Seminário de Tese apresentado no âmbito do Programa de Pós-Graduação em Engenharia de Infraestrutura Aeronáutica do Instituto Tecnológico de Aeronáutica, área Transporte Aéreo e Aeroportos. Idoaldo José de Lima ABORDAGEM STAMP APLICADA À ANÁLISE DE SEGURANÇA OPERACIONAL NA INFRAESTRUTURA AEROPORTUÁRIA BRASILERIA Cláudio Jorge Pinto Alves Orientador Giovanna Miceli Ronzani Borille Relatora Alessandro Vinícius Marques de Oliveira Coordenador de Área Campo Montenegro São José dos Campos, SP – Brasil 2017 ii Resumo Esta pesquisa tem como objetivo utilizar a análise de processos baseada na teoria de sistemas (Systems-Theoretic Process and Analysis, STPA) para avaliar perigos em operações de aeronaves em aeroportos brasileiros e propor adaptações adequadas aos requisitos de segurança operacional desses aeroportos. Será possível, dessa forma, verificar a utilização dessa abordagem para a análise de perigos em aeroportos, e possivelmente contribuir com melhorias para o sistema de transporte aéreo brasileiro. Além disso, na revisão de literatura até o momento não foram encontradas evidências de outros estudos utilizando essa abordagem no mesmo contexto proposto, indicando possíveis contribuições pioneiras para o setor. O desenvolvimento do trabalho foi organizado em 3 etapas. A primeira delas trata da obtenção dos dados de entrada necessários ao modelo por meio de uma análise de agrupamentos aeroportuários com base em atributos de contexto de segurança operacional. Utilizando os perigos identificados dentre os agrupamentos, então, foi aplicada a análise STPA para esses grupamentos. Por fim, os resultados dessa análise serão discutidos quanto à validade e aplicabilidade, e recomendações de segurança serão elaboradas para os agrupamentos de aeroportos. É esperado que este estudo identifique os principais perigos atualmente presentes na operação de aeroportos no Brasil. Além disso, os resultados indicados por esse processo devem gerar recomendações para implementação nos sistemas de aeroportuários brasileiros. Palavras-chave: Aeroportos; Segurança Operacional; STAMP; STPA iii Sumário 1 INTRODUÇÃO ................................................................................................................ 4 2 REVISÃO DA LITERATURA ....................................................................................... 5 2.1 Abordagens para análise de segurança operacional em aeroportos .................... 5 2.2 Abordagem STAMP/STPA ...................................................................................... 7 3 SYSTEM-THEORETIC PROCESS ANALYSIS (STPA) ............................................... 8 3.1 Fundamentos da engenharia de sistemas ............................................................... 9 3.2 Ações de Controle Inseguras (UCAs).................................................................... 10 3.3 Cenários Causais .................................................................................................... 10 4 METODOLOGIA........................................................................................................... 11 4.1 Agrupamento de aeroportos .................................................................................. 11 4.2 Análise STPA .......................................................................................................... 13 4.3 Recomendações de Segurança Operacional ......................................................... 13 5 RESULTADOS PRELIMINARES ............................................................................... 14 5.1 Agrupamento de aeroportos .................................................................................. 14 5.2 Análise STPA .......................................................................................................... 17 6 LIMITAÇÕES E PRÓXIMOS PASSOS ..................................................................... 22 REFERÊNCIAS ..................................................................................................................... 22 APÊNDICE ............................................................................................................................. 27 7 PLANO DE AÇÃO ......................................................................................................... 28 4 1 Introdução De maneira geral, os sistemas de transporte se desenvolveram de acordo com rotas de comércio, segundo rios, portos e ferrovias. Nesse contexto, uma alternativa relativamente nova, com grande expansão, é o transporte aéreo e a consequente necessidade de aeroportos, dada a flexibilidade das rotas e o tempo de viagem desse modo de transporte, segundo Button (2010). Contudo, conforme discutido por Laracy (2007) e Landegren (2014), junto desse crescimento, o sistema de infraestrutura de transporte aéreo se tornou amplo e crítico em segurança, evidenciando a necessidade de soluções coerentes, que sejam capazes de promover os níveis de segurança operacional adequados. O presente trabalho tem por objetivo utilizar a análise de processos baseada na teoria de sistemas (System-Theoretic Process and Analysis, STPA) para avaliar os perigos em operações de aeronaves nos aeroportos brasileiros e propor recomendações de segurança adequadas. Dessa forma, a pergunta de pesquisa consiste em: “A utilização da análise STPA para aeroportos é capaz de gerar recomendações de segurança coerentes com a realidade destes aeroportos? ” A análise de perigos ou análise de segurança operacional pode ser realizada de diversas formas. Entretanto, a maioria das técnicas utilizadas, como a análise de modos de falha e efeitos, a análise de árvore de falhas, e a análise probabilística de riscos dependem do paradigma da cadeia de eventos falhos que causam um evento indesejado (incidente). Modelos baseados nesse princípio geram simplificação das causas de um incidente uma vez que não consideram: a) a interação existente entre os componentes dentro de um sistema; b) a complexidade e as nãolinearidades dessas interações; c) os fatores sistêmicos presentes em um incidente; d) os erros humanos como sintomas de um sistema falho; ou ainda, os erros de desenvolvimento que um sistema pode apresentar. (DULAC, 2007; LEVESON, 2011) Uma abordagem diferente para esse problema foi proposta por Leveson (2004), chamada Systems-Theoretic Accident Model and Processes (STAMP). Nessa abordagem, processos falhos ou ineficientes passam a ser analisados como resultado das interações entre os componentes de um sistema que levam à violação das restrições desse sistema. Essa perspectiva inclui não apenas o sistema, mas também as interações entre seus componentes, e os erros humanos e de desenvolvimento do próprio sistema. A ferramenta específica de análise de perigos da abordagem STAMP é chamada Systems-Theoretical Process Analysis (STPA) e busca principalmente identificar perigos, dentre as interações entre os componentes de um sistema e propor um comportamento mais 5 seguro, por meio de requisitos de segurança mais coerentes. (ISHIMATSU; LEVESON; THOMAS, 2010; LEVESON, 2011) Considerando o aeroporto, um sistema com requisitos e restrições, a análise STPA é a ferramenta de análise proposta neste trabalho. É esperado que a utilização dessa abordagem para a análise de perigos em aeroportos contribua com melhorias para o sistema de transporte aéreo brasileiro. Este relatório é organizado em 6 seções, onde a primeira delas introduz o tema e o problema abordado pelo trabalho, esclarecendo os objetivos e motivações. A segunda apresenta o cenário do tema e os esforços de pesquisa desenvolvidos atualmente. Em seguida, é discutido o modelo de análise que será utilizado neste trabalho. Na quarta seção, é apresentada a formação do modelo conceitual para responder à pergunta de pesquisa. Então, são apontados os resultados preliminares do estudo, e, por fim, discutidas suas limitações e os próximos passos. 2 Revisão da Literatura Para discutir o tema e apresentar os trabalhos desenvolvidos atualmente, essa seção do texto foi organizada em duas partes. A primeira parte aborda a análise de segurança operacional em aeroportos e as diversas abordagens sugeridas pela literatura. A segunda é focada na discussão das diversas aplicações propostas utilizando a análise STPA. 2.1 Abordagens para análise de segurança operacional em aeroportos A Organização da Aviação Civil Internacional (ICAO, 2013) define o termo segurança operacional como o “estado no qual o risco de lesões a pessoas ou danos a bens se reduz ou se mantém em um nível aceitável, ou abaixo deste, por meio de um processo contínuo de identificação de perigos e gestão de riscos”. No contexto aeroportuário, bem como nos demais dos componentes do sistema de aviação civil, a segurança operacional é um dos temas centrais dos esforços de regulação nacionais e internacionais. (ICAO, 2006) Conforme discutido por Vrijling, van Hengel e Houben (1998) e Braithwaite, Caves e Faulkner (1998), para garantir os níveis de segurança operacional, o desenvolvimento e as decisões sobre o sistema devem ser feitos embasados na garantia do risco aceitável. Dessa forma, para que os níveis de segurança sejam alcançados e as taxas de ocorrências sejam reduzidas, é necessário que o risco seja quantificado e balanceado com as devidas medidas de 6 mitigação. Há ainda o problema apontado por Fajer (2009), da quantificação não apenas das taxas de falha técnica ou probabilidades ambientais, mas também dos fatores humanos e organizacionais, relativamente mais comuns atualmente. A literatura identificando abordagens para quantificar esse risco é bastante ampla. A Tabela 1 indica os trabalhos principais sobre as abordagens de análise de perigos utilizadas pela literatura, bem como os respectivos temas e metodologias utilizadas. Tabela 1 – Trabalhos sobre abordagens de análise de perigos no contexto da aviação. Trabalho Tema Janic (2000) Blom et al. (2001) Shyur (2008) Netjasov e Janic (2008) Operações em aviação civil Bellini (2008) Operações de pátio Metodologia Modelagem quantitativa de avaliação do risco de segurança operacional Medeiros (2009) Santos (2009) Pouso e decolagem Chang e Wong (2012) Incursão em pista Wong et al. (2009a, 2009b) Fernandes, Müller e Alves (2015) Fatores climáticos Lee (2006) Hadjimichel (2009) Pacheco, Fernandes e Domingos (2014) Xenidis e Gkoumas (2014) Riscos aeroportuários na percepção dos operadores Modelagem quantitativa baseada em lógica fuzzy Leva et al. (2009) Stroeve, Blom e Bakker (2009) Atividades aeroportuárias críticas Modelagem quantitativa baseada em simulações Monte Carlo Sousa e Silva (2012) Incursão de pista Modelagem quantitativa baseada em filtros adaptativos Wilke, Majumdar e Ochieng (2014, 2015) Wu et al. (2015) Operações aeroportuárias Modelagem quantitativa baseada em Business Process Modelling (BPM) É possível evidenciar uma crescente busca, principalmente na literatura mais recente, por abordagens mais integrativas e adequadas aos sistemas atuais. Contudo, os novos desafios em segurança operacional em aviação demandam o desenvolvimento de novas maneiras de lidar com esses problemas. Segundo Oster, Strong e Zorn (2013), são necessárias abordagens mais 7 proativas, preditivas e sistêmicas, uma vez que os sistemas estão mais interativos, sociais e dinâmicos. 2.2 Abordagem STAMP/STPA Em esforço para modelar de maneira sistêmica os perigos em sistemas técnicos, sociais e intensivos de software, como é o caso da aviação, Leveson (2004) propôs a abordagem STAMP e a ferramenta STPA. Essa abordagem já foi aplicada em diversos trabalhos de diferentes áreas de conhecimento. No contexto do transporte aéreo, essa ferramenta foi discutida para diferentes questões operacionais, como apresentado na Tabela 2 Tabela 2 – Trabalhos que aplicam STPA no contexto de transporte aéreo. Trabalho Tema Laracy (2007) Segurança contra atos de interferência ilícitos Fleming et al. (2012) Leveson, Fleming e Placke (2013) Xu et al. (2013) Fleming, Placke e Leveson (2013) Fleming et al. (2013) Fleming e Leveson (2015) Leveson et al. (2015) Garantia e certificação de segurança operacional do NextGen e de novos sistemas de transporte Boer e Jong (2014) Controle de pistas durante turnaround Pappot e de Boer (2015) Integração de drones ao sistema de transporte aéreo Scarini (2017) Monitoramento de segurança em operações de linha aérea Metodologia STPA Em busca de técnicas mais adequadas, estudos recentes propõem adaptações à análise STPA. A Tabela 3 aponta os novos trabalhos que aplicaram adaptações dessa ferramenta para outros temas. Tabela 3 – Trabalhos recentes que indicam adaptações de STPA. 8 Trabalho Tema Metodologia Aps et al. (2015) Ren, Zhong e Chen (2015) Sgueglia (2015) Thomas et al. (2015) Sistemas mais complexos STPA adaptada Shapiro (2016) Young e Leveson (2014) Johnson (2017) Outras propriedades emergentes específicas STPA-Security STPA-Privacy STPA-Coordination Ball (2014) Fleming (2014) Fleming e Leveson (2015a, 2015b) Desenvolvimento conceitual de sistemas STECA-Early Concept Leveson (2015a) Scarini (2017) Indicadores de segurança para gerenciamento de risco STPA-Leading Indicators France (2017) Extensão para componentes humanos STPA-Engineering for Humans Conforme ressaltado por Leveson (2016), a análise STPA está em avaliação pelas organizações internacionais de normas e regulação para identificação de perigos potenciais e novas aplicações em diversas áreas. Portanto, a proposta de aplicação da análise STPA ao contexto de aeroportos representa uma oportunidade não apenas de indicar novos rumos para a segurança operacional no setor, mas também contribuir para a consolidação da abordagem como uma ferramenta robusta para o entendimento de causalidade de ocorrências. Além disso, no estudo de revisão até o presente momento foram encontradas poucas evidências de trabalhos utilizando essa abordagem no mesmo contexto que o proposto, indicando possíveis contribuições inovadoras para o setor. As literaturas principais para referência do presente estudo sob a metodologia proposta, até então, são os estudos de: de Boer e Jong (2014), Leveson (2015), Cavaleiro (2017), France (2017) e Scarini (2017). 3 System-Theoretic Process Analysis (STPA) O procedimento de análise adotado segue a mesma estrutura descrita por Leveson (2015). Inicialmente, devem ser estabelecidos os fundamentos da engenharia de sistemas para análise. Definidas as bases do modelo a ser analisado, devem ser identificadas as ações de controle inseguras (Unsafe Control Actions, UCAs) potenciais. A partir das UCAs, devem ser 9 criados então os requisitos e as restrições de segurança e determinado como cada ação de controle potencialmente perigosa poderia ocorrer. 3.1 Fundamentos da engenharia de sistemas A análise STPA se inicia com as atividades básicas da engenharia de sistemas associadas à segurança: a) definição de quais são os acidentes e perdas que serão considerados no desenvolvimento da análise, b) identificação dos perigos associados com esses eventos e c) especificação dos respectivos requisitos e restrições de segurança do sistema em análise. Após definir essas informações fundamentais, deve ser elaborada uma estrutura funcional de controle do sistema de maneira hierárquica (Hierarchical Safety Control Structure, HSCS). Para determinar os objetivos e o escopo da análise, a definição do que é considerado um acidente ou uma perda inaceitável em um sistema deve ser feita antes de qualquer esforço de segurança. Um acidente é um evento indesejado e não planejado que resulta em perda, incluindo perda de vidas humanas ou lesões humanas, danos materiais, poluição ambiental, perda de missão, perda financeira, entre outras. Uma vez tomada uma decisão sobre as perdas a serem consideradas, os perigos associados a essas perdas podem ser identificados. Perigo é um estado do sistema ou conjunto de condições que, juntamente com uma pior condição de circunstâncias ambientais, levará a um acidente (ou perda). Após identificados os perigos do sistema em análise, estes podem ser derivados em requisitos ou restrições de segurança para esse sistema. Requisitos são usados para indicar o comportamento necessário para cumprir a missão do sistema, enquanto restrições descrevem limitações de como os objetivos da missão devem ser alcançados. Este processo traduz os perigos em exigências necessárias ao desenvolvimento e operação do sistema em questão. O próximo passo então é documentar a HSCS. Essa modelagem fornece uma representação gráfica concisa da lógica funcional do sistema em questão, facilitando o acompanhamento e verificação da análise. De uma maneira geral, a HSCS conta inicialmente com uma estrutura básica, com poucos componentes, e, em seguida, ela é refinada. O primeiro passo, portanto, na concepção da HSCS é identificar os principais componentes do sistema em análise. Em seguida, devem ser determinados quais são os controladores e os processos controlados. Uma vez identificada a estrutura básica (caixas do diagrama), detalhes como as ações de controle (setas para baixo), ações de feedback (setas para cima), responsabilidades e modelos 10 de processos dos controladores podem ser incluídos. Além disso, pode haver comunicação entre os controladores e cada componente pode ser decomposto em diferentes níveis de abstração. 3.2 Ações de Controle Inseguras (UCAs) Identificadas as bases da análise, o próximo passo é definir sob quais condições as ações de controle tomadas pelos controladores poderiam ser inseguras (unsafe control actions ou UCAs). A abordagem STAMP (LEVESON, 2015b) identifica quatro tipos de ações de controle que podem levar a um perigo:   Ação de controle necessária para a segurança não é fornecida;  Ação de controle fornecida causa perigo;  em sequência incorreta; Ação de controle potencialmente segura é fornecida muito tarde, muito cedo, ou Ação de controle segura é interrompida muito cedo ou aplicada por muito tempo; Um quinto tipo de situação pode ainda ser identificado, sendo a execução inadequada de uma ação de controle necessária para a segurança. As UCAs identificadas podem ser transcritas em restrições de segurança para o componente considerado, desdobrando assim as restrições iniciais em restrições para cada um dos componentes da HSCS. 3.3 Cenários Causais Uma vez que as UCAs são identificadas, o último passo da análise STPA é identificar as causas potenciais. Basicamente, esse procedimento envolve examinar a malha de controle e identificar como ela poderia levar a um controle inseguro. Esses cenários que podem indicar ações de controle fornecidas quando inseguras, ações de controle não executadas, além das causas de o modelo de processo estar incorreto. Em seguida, esses cenários são usados, para identificar soluções (controles) que podem ser implementados para proteger o sistema em análise. O desenvolvimento dessas soluções não faz parte da análise STPA, mas será discutido no presente estudo, conforme descrito na metodologia, na seção a seguir. 11 4 Metodologia Conforme indicado no fluxograma representado na Figura 1, a seguir, o desenvolvimento do trabalho está organizado em três partes principais: a) agrupamento de aeroportos para obtenção de dados (primeira linha do fluxograma); b) aplicação da análise STPA (segunda linha do fluxograma); e c) discussão dos resultados para elaboração de recomendações de segurança operacional (terceira linha do fluxograma). Figura 1 - Fluxograma de atividades propostas na metodologia. Fonte: o autor. 4.1 Agrupamento de aeroportos O primeiro passo da análise STPA envolve a delimitação dos objetivos e do escopo a ser adotado pelo processo de análise. Para isso, são necessárias: a) a definição de quais acidentes e perdas serão considerados, b) a identificação dos perigos associados a esses eventos e c) a construção da estrutura hierárquica de controle de segurança. Uma vez que o presente estudo objetiva a aplicação da análise para o sistema aeroportuário como um todo, e não para um estudo de caso específico, os fundamentos considerados para a análise devem apresentar elevada similaridade entre si. Contudo, conforme discutido por Ashford et al. (2013), é possível evidenciar diferenças de contexto operacional entre aeroportos diferentes, com diferentes perigos associados. Esse fato está associado às variações nas interações entre os componentes do aeroporto com o ambiente operacional ao redor do aeroporto (companhias aéreas, usuários, entre outros). 12 Dessa forma, o método adotado para a obtenção dos dados é organizado em quatro etapas: a) identificação de atributos de segurança operacional, b) caracterização dos aeroportos, c) agrupamento dos aeroportos, e d) levantamento dos acidentes associados. Antes de buscar informações dos aeroportos para o agrupamento, é necessário definir quais atributos aeroportuários devem ser considerados. Assim como no trabalho de Cavaleiro (2017), devem ser levantados os atributos relevantes à segurança relacionados com os elementos do aeroporto e do ambiente. Definido o conjunto de atributos, a informação de natureza de cada um desses atributos deve ser coletada para os aeroportos selecionados pelo estudo. No sentido de limitar as informações a serem coletadas, para a pesquisa proposta, os aeroportos analisados são restritos aos aeroportos que apresentam operações regulares em território brasileiro, com publicação no HOTRAN (MTPAC, 2017) nos últimos 10 anos. As informações de natureza dos atributos são coletadas na Lista de Aeródromos Públicos da ANAC (2017), no sistema Hórus (MTPAC, 2017) e no sistema AISWEB (DECEA, 2017). O procedimento de agrupamento adotado nesse estudo é o de análise multivariada por agrupamento (análise de clusters). Dessa forma, quando utilizados os dados generalistas de um agrupamento (cluster), é possível inferir às recomendações da análise STPA entre os aeroportos pertencentes àquele mesmo cluster. Os aeroportos são agrupados em clusters de acordo com suas medidas de similaridade. Após testes com variação dos parâmetros da análise, a medida de proximidade adotada é a Euclidiana quadrática, mais comumente utilizada e que melhor considera dados em escalas. Em conformidade com o estudo de Cavaleiro (2017), a abordagem aplicada é a de agrupamento hierárquico sem sobreposição, com método de agrupamento de Ward, que busca minimizar a variação dos atributos dentro dos clusters e maximizar a diferenciação entre clusters. Foi também utilizada a padronização dos dados por escalas uma vez que os atributos apresentam escalas diferentes. O resultado dessa análise é dado na forma de um dendrograma, evidenciando as relações hierárquicas entre os aeroportos estudados. Por fim, para cada um dos clusters encontrados, devem ser levantados os acidentes ocorridos no mesmo período. Essas informações de acidentes são coletadas no Painel SIPAER, base de dados abertos do CENIPA (2017), e processadas para evidenciar os acidentes mais comuns dentro de cada cluster. Esses dados são utilizados como entrada no processo de análise STPA a ser realizado no passo seguinte. 13 4.2 Análise STPA Após o agrupamento dos aeroportos e a identificação dos acidentes para cada cluster de aeroportos, serão aplicados os processos descritos no Capítulo 3 deste relatório. Considerando possível a generalização dos resultados dentro de um mesmo cluster de aeroportos, o método adotado nesta etapa consiste na aplicação de uma análise STPA para um dado cluster, a ser selecionado. Para isso, serão levados em conta os tipos de acidentes identificados como mais recorrentes neste dado cluster. Para este cluster selecionado, primeiramente são definidas as perdas (acidentes identificados na seção anterior), perigos e restrições associadas, e HSCS (elaborada em conformidade com a realidade dos aeroportos do cluster selecionado). Devem, então, ser identificadas as UCAs associadas a cada um dos controladores componentes do sistema e os respectivos requisitos e restrições de segurança. Por fim, são identificados os cenários que poderiam levar a essas UCAs. Dessa forma, serão identificados os principais requisitos e restrições de segurança que devem ser reforçados dentro do cluster de aeroportos para a melhoria dos níveis de segurança operacional dos aeroportos em estudo. A Figura 2 ilustra o processo de análise STPA por meio de um fluxograma. Figura 2 - Fluxograma das atividades do processo de análise STPA. Fonte: o autor. 4.3 Recomendações de Segurança Operacional Após a coleta dos resultados da análise STPA, os requisitos, as restrições e as causas levantadas para cada cluster devem ser verificados quanto à aplicabilidade ao sistema de aeroportos brasileiros. 14 Por fim, essas informações devem ser utilizadas para identificar recomendações de segurança operacional para o dado cluster de aeroportos e, possivelmente, para mais de um cluster. Essas discussões são de grande importância para a validade do estudo, aplicabilidade da metodologia e abordagem de análise ao contexto aeroportuário e de transporte aéreo em trabalhos posteriores. Em conclusão, é esperado que o estudo cumpra os objetivos propostos de aplicação da abordagem STAMP ao contexto de segurança operacional aeroportuário e indicação de possíveis melhorias para o sistema de transporte aéreo. 5 Resultados Preliminares A seguir, são apresentados resultados preliminares até a análise STPA (em revisão). 5.1 Agrupamento de aeroportos Para a análise proposta, o aeroporto é considerado um sistema dinâmico de interações entre os componentes e o ambiente externo (controle de tráfego, companhias aéreas, governo e vizinhança). Em busca sistemática de literatura não foram encontrados estudos que identificam atributos específicos de contexto de segurança para aeroportos. Foram considerados, portanto, os seguintes atributos como essencialmente representativos do contexto de segurança nos aeroportos para diferenciação de acidentes e HSCSs dentre os clusters:    Tipo de aproximação disponível (PA3A, PA2, PA1, NPA ou NINST); Movimentação média anual de aeronaves (nos últimos 10 anos, não nulos);  Nível de proteção contra atos de interferência ilícita (AP-3, 2, 1, 0 ou AD)  IV) Padrão de operação, manutenção e resposta a emergências (Classe I, II, III ou Categoria tarifária de operações (1ª, 2ª, 3ª, 4ª Classe ou Concessão) Foram consideradas as informações completas e disponíveis dos últimos 10 anos para movimentação anual de aeronaves na busca no sistema Hórus (MTPAC, 2017) em função da restrição da base de dados do CENIPA (2017). Foram obtidos dados de movimentação regular de aeronaves que ocorreram nesse período no total de 164 aeroportos. A lista completa de aeroportos considerados na análise é apresentada na Tabela 4. 15 Utilizando os parâmetros descritos na metodologia, a análise de clusters foi desenvolvida com o auxílio do software IBM® SPSS©, em função da maior facilidade de processamento dos dados. Como parâmetro preliminar de corte do dendrograma resultante e para separação dos clusters, foi adotada uma linkage distance de valor 4, resultando em 5 clusters. Tabela 4 – Aeroportos utilizados no estudo, identificados pelas siglas ICAO e organizados em clusters. Fonte: o autor. CLUSTERS 1 2 3 4 5 SBGR SBSV SBMO SBGO SBDN SBIP SBCR SBPF SBME SSOE SILC SBSP SBCT SBCY SBBH SBPL SBML SBUG SBVH SBJF SSFB SBCD SBBR SBPA SBSL SBAR SBQV SBUR SBCN SBTB SBCM SBGU SWFX SBGL SBRF SBSM SBPV SBCH SBAU SBDB SBVG SBAQ SBMS SNKE SBCF SBFZ SBSN SBMG SBCA SBAE SBPB SBUA SBNM SDCO SNBS SBKP SBRJ SBSG SBPS SBFN SBCX SBUF SBLJ SBMD SSUM SBOI SBBE SBJV SBSR SBCB SBIH SBGV SBBW SNJR SBCI SNRU SBFL SBRB SBMA SWSI SBTF SBRD SWLC SDRS SBTD SWJN SBVT SBBV SBIL SBRP SBKG SWPI SWKO SJRG SSCK SNOX SBEG SBCJ SBPJ SBUL SBPK SNBR SWHT SNDC SNBA SIZX SBCG SBSJ SBMQ SBFI SBAX SWGN SWCA SWGI SBTU SWIQ SBHT SBLO SBCP SBTG SNTF SSJA SNPD SNMA SBIZ SBNF SBJI SSKW SWEI SBAA SWOB SWMW SBJU SBTE SBZM SNDV SWLB SNFX SWTP SWBR SBMK SBJP SBDO SBLE SWBC SIMK SDCG SNDT SBAT SBFE SBMY SNVS SDOW SJNP SBTT SNVB SSZW SSZR SBCZ SBLP SBJA SNGI SSER SWVC Para os clusters encontrados, os acidentes reportados no Painel SIPAER (CENIPA, 2017) foram contabilizados (relativos à movimentação total do período considerado) pelos seguintes parâmetros: tipo de ocorrência, fase de voo e natureza da operação da aeronave. Em análise de redução das informações foram aplicados os seguintes filtros: 16  Somente tipos de ocorrências e fases de voo relacionadas à operação de aeronaves no aeroporto (conforme descrições do MCA 3-6, COMAER, 2017)  foram incluídos na contagem;  considerados foram incluídas na contagem; Somente ocorrências com ao menos um caso reportado dentre os aeroportos Somente ocorrências com aeronaves em voos regulares foram incluídas na contagem; Os tipos de acidentes considerados na contagem foram: a) Abnormal Runway Contact (ARC): pouso brusco e pouso sem trem; b) Loss of Separation/Midair Collisions (MAC): tráfego aéreo; c) Ground Collision (GCOL): colisão com aeronave no solo, colisão com obstáculo no solo e colisão de veículo com aeronave; d) Loss of Control - Ground (LOCG): perda de controle no solo; e) Runway Excursion (RE): saída de pista; f) Runway Incursion (RI-A ou RI-VAP): incursão em pista com animal, veículo, aeronave ou pessoa; e, g) Undershoot/Overshoot (USOS): pouso antes da pista, pouso em local não previsto e pouso longo. As fases de voo contempladas na contagem foram: a) Standing (STD): estacionamento e operação de solo; b) Pushback/Towing (PBT): pushback e tratoragem; c) Takeoff (TOF): decolagem; d) Approach (APR): circuito de tráfego, procedimento de aproximação IFR, aproximação final, reta final e arremetida no ar; e) Landing (LDG): pouso e corrida após pouso; e, f) Taxi (TXI): taxiamento. Dentre os clusters analisados, de maneira geral, ground collision (GCOL), foi uma classificação de ocorrência frequente e a única presente em todos os clusters. Em análise, as ocorrências de GCOL estão concentradas nas fases de: standing (STD), taxi (TXI), landing (LDG) e takeoff (TOF), sendo TXI a única presente na maioria dos clusters. Possibilitando a comparação entre os clusters, ocorrências de GCOL durante operações de TXI foi o cenário selecionado para desenvolver o estudo preliminar da análise STPA, discutido na próxima sessão. A Tabela 5 apresenta os atributos principais de caracterização de cada cluster e a frequência dos tipos de ocorrências dentre os aeroportos de cada cluster. Tabela 5 - Descrição dos clusters, frequências de ocorrências e fases de ocorrências. Fonte: o autor. 17 Cluster Características Ocorrências Fases de Ocorrência de GCOL 6 aeroportos de grande porte (hubs nacionais e internacionais) Aproximação PA3-A, PA2 ou PA1 CLUSTER 1 125353 movimentos em média Classe AP-3 Classe IV 1ª Classe ou Concessionado 0,00112% MAC 0,00111% GCOL 0,00069% LOC-G 0,00060% USOS 0,00035%ARC 0,00011% WSTRW 0,00007% CFIT 0,00005% RI-A/VAP 0,00064% STD 0,00019% TXI 0,00017% TOF 22 Aeroportos de grande-médio porte (hubs regionais) Aproximação PA2, PA1 ou NPA 26458 movimentos em média Classe AP-3, AP-2, AP-1 ou AP-0 CLUSTER 2 Classe IV, Classe III, Classe II ou Classe I 1ª Classe, 2ª Classe ou Concessionado 0,00800% LOC-G 0,00651% GCOL 0,00135% MAC 0,00078% ARC 0,00048% RI-A/VAP 0,00042% USOS 0,00027% RE 0,00232% LDG 0,00120% STD 0,00012% TXI 30 Aeroportos de médio porte (regionais) Aproximação NPA ou NINST 7084 movimentos em média CLUSTER 3 Classe AP-2 ou AP-1 Classe III ou Classe II 1ª Classe, 2ª Classe ou 3ª Classe 0,01007% LOC-G 0,00713% GCOL 0,00601% USOS 0,00306% ARC 0,00144% MAC 0,00116% RE 0,00239% TXI 0,00168% STD 0,00072% LDG 53 Aeroportos de pequeno porte (locais e de integração) Aproximação NPA ou NINST 1013 movimento em média CLUSTER 4 Classe AP-1 Classe I 2ª Classe, 3ª Classe, 4ª Classe ou - 0,07776% LOC-G 0,05211% ARC 0,00842% MAC 0,00193% GCOL 53 Aeroportos de pequeno porte (locais e de integração) Aproximação NPA ou NINST 0,26596% GCOL 514 movimentos me média CLUSTER 5 Classe AP-0 ou Classe AD Classe II ou Classe I 2ª Classe, 3ª Classe, 4ª Classe ou - 5.2 0,00239% TXI - Análise STPA Nesta seção, são apresentados os resultados do desenvolvimento preliminar da análise STPA. Foi adotado um estudo de caso preliminar para teste da modelagem, sendo selecionado 18 o caso de ocorrência de GCOL durante a fase de operação de TXI no contexto dos aeroportos do Cluster 1. Segundo os termos do MCA 3-6 (COMAER, 2017) os casos de ocorrências de GCOL se referem a: a) colisão com obstáculos (natural ou não, fixo ou móvel) no solo; b) colisão entre duas aeronaves no solo; e c) colisão de veículo (de transporte terrestre) com aeronave. A fase de TXI se refere ao taxiamento (aeronave se movimentando por meios próprios sobre a superfície de um aeródromo excluindo pouso e decolagem). O Cluster 1, de maneira geral, concentra aeroportos de grande porte, habilitados para aproximações por instrumentos de precisão, com movimentação média de 125 mil operações ao ano. O perigo associado seria a ocorrência de “uma aeronave controlada violar os padrões de separação mínima entre ela mesma e obstáculos no solo, outras aeronaves ou veículos terrestres durante uma operação de táxi”. A esse perigo pode ser atribuída a restrição de segurança de que “uma aeronave controlada não deve violar os padrões de separação mínima entre ela mesma e obstáculos no solo, outras aeronaves ou veículos terrestres durante uma operação de táxi”. Considerando o aeroporto como sistema em análise e o controle de tráfego, a linha aérea e as autoridades como componentes do ambiente operacional desse sistema, a documentação básica da HSCS pode ser representada conforme a Figura 3. Figura 3 - HSCS básica para o estudo de caso. Fonte: o autor. Desenvolvendo cada componente e suas interações, uma estrutura mais detalhada da HSCS foi modelada. Essa HSCS é apresentada na Figura 5 do Apêndice deste texto, que usa a mesma legenda da Figura 4. Para demonstração do estudo de caso, será discutido neste relatório o desenvolvimento das ações de controle (control actions ou CAs) do controlador de tráfego no solo (RWY/TWY/Apron Controller na Figura 5 ou Traffic Controller na Figura 6) para orientação da 19 tripulação da aeronave controlada (Aircraft Crew nas Figuras 5 e 6). A Figura 6 ilustra essa relação na malha de controle a ser analisada. Figura 4 - Malha de controle entre controlador de tráfego no solo e tripulação da aeronave controlada no estudo de caso. Fonte: o autor. As ações de controle em análise são baseadas nas possíveis orientações que podem ser dadas pelo controlador de tráfego no solo à tripulação da aeronave controlada durante operações de TXI na pista de pouso e decolagens (runway ou RWY), na pista de taxiamento (taxiway ou TWY) ou no pátio de aeronaves (apron). São elas: 20 CA1. Orientação para acessar a RWY A pela RWY B; CA2. Orientação para acessar a TWY C pela TWY D; CA3. Orientação para acessar o Apron E pelo Apron F; CA4. Orientação para acessar a RWY A pela TWY C; CA5. Orientação para acessar a TWY D pela RWY B; CA6. Orientação para acessar o Apron E pela TWY C; e CA7. Orientação para acessar a TWY D pelo Apron F A caracterização de UCAs é feita em análise conforme mostrado na Tabela 6 para o caso da CA6. Tabela 6 - Análise de segurança referente à CA6. Fonte: o autor. Ação de Controle (CA) CA6: Orientação para acessar o Apron E pela TWY C Não fornecer causa perigo Fornecer causa perigo UCA6.1: quando C é o acesso correto UCA6.2: quando C não é o acesso correto UCA6.3: quando o acesso C estará fechado UCA6.4: quando o acesso C estará ocupado UCA6.5: quando o acesso C estará restrito UCA6.6: quando é fornecido a outra aeronave controlada UCA6.7: quando a manobra não pode ser realizada Fornecer muito cedo / muito tarde / em ordem errada causa perigo UCA6.8: quando fornecido muito tarde UCA6.9: quando fornecido em ordem errada Fornecer com duração muito curta / muito longa causa perigo - A descrição completa da UCA6.3 (na Tabela 7), por exemplo, fica: “Controlador de tráfego no solo fornece orientação à tripulação da aeronave controlada para acessar o Apron E pela TWY C quando o acesso C estará fechado no momento da operação. ” Dessa UCA pode 21 ser derivada a seguinte recomendação de segurança (safety recommendation ou SR): “Um controlador de tráfego no solo não deve fornecer orientação à tripulação de uma aeronave controlada para acessar um Apron por uma TWY quando esta estará fechada no momento da operação. ” Um exemplo dessa situação é o caso do incidente ocorrido no Aeroporto Internacional do Rio de Janeiro (Galeão) em setembro de 2013, onde uma aeronave Boeing 777, em táxi para o pátio de estacionamento 2 no aeroporto, colidiu com sua ponta de asa direita contra a empenagem vertical de uma aeronave Boeing 737-800. (CENIPA, 2017) Desenvolvendo essa análise para as 7 CAs descritas, foram encontradas 112 UCAs que devem ter cenários de causa (causal scenarios ou CS) analisados. Essa análise foi baseada em 4 CSs abstratos: a) inadequação na execução da CA; b) inadequação no processo decisório do controlador; c) inadequação no feedback e em outras entradas; e d) inadequação no comportamento do processo. Desses CSs abstratos, são derivados CSs detalhados com inadequações, incoerências ou ausências nesses processos. Foi ainda considerada nessa análise a modelagem interna dos controladores proposta por France (2017), onde os controladores são representados em termos de modelos de processo para estado, comportamento e ambiente, bem como atualizações nesses modelos e seleção de CAs, como pode ser observado na Figura 4. Esse método apresenta maior detalhamento e melhor orientação para a geração de CSs. Tomando a UCA6.3 para o desenvolvimento dos CSs, alguns exemplos foram:   Inadequação no canal de comunicação;  Incoerência no modelo de configuração da aeronave adotado pelo controlador;  Desatualização no processo decisório do controlador;  Informação sobre o status do acesso ausente; Controles conflitantes de outros controladores. A análise preliminar resultou em 448 CSs abstratos e 5152 CSs detalhados. No total, ao longo da análise, é estimada a geração de 6832 SRs. É coerente que grande parte dessas SRs já façam parte de regulamentos e manuais, mas é possível que outras SRs sejam identificadas como complementares àquelas praticadas atualmente. Essa verificação está realizada nos próximos passos da pesquisa. 22 6 Limitações e Próximos Passos Considerando a análise preliminar realizada, o método de agrupamento de aeroportos e a análise de perigos STPA são coerentes com a proposta. Isso pode ser evidenciado pela variação dentre os dados dos agrupamentos que pode ser observada. Dentro de cada cluster existe similaridade entre os aeroportos, e fora dos clusters a dissimilaridade fica mais evidente. Além disso, o caso de aplicação da análise STPA gerou recomendações relevantes para o grupo de aeroportos selecionado, o que vai ao encontro dos objetivos deste estudo. Contudo, há ainda que se revisar a análise STPA e realizar o mesmo processo para outros grupos aeroportuários para que outras hipóteses possam ser discutidas. Além disso, o processo de análise aplicado e as recomendações devem ser verificados. Os próximos passos desse estudo são:    Fechamento da revisão de literatura; Revisão da análise STPA para os casos selecionados; e Verificação da análise realizada. Referências ANAC. Agência Nacional de Aviação Civil. Aeródromos Públicos - ANAC. Base de dados pública. Disponível em: <http://www.anac.gov.br/assuntos/setorregulado/aerodromos/acesso-rapido/lista-de-aerodromos-publicos>. Acesso em: 23 jun. 2017. APS, R.; FETISSOV, M.; GOERLANDT, F.; HELFERICH, J.; KOPTI, M.; KUJALA, P. Towards STAMP Based Dynamic Safety Management of Eco-Socio-Technical Maritime Transport System. Procedia Engineering, v. 128, p. 64–73, 2015. ASHFORD, N. J. et al. Airport Operations. Third Edited. London: McGraw-Hill, 2013. BALL, A. J. Identification of Leading Indicators for Producibility Risk in Early-Stage Aerospace Product Development. Dissertação de Mestrado - Massachusetts Institute of Technology, 2014. BELLINI, L. A. Redução de riscos operacionais nos pátios dos aeroportos brasileiros. Monografia de Especialização - Universidade de Brasília, 2008. BLOM, H. A. P.; BAKKER, G. J.; BLANKER, P. J. G.; DAAMS, J.; EVERDIJ, M. H. C. Accident Risk Assessment for Advanced Air Traffic Management Accident Risk Assessment for Advanced Air Traffic Management. Relatório NLR-TP-2001-642. p. 1–27, 2001. BRAITHWAITE, G. R.; CAVES, R. E.; FAULKNER, J. P. E. Australian aviation safety — observations from the “lucky” country. Journal of Air Transport Management, v. 4, p. 55– 62, 1998. 23 BUTTON, K. Economic Aspects of Regional Airport Development. In: Development of Regional Airports - Theoretical Analyses and Case Studies. Southampton, Boston: WIT Press, 2010. CAVALEIRO, O. G. Nível de Serviço em Aeroportos Regionais a partir da percepção de passageiros para o componente Sala de Embarque. Dissertação de Mestrado - Instituto Tecnológico de Aeronáutica, 2017. CENIPA. Centro de Investigação e Prevenção de Acidentes Aeronáuticos. Painel SIPAER. Base de dados pública. Disponível em: <http://painelsipaer.cenipa.aer.mil.br/QvAJAXZfc/opendoc.htm?document=SIGAER%2Fgia %2Fqvw%2Fpainel_sipaer.qvw&host=QVS%40cirros31-37&anonymous=true>. Acesso em: 23 jun. 2017. CHANG, Y. H.; WONG, K. M. Human Risk Factors Associated with Runway Incursions. Journal of Air Transport Management, v. 24, p. 25–30, 2012. COMAER. Comando da Aeronáutica. Manual de Investigação do SIPAER. Norma MCA 3-6. 2011. DE BOER, R. J.; JONG, S. DE. Application of STAMP to Facilitate Interventions to Improve Platform Safety - How to apply the STAMP framework to safety management. 3rd STAMP Workshop, 2014. DECEA. Departamento de Controle do Espaço Aéreo. AISWEB - Cartas » Informações Aeronáuticas Oficiais na WEB. Base de dados pública. Disponível em: <http://www.aisweb.aer.mil.br/?i=cartas&filtro=1&nova=1>. Acesso em: 23 jun. 2017. DULAC, N. A framework for dynamic safety and risk management modeling in complex engineering systems. Tese de Doutorado - Massachusetts Institute of Technology, 2007. FAJER, M. Sistemas de investigação dos acidentes aeronáuticos da aviação geral – uma análise comparativa. Dissertação de Mestrado - Universidade de São Paulo, 2009. FERNANDES, H. F. Requisitos para aeroportos regionais: análise do Aeroporto de Joinville. Dissertação de Mestrado - Instituto Tecnológico de Aeronáutica, 2015. FLEMING, C. H. Safety-Driven Early Concept Analysis and Development. Tese de Doutorado - Massachusetts Institute of Technology, 2014. FLEMING, C. H.; LEVESON, N. G. Including Safety during Early Development Phases of Future Air Traffic Management Concepts. 11th USA/Europe Air Traffic Management Research and Development Seminar, 2015b. FLEMING, C. H.; LEVESON, N. Integrating Systems Safety into Systems Engineering during Concept Development. INCOSE International Symposium, v. 25, n. 1, p. 989–1003, 2015a. FRANCE, M. E. Engineering for Humans: A New Extension to STPA. Dissertação de Mestrado - Massachusetts Institute of Technology, 2017. 24 HADJIMICHAEL, M. A fuzzy expert system for aviation risk assessment. Expert Systems with Applications, v. 36, n. 3 part 2, p. 6512–6519, 2009. ICAO, International Civil Aviation Organization. Annex 19 to the Convention on International Civil Aviation - Safety Management. Disponível em: <http://www.skybrary.aero/bookshelf/books/2422.pdf>. Acesso em: 13 maio. 2015. ICAO, International Civil Aviation Organization. Convention on International Civil Aviation. Montreal. 2006. ISHIMATSU, T.; LEVESON, N.; THOMAS, J. Modeling and hazard analysis using STPA. Cambridge, 2010. JANIC, M. An assessment of risk and safety in civil aviation, Journal of Air Transport Management. Journal of Air Transport Management, v. 6, p. 43–50, 2000. JOHNSON, K. E. Systems-Theoretic Safety Analyses Extended for Coordination. Tese de Doutorado - Massachusetts Institute of Technology, 2017. LANDEGREN, F. Critical Infrastructures as Socio-Technical Systems Applications to electricity distribution systems. Tese de Licenciatura - Lund University, 2014. LARACY, J. R. A Systems-theoretic Security Model for Large Scale, Complex Systems Applied to the US Air Transportation System. Dissertação de Mestrado - University of Illinois, 2007. LEE, W. K. Risk assessment modeling in aviation safety management. Journal of Air Transport Management, v. 12, n. 5, p. 267–273, 2006. LEVA, M. C. et al. Quantitative analysis of ATM safety issues using retrospective accident data: The dynamic risk modelling project. Safety Science, v. 47, n. 2, p. 250–264, 2009. LEVESON, N. A systems approach to risk management through leading safety indicators. Reliability Engineering and System Safety, v. 136, p. 17–34, 2015a. LEVESON, N. An STPA Primer. Version 2, p. 80, 2015b. LEVESON, N. G. A new accident model for engineering safer systems. Safety Science, v. 42, n. 4, p. 237–270, 2004. LEVESON, N. G. Engineering a safer world: Systems thinking applied to safety. Massachusetts: The MIT Press, 2011. LEVESON, N. My 36 Years in System Safety : Looking Backward , Looking Forward. Presented at the 5th MIT STAMP/STPA Workshop, 2016. MEDEIROS, F. C. As Não-conformidades Construtivas dos Sistemas de Pistas dos Aeroportos Brasileiros no que diz Respeito às Regras de Segurança Operacional. Monografia de Especialização - Universidade de Brasília, 2009. 25 MTPAC. Ministério dos Transportes, Portos e Aviação Civil. Hórus - Dados Completos de Movimentação. Disponível em: <https://horus.labtrans.ufsc.br/gerencial/>. Acesso em: 23 jun. 2017. NETJASOV, F.; JANIC, M. A review of research on risk and safety modelling in civil aviation. Journal of Air Transport Management, v. 14, n. 4, p. 213–220, 2008. OSTER, C. V.; STRONG, J. S.; ZORN, C. K. Analyzing aviation safety: Problems, challenges, opportunities. Research in Transportation Economics, v. 43, n. 1, p. 148–164, 2013. PACHECO, R. R.; FERNANDES, E.; DOMINGOS, E. M. Airport airside safety index. Journal of Air Transport Management, v. 34, p. 86–92, 2014. PAPPOT, M.; DE BOER, R. J. The Integration of Drones in Today’s Society. Procedia Engineering, v. 128, p. 54–63, 2015. REN, F. C.; ZHONG, D. M.; CHEN, L. A logic-perspective flaw identifying method under the STAMP framework. p. 549–556, 2015. SANTOS, R. D. D. A. Análise de risco de incidentes de aeronaves em solo durante operações de pouso ou decolagem. Monografia de Especialização - Universidade de Brasília, 2009. SCARINCI, A. Monitoring Safety during Airline Operations: A Systems Approach. Dissertação de Mestrado - Massachusetts Institute of Technology, 2017. SGUEGLIA, J. Managing Design Changes using Safety-Guided Design for a Safety Critical Automotive System. Dissertação de Mestrado - Massachusetts Institute of Technology, 2015. SHAPIRO, S. From STPA-Sec to STPA-Priv : Leveraging STPA for Privacy Engineering. Presented at the 5th MIT STAMP/STPA Workshop, 2016. SHYUR, H.-J. A quantitative model for aviation safety risk assessment. Computers & Industrial Engineering, v. 54, n. 1, p. 34–44, 2008. SOUSA E SILVA, M. B. Estimação de Eventos de Segurança Operacional em Aeroportos por meio de Filtro Adaptativo. Revista Conexão SIPAER, v.7, n.1, 2012. STROEVE, S. H.; BLOM, H. A. P.; BAKKER, G. J. Systemic accident risk assessment in air traffic by Monte Carlo simulation. Safety Science, v. 47, n. 2, p. 238–249, 2009. THOMAS, J. Implementing STPA successfully in industry: Experiences across industries. Presented at the 6th MIT STAMP/STPA Workshop, 2017. THOMAS, J.; SGUEGLIA, J.; SUO, D.; LEVESON, N.; VERNACCHIA, M.; SUNDARAM, P. An Integrated Approach to Requirements Development and Hazard Analysis. SAE Technical Papers, 2015. VRIJLING, J. K.; VAN HENGEL, W.; HOUBEN, R. J. Acceptable risk as a basis for design. Reliability Engineering & System Safety, v. 59, n. 1, p. 141–150, jan. 1998. 26 WILKE, S.; MAJUMDAR, A.; OCHIENG, W. Y. Airport surface operations: A holistic framework for operations modeling and risk management. Safety Science, v. 63, p. 18–33, 2014. WILKE, S.; MAJUMDAR, A.; OCHIENG, W. Y. Modelling runway incursion severity. Accident Analysis and Prevention, v. 79, p. 88–99, 2015. WONG, D. K. Y. et al. The development of a more risk-sensitive and flexible airport safety area strategy: Part I. The development of an improved accident frequency model. Safety Science, v. 47, n. 7, p. 903–912, 2009a. WONG, D. K. Y. et al. The development of a more risk-sensitive and flexible airport safety area strategy: Part I. The development of an improved accident frequency model. Safety Science, v. 47, n. 7, p. 903–912, 2009b. WU, P. P. Y. et al. A framework for model integration and holistic modelling of sociotechnical systems. Decision Support Systems, v. 71, p. 14–27, 2015. XENIDIS, Y.; GKOUMAS, N. Risk identification and fuzzy system-based risk analysis for airport projects. In: STEENBERGEN ET AL. (Ed.). . Safety, Reliability and Risk Analysis: Beyond the Horizon. London: Taylor & Francis Group, p. 2095–2102. 2014. XU, X.; XU, ULREY, M. L.; BROWN, J. A.; MAST, J.; LAPIS, M. B. Safety Sufficiency for NextGen: Assessment of Selected Existing Safety Methods, Tools, Processes, and Regulations. NASA White Paper, n. February, 2013. YOUNG, W.; LEVESON, N. G. An integrated approach to safety and security based on systems theory. Communications of the ACM, v. 57, p. 31–35, 2014. Apêndice Figura 5 - Estrutura detalhada de HSCS para o estudo preliminar. Fonte: o autor. 27 28 7 Plano de Ação Dados da Pesquisa:  Título da pesquisa: Abordagem STAMP aplicada à análise de requisitos de segurança  operacional na infraestrutura aeroportuária brasileira  Orientador: Cláudio Jorge Pinto Alves  Data do seminário: 17 de novembro de 2017  Nome do aluno: Idoaldo José de Lima  Relatora: Giovanna Miceli Ronzani Borille Datas dos seminários anteriores: 12 de agosto de 2016 e 7 de julho de 2017 Atividades acadêmicas:    Disciplinas cursadas até o momento:   IT-200: Infraestrutura Aeronáutica  IT-204: Análise Operacional e Gerencial de Aeroportos  IT-300: Seminário de Tese  IT-203: Aeroportos  IT-207: Pesquisa Operacional Aplicada a Problemas de Transporte Aéreo  MB-249: Engenharia de Sistemas TE-215: Segurança de Sistemas Aeroespaciais Disciplinas em curso:   IT-300: Seminário de Tese IT-500: Tese Disciplinas a serem cursadas:  IT-500: Tese Congressos que participou e submissões realizadas: 9º Simpósio de Segurança de Voo - SSV 2016 Artigo: “Abordagem STAMP aplicada à Análise de Acidentes na Operação Civil de Aeronaves no Brasil”. 29 Situação: submetido, aceito, apresentado e anais publicados na Revista Conexão SIPAER (vol. 7, no 1, p. 127-142, 2016). http://conexaosipaer.cenipa.gov.br/index.php/sipaer/article/view/393 2017 MIT STAMP/STPA Workshop Artigos: “CAST analysis of the PT-OVC Learjet 35A accident in Sao Paulo” e “Preliminary CAST analysis of the LaMia CP-2933 accident”. Situação: submetidos, aceitos, apresentados e apresentações publicadas na página virtual do evento: http://psas.scripts.mit.edu/home/2017-stamp-presentations/ XVI SITRAER - Simpósio de Transporte Aéreo 2017 Artigo: “Airport Characterization through System Safety Context”. Situação: submetido, aceito e apresentado. 2018 MIT STAMP/STPA Workshop Artigo: “STPA for Airports: analysing hazards in major hub airports” Situação: em desenvolvimento para submissão Cumprimento de prazos    Data prevista para conclusão das atividades de pesquisa e início da escrita da versão final da tese e do artigo: janeiro de 2018 Data prevista de submissão do artigo a um periódico: maio 2018 Data prevista da submissão da tese: junho 2018 Tabela 7 - Plano de Ação 2016/2 Atividades Disciplinas Revisão de Literatura Cenário e estudo de caso Análise STPA Recomendações de Segurança Conclusões Escrita da dissertação e do artigo Submissão do artigo Entrega e defesa da dissertação 2017/1 2017/2 2018/1 1º bim 2º bim 1º bim 2º bim 1º bim 2º bim 1º bim 2º bim 30 Periódico almejado para submissão   Nome do periódico: Journal of Air Transportation Management  management/  URL do periódico: https://www.journals.elsevier.com/journal-of-air-transport- Qualis do periódico: A2 Justificativa da escolha do periódico: Além do elevado impacto do periódico (Qualis A2), é fonte de grande parte dos artigos utilizados na revisão que indicam as tendências sobre as abordagens de análise de segurança em transporte aéreo. 31 Lista de Abreviaturas e Siglas AD ANAC AP APR ARC BPM CA CENIPA COMAER CS DECEA GCOL HOTRAN HSCS ICAO Infraero LDG LOC-G MAC MCA MTPAC NINST NPA PA1 PA2 PA3A PBT RE RI-A RI-VAP RWY SAC SIPAER SR STAMP STD STECA STPA TOF TWY TXI UCA USOS Aeródromo civil público não arrecadador de tarifas aeroportuárias Agência Nacional de Aviação Civil Aeródromo civil público arrecadador de tarifas aeroportuárias Approach Abnormal Runway Contact Business Process Modelling Control Action Centro de Investigação e Prevenção de Acidentes Aeronáuticos Comando da Aeronáutica Causal Scenario Departamento de Controle do Espaço Aéreo Ground Collision Horário de Transporte Hierarchical Safety Control Structure International Civil Aviation Organization Empresa Brasileira de Infraestrutura Aeroportuária Landing Loss of Control on the Ground Loss of Separation/Midair Collisions Manual do Comando da Aeronáutica Ministério dos Transportes, Portos e Aviação Civil Non-Instrumental Approach Non-Precision Approach Precision Approach CAT-1 Precision Approach CAT-2 Precision Approach CAT-3A Pushback/Towing Runway Excursion Runway Incursion with Animal Runway Incursion with Vehicle, Aircraft or Pearson Runway Secretaria Nacional de Aviação Civil Sistema de Investigação e Prevenção de Acidentes Aeronáuticos Safety Recommendation Systems-Theoretic Accident Model and Processes Standing Systems-Theoretic Early Concept Analysis Systems-Theoretic Process Analysis Takeoff Taxiway Taxi Unsafe Control Action Undershoot/Overshoot