Nível de dificuldade

Baixo

Curiosidades

Safety Assessment – Discorrendo sobre a AC 25.1309 (I/IV)

Escrito por  Sergio Duarte
em 02 de outubro de 2018

Avaliação de Segurança – AC 25.1309

Neste post, você vai começar a conhecer uma metodologia sugerida pela FAA, na AC 25.1309- 1A – System Design and Analysis, para verificar a conformidade de um projeto com cinco dos seis requisitos do § 25.1309: (a), (b), (c), (d) e (e). O requisito (e) refere-se aos requisitos (a) e (b). O requisito (f) é avaliado de acordo com § 25.1709. Portanto, não está incluído na mencionada AC. Tudo isso para começar a entender conceitos básicos de Safety Assessment.

Como todas as partes do CFR 14, a Parte 25 estabelece requisitos, mas normalmente não fornece orientação ao requerente para demonstrar a conformidade de um projeto com esses requisitos. Por isso, a FAA desenvolveu um grupo de publicações para ajudar o requerente na demonstração dessa conformidade. São as chamadas Advisory Circulars, mais conhecidas pelo seu acrônimo AC.

A necessidade de emitir esse tipo de documento decorreu da constatação, por parte da FAA, do fato de os requisitos serem interpretados de diferentes maneiras pelos requerentes, o que dificultava sobremaneira o processo de certificação.

A AC25.1309 no Processo de Certificação

A AC 25.1309-1A (de agora em diante, simplesmente referenciada como AC 25.1309 ou, onde couber, simplesmente AC) é, portanto, um meio aceitável pela Autoridade para verificação da conformidade de instalações de equipamentos e sistemas com os requisitos do § 25.1309.

A AC não é uma metodologia que deve ser obrigatoriamente seguida pelo requerente. É apenas uma ajuda da Autoridade para o requerente desenvolver seu trabalho de verificação de conformidade com os requisitos, de maneira aceitável pela Autoridade.

Mas essa não obrigatoriedade tem seus pontos controversos porque há orientações na AC que têm de ser seguidas, sim, constituindo-se assim em uma espécie de requisitos, isto é, são obrigatórios. Como veremos mais adiante, a AC define o binômio Severidade da Condição de Falha e Probabilidade da Condição de Falha, estabelecendo para a primeira um ranking de situações de gravidade das condições de falha e, para a segunda, faixas de probabilidade com limites definidos. O requerente tem de seguir isso. Portanto, é requisito.

Apesar da liberdade concedida ao requerente de seguir outra metodologia, sugere-se que o mesmo não se desvie da AC, quer dizer, que utilize a orientação contida, evitando, dessa maneira, possíveis polêmicas com a Autoridade. De fato, considerando que mesmo utilizando os meios da AC, ainda poderão surgir polêmicas com a Autoridade, pode-se imaginar que a utilização de meios diferentes do sugerido no documento pode elevar bastante o nível dessas polêmicas.

A AC 25.1309-1A se aplica aos requerentes de Type Certificate (TC), Amended Type Certificate (ATC), Supplemental Type Certificate (STC) ou Parts Manufacturer Approval (PMA), para a aprovação inicial de um novo projeto de tipo ou de uma modificação no projeto de tipo aprovado. Estamos mantendo aqui a nomenclatura adotada pela FAA, uma vez que estamos tratando de documentação daquela Autoridade.  Com relação à nomenclatura adotada pela Agência Nacional de Aviação Civil (ANAC), o leitor pode dirigir-se ao site da autoridade brasileira.

Peculiaridades da AC 25.1309

Naturalmente, o emprego da AC depende da aplicabilidade do §25.1309. Em decorrência, ela se aplica aos sistemas da aeronave e a seus componentes associados, bem como à instalação desses itens. Mas procurando deixar mais claro, estão incluídos os sistemas pneumáticos, hidráulicos, elétrico/eletrônicos, mecânicos e de propulsão (motores e hélices).

Mas existem algumas exceções que precisam ser evidenciadas, para evitar que o requerente adote caminhos indesejáveis. No caso de uma certificação de projeto de tipo de uma aeronave, estão excluídos equipamentos e sistemas aprovados como partes de um motor ou de uma hélice com certificados de tipo.

O requisito §25.1309 não se aplica a elementos estruturais nem desempenho e de características de voo. Mas, aqui vai a sutileza: o § 25.1309 aplica-se aos equipamentos e sistemas que exercem funções que levam esses itens a incorporarem essas características, atendendo aos requisitos estabelecidos no §25.201. Assim, por exemplo, o §25.1309 não se aplica às características de stall inerentes à aeronave. Mas se aplica ao sistema de Alarme de Stall (Stick Pusher) ou Barreira de Stall (stall barrier).

O início de uma Avaliação de Segurança (Safety Assessment)

Mas quais são os pontos básicos que temos de considerar numa SA? A reposta é: “falha”, “condição de falha”, “severidade da condição de falha” e “probabilidade de ocorrência da falha que leva à respectiva condição de falha”. Vamos procurar explicar cada um deles.

Falha (Failure) é uma ocorrência ou evento que afeta a operação de um item de tal modo que ele não consiga mais realizar sua função (isso inclui a perda funcional ou um mau funcionamento – defeito). Mas erros não são considerados falhas, embora possam causar falhas.

Aqui vale uma observação importante: Nota-se que há alguma confusão entre os Termos failure e fault. Seguindo algumas entidades internacionais, failure é um evento e fault é um estado. Após uma failure, o item entra em fault. É exatamente o que diz a NBR 5462, que traduz fault por pane. O pessoal de manutenção usa os termos exatamente com este significado.

Condição de Falha é uma tradução literal de Failure Condition. Melhor, para nós brasileiros, seria Failure Effect porque é exatamente esse o significado do termo inglês. Trata-se do efeito potencial tanto na aeronave quanto em seus ocupantes, causado ou contribuído por uma ou mais falhas (incluindo defeitos) ou erros. Leva-se em conta a fase do voo e as condições operacionais ou ambientais adversas (variações de temperatura, gelo, raios, condições de pistas, condições para a comunicação, navegação e serviços de controle de tráfego no solo, exposição a HIRF, etc.).

Defeito de qualquer desvio de uma característica de um item em relação aos seus requisitos (NBR 5462). Esse conceito está bem próximo do termo inglês Malfunction.

O termo Severidade (uma tradução livre de Severity) refere-se à gravidade de uma condição de falha. O FAR 25.1309 não trata disso. É a AC que detalha os chamados níveis de severidade. Embora a AC não deva estabelecer requisitos (porque é uma sugestão), essa escala, ali estabelecida, acaba sendo um requisito, ou seja, as condições de falha têm de ser enquadradas nessa escala.  Por isso, é prudente que o requerente adote essa escala.

Como dissemos em um post anterior, essa escala está assim graduada, da condição de falha menos grave à mais grave:

  • Menor (Minor);
  • Maior (Major);
  • Maior severa (Severe Major) ou Perigosa (Hazardous); e
  • Catastrófica (Catastrophic).

safety assessment

O enquadramento em cada gradação pode gerar uma bela discussão com a Autoridade, em virtude da subjetividade na interpretação da gradação a ser utilizada para uma determinada condição de falha. Nesse ponto, a experiência do analista do Requerente é importante.
Recomenda-se inclusive que sejam envolvidas, nesse enquadramento, todas as equipes de projeto e o pessoal operacional de ensaio em
voo.

Safety Assessment: exemplos de classificação

A condição de falha menos grave é aquela enquadrada na gradação Menor. Refere-se a uma condição que não traz grande preocupação com a segurança da aeronave, ou seja, não afeta o voo e o pouso seguros e não chega a exigir ações normalmente fora da capacidade da tripulação, para contorná-la. Os ocupantes podem ou não percebê-la, mas não lhes traz desconforto físico ou mental. O máximo que pode gerar é uma mudança da rotina, como por exemplo uma mudança no plano de voo.

Perda da função de indicação de nível de combustível. Nada acontece com o voo e nenhum passageiro percebe o problema. O trabalho do piloto é calcular o combustível disponível, com base no combustível inicial, a distância já percorrida e a distância a percorrer, assegurando-se, com base nesse cálculo, da continuidade normal do voo.

Na severidade Maior, a condição de falha pode reduzir as margens de segurança da aeronave e/ou sua capacidade funcional. Surge uma carga de trabalho para a tripulação fora de sua rotina. Os ocupantes podem sentir algum desconforto.

Perda da função de indicação primária de atitude, em rolagem (roll) e em arfagem (pitch). O piloto tem de passar para itens secundários de indicação ou outro meio para controlar a atitude. Isso aumenta sua carga de trabalho. Os passageiros podem perceber a mudança e então sentir algum desconforto.

Na severidade Maior Severa (ou Perigosa), há uma grande redução das margens de segurança da aeronave e/ou de sua capacidade funcional. A tripulação passa a ter muita dificuldade para contornar os efeitos das condições adversas e podem surgir um desconforto maior  os ocupantes ou até mesmo ferimentos.

Perda da função de desaceleração com frenagem de roda. Se o piloto não tiver essa perda indicada no cockpit, ele só vai perceber essa condição, quando tentar a frenagem no solo. Aí, vem a sobrecarga de procurar usar o máximo possível o reverso e os spoilers, mas ainda assim pode não conseguir seu intento, e a aeronave poderá sair da pista, com consequências imprevisíveis. O desconforto para os passageiros é notório. Provavelmente, haverá algum pânico e consequentes ferimentos.

No outro extremo da gradação, está a condição de falha Catastrófica. Essa condição impede o voo e pouso seguros.

Perda total da função de indicação de atitude, em rolagem e em arfagem. Assim, se o voo for em condições IFR, o piloto não terá a informação necessária para manter a atitude correta, podendo exceder os limites de atitude, resultando em perda do controle da aeronave, o que poderá levá-la a precipitar-se, com perda da aeronave e de vidas.

No próximo post continuaremos a discorrer mais acerca dos detalhes e peculiaridades do Safety Assessment e a AC 25.1309.

Espero que tenha gostado. Boa leitura e até breve!

 

Referências – Safety Assessment:
(1) FAA: CFR 14 Part 25 § 1309, Equipment, Systems, and Installations, Emenda 25- 123, EUA, 8/11/2007.
(2) FAA: AC 23.1309-1E, System Safety Analysis and Assessment for Part 23, EUA, 17/11/2011.
(3) FAA: AC 25.1309-1A, System Design and Analysis, EUA, 21/06/1988.

 

Berquó, Jolan Eduardo – Eng. Eletrônico (ITA)·.
Certificador de Produto Aeroespacial (DCTA/IFI)
Representante Governamental da Garantia da Qualidade – RGQ (DCTA/IFI)

Compartilhe Compartilhe no Facebook Compartilhe no Twitter Compartilhe no Linkedin

Últimos posts