluster de
aeroportos, serão aplicados os processos descritos no Capítulo 3 deste relatório. Considerando
possível a generalização dos resultados dentro de um mesmo cluster de aeroportos, o método
adotado nesta etapa consiste na aplicação de uma análise STPA para um dado cluster, a ser
selecionado. Para isso, serão levados em conta os tipos de acidentes identificados como mais
recorrentes neste dado cluster.
Para este cluster selecionado, primeiramente são definidas as perdas (acidentes
identificados na seção anterior), perigos e restrições associadas, e HSCS (elaborada em
conformidade com a realidade dos aeroportos do cluster selecionado). Devem, então, ser
identificadas as UCAs associadas a cada um dos controladores componentes do sistema e os
respectivos requisitos e restrições de segurança. Por fim, são identificados os cenários que
poderiam levar a essas UCAs.
Dessa forma, serão identificados os principais requisitos e restrições de segurança que
devem ser reforçados dentro do cluster de aeroportos para a melhoria dos níveis de segurança
operacional dos aeroportos em estudo. A Figura 2 ilustra o processo de análise STPA por meio
de um fluxograma.
Figura 2 - Fluxograma das atividades do processo de análise STPA. Fonte: o autor.
4.3
Recomendações de Segurança Operacional
Após a coleta dos resultados da análise STPA, os requisitos, as restrições e as causas
levantadas para cada cluster devem ser verificados quanto à aplicabilidade ao sistema de
aeroportos brasileiros.
14
Por fim, essas informações devem ser utilizadas para identificar recomendações de
segurança operacional para o dado cluster de aeroportos e, possivelmente, para mais de um
cluster.
Essas discussões são de grande importância para a validade do estudo, aplicabilidade da
metodologia e abordagem de análise ao contexto aeroportuário e de transporte aéreo em
trabalhos posteriores. Em conclusão, é esperado que o estudo cumpra os objetivos propostos de
aplicação da abordagem STAMP ao contexto de segurança operacional aeroportuário e
indicação de possíveis melhorias para o sistema de transporte aéreo.
5 Resultados Preliminares
A seguir, são apresentados resultados preliminares até a análise STPA (em revisão).
5.1
Agrupamento de aeroportos
Para a análise proposta, o aeroporto é considerado um sistema dinâmico de interações
entre os componentes e o ambiente externo (controle de tráfego, companhias aéreas, governo e
vizinhança). Em busca sistemática de literatura não foram encontrados estudos que identificam
atributos específicos de contexto de segurança para aeroportos. Foram considerados, portanto,
os seguintes atributos como essencialmente representativos do contexto de segurança nos
aeroportos para diferenciação de acidentes e HSCSs dentre os clusters:
Tipo de aproximação disponível (PA3A, PA2, PA1, NPA ou NINST);
Movimentação média anual de aeronaves (nos últimos 10 anos, não nulos);
Nível de proteção contra atos de interferência ilícita (AP-3, 2, 1, 0 ou AD)
IV)
Padrão de operação, manutenção e resposta a emergências (Classe I, II, III ou
Categoria tarifária de operações (1ª, 2ª, 3ª, 4ª Classe ou Concessão)
Foram consideradas as informações completas e disponíveis dos últimos 10 anos para
movimentação anual de aeronaves na busca no sistema Hórus (MTPAC, 2017) em função da
restrição da base de dados do CENIPA (2017).
Foram obtidos dados de movimentação regular de aeronaves que ocorreram nesse
período no total de 164 aeroportos. A lista completa de aeroportos considerados na análise é
apresentada na Tabela 4.
15
Utilizando os parâmetros descritos na metodologia, a análise de clusters foi
desenvolvida com o auxílio do software IBM® SPSS©, em função da maior facilidade de
processamento dos dados. Como parâmetro preliminar de corte do dendrograma resultante e
para separação dos clusters, foi adotada uma linkage distance de valor 4, resultando em 5
clusters.
Tabela 4 – Aeroportos utilizados no estudo, identificados pelas siglas ICAO e organizados em
clusters. Fonte: o autor.
CLUSTERS
1
2
3
4
5
SBGR
SBSV
SBMO SBGO
SBDN
SBIP
SBCR
SBPF
SBME
SSOE
SILC
SBSP
SBCT
SBCY
SBBH
SBPL
SBML
SBUG
SBVH
SBJF
SSFB
SBCD
SBBR
SBPA
SBSL
SBAR
SBQV
SBUR
SBCN
SBTB
SBCM
SBGU
SWFX
SBGL
SBRF
SBSM
SBPV
SBCH
SBAU
SBDB
SBVG
SBAQ
SBMS
SNKE
SBCF
SBFZ
SBSN
SBMG
SBCA
SBAE
SBPB
SBUA SBNM SDCO
SNBS
SBKP
SBRJ
SBSG
SBPS
SBFN
SBCX
SBUF
SBLJ
SBMD SSUM
SBOI
SBBE
SBJV
SBSR
SBCB
SBIH
SBGV SBBW
SNJR
SBCI
SNRU
SBFL
SBRB
SBMA
SWSI
SBTF
SBRD
SWLC
SDRS
SBTD
SWJN
SBVT
SBBV
SBIL
SBRP
SBKG
SWPI
SWKO
SJRG
SSCK
SNOX
SBEG
SBCJ
SBPJ
SBUL
SBPK
SNBR
SWHT SNDC
SNBA
SIZX
SBCG
SBSJ
SBMQ
SBFI
SBAX SWGN SWCA
SWGI
SBTU
SWIQ
SBHT
SBLO
SBCP
SBTG
SNTF
SSJA
SNPD
SNMA
SBIZ
SBNF
SBJI
SSKW
SWEI
SBAA SWOB SWMW
SBJU
SBTE
SBZM
SNDV
SWLB
SNFX
SWTP SWBR
SBMK
SBJP
SBDO
SBLE
SWBC
SIMK
SDCG
SNDT
SBAT
SBFE
SBMY
SNVS SDOW
SJNP
SBTT
SNVB
SSZW
SSZR
SBCZ
SBLP
SBJA
SNGI
SSER
SWVC
Para os clusters encontrados, os acidentes reportados no Painel SIPAER (CENIPA,
2017) foram contabilizados (relativos à movimentação total do período considerado) pelos
seguintes parâmetros: tipo de ocorrência, fase de voo e natureza da operação da aeronave. Em
análise de redução das informações foram aplicados os seguintes filtros:
16
Somente tipos de ocorrências e fases de voo relacionadas à operação de
aeronaves no aeroporto (conforme descrições do MCA 3-6, COMAER, 2017)
foram incluídos na contagem;
considerados foram incluídas na contagem;
Somente ocorrências com ao menos um caso reportado dentre os aeroportos
Somente ocorrências com aeronaves em voos regulares foram incluídas na
contagem;
Os tipos de acidentes considerados na contagem foram: a) Abnormal Runway
Contact (ARC): pouso brusco e pouso sem trem; b) Loss of Separation/Midair Collisions
(MAC): tráfego aéreo; c) Ground Collision (GCOL): colisão com aeronave no solo, colisão
com obstáculo no solo e colisão de veículo com aeronave; d) Loss of Control - Ground (LOCG): perda de controle no solo; e) Runway Excursion (RE): saída de pista; f) Runway
Incursion (RI-A ou RI-VAP): incursão em pista com animal, veículo, aeronave ou pessoa; e,
g) Undershoot/Overshoot (USOS): pouso antes da pista, pouso em local não previsto e pouso
longo.
As fases de voo contempladas na contagem foram: a) Standing (STD):
estacionamento e operação de solo; b) Pushback/Towing (PBT): pushback e tratoragem; c)
Takeoff (TOF): decolagem; d) Approach (APR): circuito de tráfego, procedimento de
aproximação IFR, aproximação final, reta final e arremetida no ar; e) Landing (LDG): pouso e
corrida após pouso; e, f) Taxi (TXI): taxiamento.
Dentre os clusters analisados, de maneira geral, ground collision (GCOL), foi uma
classificação de ocorrência frequente e a única presente em todos os clusters. Em análise, as
ocorrências de GCOL estão concentradas nas fases de: standing (STD), taxi (TXI), landing
(LDG) e takeoff (TOF), sendo TXI a única presente na maioria dos clusters. Possibilitando a
comparação entre os clusters, ocorrências de GCOL durante operações de TXI foi o cenário
selecionado para desenvolver o estudo preliminar da análise STPA, discutido na próxima
sessão.
A Tabela 5 apresenta os atributos principais de caracterização de cada cluster e a
frequência dos tipos de ocorrências dentre os aeroportos de cada cluster.
Tabela 5 - Descrição dos clusters, frequências de ocorrências e fases de ocorrências. Fonte: o
autor.
17
Cluster
Características
Ocorrências
Fases de Ocorrência
de GCOL
6 aeroportos de grande porte
(hubs nacionais e internacionais)
Aproximação PA3-A, PA2 ou PA1
CLUSTER 1 125353 movimentos em média
Classe AP-3
Classe IV
1ª Classe ou Concessionado
0,00112% MAC
0,00111% GCOL
0,00069% LOC-G
0,00060% USOS
0,00035%ARC
0,00011% WSTRW
0,00007% CFIT
0,00005% RI-A/VAP
0,00064% STD
0,00019% TXI
0,00017% TOF
22 Aeroportos de grande-médio
porte (hubs regionais)
Aproximação PA2, PA1 ou NPA
26458 movimentos em média
Classe AP-3, AP-2, AP-1 ou AP-0
CLUSTER 2
Classe IV, Classe III, Classe II ou
Classe I
1ª Classe, 2ª Classe ou
Concessionado
0,00800% LOC-G
0,00651% GCOL
0,00135% MAC
0,00078% ARC
0,00048% RI-A/VAP
0,00042% USOS
0,00027% RE
0,00232% LDG
0,00120% STD
0,00012% TXI
30 Aeroportos de médio porte
(regionais)
Aproximação NPA ou NINST
7084 movimentos em média
CLUSTER 3
Classe AP-2 ou AP-1
Classe III ou Classe II
1ª Classe, 2ª Classe ou 3ª Classe
0,01007% LOC-G
0,00713% GCOL
0,00601% USOS
0,00306% ARC
0,00144% MAC
0,00116% RE
0,00239% TXI
0,00168% STD
0,00072% LDG
53 Aeroportos de pequeno porte
(locais e de integração)
Aproximação NPA ou NINST
1013 movimento em média
CLUSTER 4
Classe AP-1
Classe I
2ª Classe, 3ª Classe, 4ª Classe ou -
0,07776% LOC-G
0,05211% ARC
0,00842% MAC
0,00193% GCOL
53 Aeroportos de pequeno porte
(locais e de integração)
Aproximação NPA ou NINST
0,26596% GCOL
514 movimentos me média
CLUSTER 5
Classe AP-0 ou Classe AD
Classe II ou Classe I
2ª Classe, 3ª Classe, 4ª Classe ou -
5.2
0,00239% TXI
-
Análise STPA
Nesta seção, são apresentados os resultados do desenvolvimento preliminar da análise
STPA. Foi adotado um estudo de caso preliminar para teste da modelagem, sendo selecionado
18
o caso de ocorrência de GCOL durante a fase de operação de TXI no contexto dos aeroportos
do Cluster 1.
Segundo os termos do MCA 3-6 (COMAER, 2017) os casos de ocorrências de GCOL
se referem a: a) colisão com obstáculos (natural ou não, fixo ou móvel) no solo; b) colisão entre
duas aeronaves no solo; e c) colisão de veículo (de transporte terrestre) com aeronave. A fase
de TXI se refere ao taxiamento (aeronave se movimentando por meios próprios sobre a
superfície de um aeródromo excluindo pouso e decolagem). O Cluster 1, de maneira geral,
concentra aeroportos de grande porte, habilitados para aproximações por instrumentos de
precisão, com movimentação média de 125 mil operações ao ano.
O perigo associado seria a ocorrência de “uma aeronave controlada violar os padrões de
separação mínima entre ela mesma e obstáculos no solo, outras aeronaves ou veículos terrestres
durante uma operação de táxi”. A esse perigo pode ser atribuída a restrição de segurança de que
“uma aeronave controlada não deve violar os padrões de separação mínima entre ela mesma e
obstáculos no solo, outras aeronaves ou veículos terrestres durante uma operação de táxi”.
Considerando o aeroporto como sistema em análise e o controle de tráfego, a linha aérea
e as autoridades como componentes do ambiente operacional desse sistema, a documentação
básica da HSCS pode ser representada conforme a Figura 3.
Figura 3 - HSCS básica para o estudo de caso. Fonte: o autor.
Desenvolvendo cada componente e suas interações, uma estrutura mais detalhada da
HSCS foi modelada. Essa HSCS é apresentada na Figura 5 do Apêndice deste texto, que usa a
mesma legenda da Figura 4.
Para demonstração do estudo de caso, será discutido neste relatório o desenvolvimento
das ações de controle (control actions ou CAs) do controlador de tráfego no solo
(RWY/TWY/Apron Controller na Figura 5 ou Traffic Controller na Figura 6) para orientação da
19
tripulação da aeronave controlada (Aircraft Crew nas Figuras 5 e 6). A Figura 6 ilustra essa
relação na malha de controle a ser analisada.
Figura 4 - Malha de controle entre controlador de tráfego no solo e tripulação da aeronave
controlada no estudo de caso. Fonte: o autor.
As ações de controle em análise são baseadas nas possíveis orientações que podem ser
dadas pelo controlador de tráfego no solo à tripulação da aeronave controlada durante operações
de TXI na pista de pouso e decolagens (runway ou RWY), na pista de taxiamento (taxiway ou
TWY) ou no pátio de aeronaves (apron). São elas:
20
CA1. Orientação para acessar a RWY A pela RWY B;
CA2. Orientação para acessar a TWY C pela TWY D;
CA3. Orientação para acessar o Apron E pelo Apron F;
CA4. Orientação para acessar a RWY A pela TWY C;
CA5. Orientação para acessar a TWY D pela RWY B;
CA6. Orientação para acessar o Apron E pela TWY C; e
CA7. Orientação para acessar a TWY D pelo Apron F
A caracterização de UCAs é feita em análise conforme mostrado na Tabela 6 para o
caso da CA6.
Tabela 6 - Análise de segurança referente à CA6. Fonte: o autor.
Ação de
Controle (CA)
CA6:
Orientação para
acessar o Apron E
pela TWY C
Não fornecer
causa perigo
Fornecer causa
perigo
UCA6.1:
quando C é o
acesso correto
UCA6.2:
quando C não
é o acesso correto
UCA6.3:
quando
o
acesso C estará
fechado
UCA6.4:
quando
o
acesso C estará
ocupado
UCA6.5:
quando
o
acesso C estará
restrito
UCA6.6:
quando
é
fornecido a outra
aeronave
controlada
UCA6.7:
quando
a
manobra
não
pode ser realizada
Fornecer muito
cedo / muito
tarde / em
ordem errada
causa perigo
UCA6.8:
quando
fornecido muito
tarde
UCA6.9:
quando
fornecido
em
ordem errada
Fornecer com
duração muito
curta / muito
longa causa
perigo
-
A descrição completa da UCA6.3 (na Tabela 7), por exemplo, fica: “Controlador de
tráfego no solo fornece orientação à tripulação da aeronave controlada para acessar o Apron E
pela TWY C quando o acesso C estará fechado no momento da operação. ” Dessa UCA pode
21
ser derivada a seguinte recomendação de segurança (safety recommendation ou SR): “Um
controlador de tráfego no solo não deve fornecer orientação à tripulação de uma aeronave
controlada para acessar um Apron por uma TWY quando esta estará fechada no momento da
operação. ”
Um exemplo dessa situação é o caso do incidente ocorrido no Aeroporto Internacional
do Rio de Janeiro (Galeão) em setembro de 2013, onde uma aeronave Boeing 777, em táxi para
o pátio de estacionamento 2 no aeroporto, colidiu com sua ponta de asa direita contra a
empenagem vertical de uma aeronave Boeing 737-800. (CENIPA, 2017)
Desenvolvendo essa análise para as 7 CAs descritas, foram encontradas 112 UCAs que
devem ter cenários de causa (causal scenarios ou CS) analisados. Essa análise foi baseada em
4 CSs abstratos: a) inadequação na execução da CA; b) inadequação no processo decisório do
controlador; c) inadequação no feedback e em outras entradas; e d) inadequação no
comportamento do processo. Desses CSs abstratos, são derivados CSs detalhados com
inadequações, incoerências ou ausências nesses processos.
Foi ainda considerada nessa análise a modelagem interna dos controladores proposta
por France (2017), onde os controladores são representados em termos de modelos de processo
para estado, comportamento e ambiente, bem como atualizações nesses modelos e seleção de
CAs, como pode ser observado na Figura 4. Esse método apresenta maior detalhamento e
melhor orientação para a geração de CSs.
Tomando a UCA6.3 para o desenvolvimento dos CSs, alguns exemplos foram:
Inadequação no canal de comunicação;
Incoerência no modelo de configuração da aeronave adotado pelo controlador;
Desatualização no processo decisório do controlador;
Informação sobre o status do acesso ausente;
Controles conflitantes de outros controladores.
A análise preliminar resultou em 448 CSs abstratos e 5152 CSs detalhados. No total, ao
longo da análise, é estimada a geração de 6832 SRs. É coerente que grande parte dessas SRs já
façam parte de regulamentos e manuais, mas é possível que outras SRs sejam identificadas
como complementares àquelas praticadas atualmente. Essa verificação está realizada nos
próximos passos da pesquisa.
22
6 Limitações e Próximos Passos
Considerando a análise preliminar realizada, o método de agrupamento de aeroportos e
a análise de perigos STPA são coerentes com a proposta. Isso pode ser evidenciado pela
variação dentre os dados dos agrupamentos que pode ser observada. Dentro de cada cluster
existe similaridade entre os aeroportos, e fora dos clusters a dissimilaridade fica mais evidente.
Além disso, o caso de aplicação da análise STPA gerou recomendações relevantes para o grupo
de aeroportos selecionado, o que vai ao encontro dos objetivos deste estudo.
Contudo, há ainda que se revisar a análise STPA e realizar o mesmo processo para outros
grupos aeroportuários para que outras hipóteses possam ser discutidas. Além disso, o processo
de análise aplicado e as recomendações devem ser verificados.
Os próximos passos desse estudo são:
Fechamento da revisão de literatura;
Revisão da análise STPA para os casos selecionados; e
Verificação da análise realizada.
Referências
ANAC. Agência Nacional de Aviação Civil. Aeródromos Públicos - ANAC. Base de dados
pública. Disponível em: <http://www.anac.gov.br/assuntos/setorregulado/aerodromos/acesso-rapido/lista-de-aerodromos-publicos>. Acesso em: 23 jun. 2017.
APS, R.; FETISSOV, M.; GOERLANDT, F.; HELFERICH, J.; KOPTI, M.; KUJALA, P.
Towards STAMP Based Dynamic Safety Management of Eco-Socio-Technical Maritime
Transport System. Procedia Engineering, v. 128, p. 64–73, 2015.
ASHFORD, N. J. et al. Airport Operations. Third Edited. London: McGraw-Hill, 2013.
BALL, A. J. Identification of Leading Indicators for Producibility Risk in Early-Stage
Aerospace Product Development. Dissertação de Mestrado - Massachusetts Institute of
Technology, 2014.
BELLINI, L. A. Redução de riscos operacionais nos pátios dos aeroportos brasileiros.
Monografia de Especialização - Universidade de Brasília, 2008.
BLOM, H. A. P.; BAKKER, G. J.; BLANKER, P. J. G.; DAAMS, J.; EVERDIJ, M. H. C.
Accident Risk Assessment for Advanced Air Traffic Management Accident Risk Assessment
for Advanced Air Traffic Management. Relatório NLR-TP-2001-642. p. 1–27, 2001.
BRAITHWAITE, G. R.; CAVES, R. E.; FAULKNER, J. P. E. Australian aviation safety —
observations from the “lucky” country. Journal of Air Transport Management, v. 4, p. 55–
62, 1998.
23
BUTTON, K. Economic Aspects of Regional Airport Development. In: Development of
Regional Airports - Theoretical Analyses and Case Studies. Southampton, Boston: WIT
Press, 2010.
CAVALEIRO, O. G. Nível de Serviço em Aeroportos Regionais a partir da percepção de
passageiros para o componente Sala de Embarque. Dissertação de Mestrado - Instituto
Tecnológico de Aeronáutica, 2017.
CENIPA. Centro de Investigação e Prevenção de Acidentes Aeronáuticos. Painel SIPAER.
Base de dados pública. Disponível em:
<http://painelsipaer.cenipa.aer.mil.br/QvAJAXZfc/opendoc.htm?document=SIGAER%2Fgia
%2Fqvw%2Fpainel_sipaer.qvw&host=QVS%40cirros31-37&anonymous=true>. Acesso em:
23 jun. 2017.
CHANG, Y. H.; WONG, K. M. Human Risk Factors Associated with Runway Incursions.
Journal of Air Transport Management, v. 24, p. 25–30, 2012.
COMAER. Comando da Aeronáutica. Manual de Investigação do SIPAER. Norma MCA 3-6.
2011.
DE BOER, R. J.; JONG, S. DE. Application of STAMP to Facilitate Interventions to Improve
Platform Safety - How to apply the STAMP framework to safety management. 3rd STAMP
Workshop, 2014.
DECEA. Departamento de Controle do Espaço Aéreo. AISWEB - Cartas » Informações
Aeronáuticas Oficiais na WEB. Base de dados pública. Disponível em:
<http://www.aisweb.aer.mil.br/?i=cartas&filtro=1&nova=1>. Acesso em: 23 jun. 2017.
DULAC, N. A framework for dynamic safety and risk management modeling in complex
engineering systems. Tese de Doutorado - Massachusetts Institute of Technology, 2007.
FAJER, M. Sistemas de investigação dos acidentes aeronáuticos da aviação geral – uma
análise comparativa. Dissertação de Mestrado - Universidade de São Paulo, 2009.
FERNANDES, H. F. Requisitos para aeroportos regionais: análise do Aeroporto de
Joinville. Dissertação de Mestrado - Instituto Tecnológico de Aeronáutica, 2015.
FLEMING, C. H. Safety-Driven Early Concept Analysis and Development. Tese de
Doutorado - Massachusetts Institute of Technology, 2014.
FLEMING, C. H.; LEVESON, N. G. Including Safety during Early Development Phases of
Future Air Traffic Management Concepts. 11th USA/Europe Air Traffic Management
Research and Development Seminar, 2015b.
FLEMING, C. H.; LEVESON, N. Integrating Systems Safety into Systems Engineering
during Concept Development. INCOSE International Symposium, v. 25, n. 1, p. 989–1003,
2015a.
FRANCE, M. E. Engineering for Humans: A New Extension to STPA. Dissertação de
Mestrado - Massachusetts Institute of Technology, 2017.
24
HADJIMICHAEL, M. A fuzzy expert system for aviation risk assessment. Expert Systems
with Applications, v. 36, n. 3 part 2, p. 6512–6519, 2009.
ICAO, International Civil Aviation Organization. Annex 19 to the Convention on
International Civil Aviation - Safety Management. Disponível em:
<http://www.skybrary.aero/bookshelf/books/2422.pdf>. Acesso em: 13 maio. 2015.
ICAO, International Civil Aviation Organization. Convention on International Civil
Aviation. Montreal. 2006.
ISHIMATSU, T.; LEVESON, N.; THOMAS, J. Modeling and hazard analysis using STPA.
Cambridge, 2010.
JANIC, M. An assessment of risk and safety in civil aviation, Journal of Air Transport
Management. Journal of Air Transport Management, v. 6, p. 43–50, 2000.
JOHNSON, K. E. Systems-Theoretic Safety Analyses Extended for Coordination. Tese de
Doutorado - Massachusetts Institute of Technology, 2017.
LANDEGREN, F. Critical Infrastructures as Socio-Technical Systems Applications to
electricity distribution systems. Tese de Licenciatura - Lund University, 2014.
LARACY, J. R. A Systems-theoretic Security Model for Large Scale, Complex Systems
Applied to the US Air Transportation System. Dissertação de Mestrado - University of
Illinois, 2007.
LEE, W. K. Risk assessment modeling in aviation safety management. Journal of Air
Transport Management, v. 12, n. 5, p. 267–273, 2006.
LEVA, M. C. et al. Quantitative analysis of ATM safety issues using retrospective accident
data: The dynamic risk modelling project. Safety Science, v. 47, n. 2, p. 250–264, 2009.
LEVESON, N. A systems approach to risk management through leading safety indicators.
Reliability Engineering and System Safety, v. 136, p. 17–34, 2015a.
LEVESON, N. An STPA Primer. Version 2, p. 80, 2015b.
LEVESON, N. G. A new accident model for engineering safer systems. Safety Science, v. 42,
n. 4, p. 237–270, 2004.
LEVESON, N. G. Engineering a safer world: Systems thinking applied to safety.
Massachusetts: The MIT Press, 2011.
LEVESON, N. My 36 Years in System Safety : Looking Backward , Looking Forward.
Presented at the 5th MIT STAMP/STPA Workshop, 2016.
MEDEIROS, F. C. As Não-conformidades Construtivas dos Sistemas de Pistas dos
Aeroportos Brasileiros no que diz Respeito às Regras de Segurança Operacional.
Monografia de Especialização - Universidade de Brasília, 2009.
25
MTPAC. Ministério dos Transportes, Portos e Aviação Civil. Hórus - Dados Completos de
Movimentação. Disponível em: <https://horus.labtrans.ufsc.br/gerencial/>. Acesso em: 23
jun. 2017.
NETJASOV, F.; JANIC, M. A review of research on risk and safety modelling in civil
aviation. Journal of Air Transport Management, v. 14, n. 4, p. 213–220, 2008.
OSTER, C. V.; STRONG, J. S.; ZORN, C. K. Analyzing aviation safety: Problems,
challenges, opportunities. Research in Transportation Economics, v. 43, n. 1, p. 148–164,
2013.
PACHECO, R. R.; FERNANDES, E.; DOMINGOS, E. M. Airport airside safety index.
Journal of Air Transport Management, v. 34, p. 86–92, 2014.
PAPPOT, M.; DE BOER, R. J. The Integration of Drones in Today’s Society. Procedia
Engineering, v. 128, p. 54–63, 2015.
REN, F. C.; ZHONG, D. M.; CHEN, L. A logic-perspective flaw identifying method under
the STAMP framework. p. 549–556, 2015.
SANTOS, R. D. D. A. Análise de risco de incidentes de aeronaves em solo durante
operações de pouso ou decolagem. Monografia de Especialização - Universidade de
Brasília, 2009.
SCARINCI, A. Monitoring Safety during Airline Operations: A Systems Approach.
Dissertação de Mestrado - Massachusetts Institute of Technology, 2017.
SGUEGLIA, J. Managing Design Changes using Safety-Guided Design for a Safety
Critical Automotive System. Dissertação de Mestrado - Massachusetts Institute of
Technology, 2015.
SHAPIRO, S. From STPA-Sec to STPA-Priv : Leveraging STPA for Privacy Engineering.
Presented at the 5th MIT STAMP/STPA Workshop, 2016.
SHYUR, H.-J. A quantitative model for aviation safety risk assessment. Computers &
Industrial Engineering, v. 54, n. 1, p. 34–44, 2008.
SOUSA E SILVA, M. B. Estimação de Eventos de Segurança Operacional em Aeroportos por
meio de Filtro Adaptativo. Revista Conexão SIPAER, v.7, n.1, 2012.
STROEVE, S. H.; BLOM, H. A. P.; BAKKER, G. J. Systemic accident risk assessment in air
traffic by Monte Carlo simulation. Safety Science, v. 47, n. 2, p. 238–249, 2009.
THOMAS, J. Implementing STPA successfully in industry: Experiences across
industries. Presented at the 6th MIT STAMP/STPA Workshop, 2017.
THOMAS, J.; SGUEGLIA, J.; SUO, D.; LEVESON, N.; VERNACCHIA, M.;
SUNDARAM, P. An Integrated Approach to Requirements Development and Hazard
Analysis. SAE Technical Papers, 2015.
VRIJLING, J. K.; VAN HENGEL, W.; HOUBEN, R. J. Acceptable risk as a basis for design.
Reliability Engineering & System Safety, v. 59, n. 1, p. 141–150, jan. 1998.
26
WILKE, S.; MAJUMDAR, A.; OCHIENG, W. Y. Airport surface operations: A holistic
framework for operations modeling and risk management. Safety Science, v. 63, p. 18–33,
2014.
WILKE, S.; MAJUMDAR, A.; OCHIENG, W. Y. Modelling runway incursion severity.
Accident Analysis and Prevention, v. 79, p. 88–99, 2015.
WONG, D. K. Y. et al. The development of a more risk-sensitive and flexible airport safety
area strategy: Part I. The development of an improved accident frequency model. Safety
Science, v. 47, n. 7, p. 903–912, 2009a.
WONG, D. K. Y. et al. The development of a more risk-sensitive and flexible airport safety
area strategy: Part I. The development of an improved accident frequency model. Safety
Science, v. 47, n. 7, p. 903–912, 2009b.
WU, P. P. Y. et al. A framework for model integration and holistic modelling of sociotechnical systems. Decision Support Systems, v. 71, p. 14–27, 2015.
XENIDIS, Y.; GKOUMAS, N. Risk identification and fuzzy system-based risk analysis for
airport projects. In: STEENBERGEN ET AL. (Ed.). . Safety, Reliability and Risk Analysis:
Beyond the Horizon. London: Taylor & Francis Group, p. 2095–2102. 2014.
XU, X.; XU, ULREY, M. L.; BROWN, J. A.; MAST, J.; LAPIS, M. B. Safety Sufficiency for
NextGen: Assessment of Selected Existing Safety Methods, Tools, Processes, and
Regulations. NASA White Paper, n. February, 2013.
YOUNG, W.; LEVESON, N. G. An integrated approach to safety and security based on
systems theory. Communications of the ACM, v. 57, p. 31–35, 2014.
Apêndice
Figura 5 - Estrutura detalhada de HSCS para o estudo preliminar. Fonte: o autor.
27
28
7 Plano de Ação
Dados da Pesquisa:
Título da pesquisa: Abordagem STAMP aplicada à análise de requisitos de segurança
operacional na infraestrutura aeroportuária brasileira
Orientador: Cláudio Jorge Pinto Alves
Data do seminário: 17 de novembro de 2017
Nome do aluno: Idoaldo José de Lima
Relatora: Giovanna Miceli Ronzani Borille
Datas dos seminários anteriores: 12 de agosto de 2016 e 7 de julho de 2017
Atividades acadêmicas:
Disciplinas cursadas até o momento:
IT-200: Infraestrutura Aeronáutica
IT-204: Análise Operacional e Gerencial de Aeroportos
IT-300: Seminário de Tese
IT-203: Aeroportos
IT-207: Pesquisa Operacional Aplicada a Problemas de Transporte Aéreo
MB-249: Engenharia de Sistemas
TE-215: Segurança de Sistemas Aeroespaciais
Disciplinas em curso:
IT-300: Seminário de Tese
IT-500: Tese
Disciplinas a serem cursadas:
IT-500: Tese
Congressos que participou e submissões realizadas:
9º Simpósio de Segurança de Voo - SSV 2016
Artigo: “Abordagem STAMP aplicada à Análise de Acidentes na Operação Civil
de Aeronaves no Brasil”.
29
Situação: submetido, aceito, apresentado e anais publicados na Revista Conexão
SIPAER (vol. 7, no 1, p. 127-142, 2016).
http://conexaosipaer.cenipa.gov.br/index.php/sipaer/article/view/393
2017 MIT STAMP/STPA Workshop
Artigos: “CAST analysis of the PT-OVC Learjet 35A accident in Sao Paulo” e
“Preliminary CAST analysis of the LaMia CP-2933 accident”.
Situação: submetidos, aceitos, apresentados e apresentações publicadas na
página virtual do evento:
http://psas.scripts.mit.edu/home/2017-stamp-presentations/
XVI SITRAER - Simpósio de Transporte Aéreo 2017
Artigo: “Airport Characterization through System Safety Context”.
Situação: submetido, aceito e apresentado.
2018 MIT STAMP/STPA Workshop
Artigo: “STPA for Airports: analysing hazards in major hub airports”
Situação: em desenvolvimento para submissão
Cumprimento de prazos
Data prevista para conclusão das atividades de pesquisa e início da escrita da versão
final da tese e do artigo: janeiro de 2018
Data prevista de submissão do artigo a um periódico: maio 2018
Data prevista da submissão da tese: junho 2018
Tabela 7 - Plano de Ação
2016/2
Atividades
Disciplinas
Revisão de Literatura
Cenário e estudo de caso
Análise STPA
Recomendações de Segurança
Conclusões
Escrita da dissertação e do artigo
Submissão do artigo
Entrega e defesa da dissertação
2017/1
2017/2
2018/1
1º bim 2º bim 1º bim 2º bim 1º bim 2º bim 1º bim 2º bim
30
Periódico almejado para submissão
Nome do periódico: Journal of Air Transportation Management
management/
URL
do
periódico:
https://www.journals.elsevier.com/journal-of-air-transport-
Qualis do periódico: A2
Justificativa da escolha do periódico: Além do elevado impacto do periódico (Qualis
A2), é fonte de grande parte dos artigos utilizados na revisão que indicam as tendências
sobre as abordagens de análise de segurança em transporte aéreo.
31
Lista de Abreviaturas e Siglas
AD
ANAC
AP
APR
ARC
BPM
CA
CENIPA
COMAER
CS
DECEA
GCOL
HOTRAN
HSCS
ICAO
Infraero
LDG
LOC-G
MAC
MCA
MTPAC
NINST
NPA
PA1
PA2
PA3A
PBT
RE
RI-A
RI-VAP
RWY
SAC
SIPAER
SR
STAMP
STD
STECA
STPA
TOF
TWY
TXI
UCA
USOS
Aeródromo civil público não arrecadador de tarifas aeroportuárias
Agência Nacional de Aviação Civil
Aeródromo civil público arrecadador de tarifas aeroportuárias
Approach
Abnormal Runway Contact
Business Process Modelling
Control Action
Centro de Investigação e Prevenção de Acidentes Aeronáuticos
Comando da Aeronáutica
Causal Scenario
Departamento de Controle do Espaço Aéreo
Ground Collision
Horário de Transporte
Hierarchical Safety Control Structure
International Civil Aviation Organization
Empresa Brasileira de Infraestrutura Aeroportuária
Landing
Loss of Control on the Ground
Loss of Separation/Midair Collisions
Manual do Comando da Aeronáutica
Ministério dos Transportes, Portos e Aviação Civil
Non-Instrumental Approach
Non-Precision Approach
Precision Approach CAT-1
Precision Approach CAT-2
Precision Approach CAT-3A
Pushback/Towing
Runway Excursion
Runway Incursion with Animal
Runway Incursion with Vehicle, Aircraft or Pearson
Runway
Secretaria Nacional de Aviação Civil
Sistema de Investigação e Prevenção de Acidentes Aeronáuticos
Safety Recommendation
Systems-Theoretic Accident Model and Processes
Standing
Systems-Theoretic Early Concept Analysis
Systems-Theoretic Process Analysis
Takeoff
Taxiway
Taxi
Unsafe Control Action
Undershoot/Overshoot