Baixo
Após a leitura do segundo post sobre a AC 25.1309-1A, vamos tratar, nesta oportunidade, do procedimento para realizar uma SA (Safety Assessment), tendo como base a AC 25.1309-1A.
Lembramos, de pronto, que a AC é uma sugestão, ou seja, uma tentativa de ajudar o requerente no desenvolvimento de sua SA (Safety Assessment), para fins de certificação.
A SAE (Society of Automotive Engineers) elaborou o documento ARP 4761 (AEROSPACE RECOMMENDED PRACTICE – Ref. 2), que ajuda os fabricantes de aeronaves a realizar uma SA (Safety Assessment) com vistas a cumprir os requisitos do parágrafo 25.1309.
Mas é conveniente salientar que a SA (Safety Assessment) desenvolvida, segundo esse documento, visa identificar os requisitos de segurança, em nível aeronave, para depois alocá-los ao nível sistema e daí, ao nível equipamentos. Ou seja, é uma ferramenta de projeto, sob o ponto de vista de geração de requisitos de segurança do projeto. No entanto, é também um procedimento que permite mostrar a conformidade com os requisitos do dito parágrafo.
Assim, nem todos os documentos gerados nesse processo vai para a Autoridade de certificação, permanecendo apenas nos arquivos da empresa relativos ao processo de desenvolvimento da aeronave.
A FAA, em sua documentação, considera a ARP 4761, onde aplicável à certificação, adequada para a verificação da conformidade com os requisitos parágrafo 25.1309 (Ref 3). Mas, sem dúvida, uma avaliação baseada na ARP 4761 tem também aplicabilidade aos parágrafos 23.1309, 27.1309 e 29.1309.
A empresa, no entanto, tem de saber até que ponto deve aplicar esse processo porque as atividades de SA custam muito caro, em função do substancial número de homens horas que, em geral, é empregado.
Mas como geradora de requisitos para o projeto, a SA começa na chamada Fase (ou Projeto) Conceitual do ciclo de vida da aeronave. Nessa fase, são estabelecidas apenas as funções que a aeronave deverá realizar, razão pela qual a SA concentra-se apenas nessas funções.
Uma vez identificadas as funções da aeronave, a empresa identifica os requisitos ou atributos (ou características) desejáveis para essas funções, sob o ponto de vista de desempenho e segurança. Obviamente, é no aspecto de segurança que estamos interessados.
Para identificar esses requisitos, é recomendável utilizar a avaliação denominada Avaliação de Perigo (Risco) Funcional (Functional Hazard Assessment – FHA).
Essa avaliação identifica as condições de falhas que afetam as funções da aeronave, ou seja, que ocasionam a perda dessas funções ou que as deterioram, com efeitos adversos na aeronave, na tripulação e em outros ocupantes. O objetivo é enquadrar a severidade desses efeitos na classificação de Menor, Maior, Maior Severa ou Catastrófica, conforme a AC 25.1309-1A, impondo as faixas de probabilidade estabelecidas pela AC para cada uma dessas severidades.
Esses requisitos ou atributos desejáveis para as funções da aeronave são reunidos numa especificação técnica, que vai orientar os projetistas, no projeto dos sistemas que, em última análise, realizarão as funções da aeronave. É a chamada alocação funcional nível sistema. A SA prossegue depois com a alocação de requisitos para o nível dos equipamentos que constituirão os sistemas.
Vamos então desenvolver, resumidamente, o passo a passo da SA.
Objetivo: identificar condições de falhas funcionais na aeronave e a severidade das mesmas, na tripulação e nos passageiros, enquadrando-as nas respectivas faixas de probabilidades.
Uma função apresenta perda total, quando não existe mais nenhum outro meio que a execute. A perda é dita parcial, quando ainda é possível executar a função, utilizando outro meio. É o caso de uma função que é realizada por um meio primário e, na ausência deste, por um meio secundário. Neste caso, quando se fala em falha total, está-se falando de falha dos dois meios. A perda total pode conduzir a uma severidade Maior Severa ou Catastrófica. Mas quando se perde apenas o meio principal, a severidade pode ser, por exemplo, no máximo Maior.
Não se pode perder de vista que condições de falha podem também decorrer do ambiente em que a aeronave estará imersa. Desse modo, é necessário considerar as condições ambientais que podem gerar perigos.
A fase do voo pode também influenciar na severidade de uma falha porque, às vezes, uma função não é tão importante numa ou noutra fase, mas é fundamental em outras. Por exemplo, a função de desaceleração da aeronave no solo obviamente não atua no nível de cruzeiro.
O período do dia em que ocorre o voo também pode influenciar na severidade de uma condição de falha. Por exemplo, perder a iluminação de um painel, no período noturno, é bem mais grave do que no período diurno.
Condições de falha identificadas com severidade Menor não são objeto de análises posteriores; basta que sejam registradas e tenham essa severidade devidamente justificada. Mas as condições de falha com severidade Maior, Maior Severa e Catastrófica devem continuar em análise, no nível de sistemas.
Terminada a avaliação no nível aeronave, é aconselhável registrar os resultados de forma tabular. Conforme sugere a AC 23.1309-1E (Ref. 4), uma tabela satisfatória poderia ter as seguintes colunas:
Função – Por ser uma ação, a função costuma ser descrita por uma frase verbal com o verbo no infinitivo, como por exemplo: “Desacelerar a aeronave no solo”.
Condição de Falha – A condição de falha é caracterizada pelo efeito da falha ou defeito sobre a função, podendo conduzir a sua perda parcial ou total. Esse efeito é, em geral, descrito por uma expressão substantiva, como por exemplo: “Perda da capacidade de desaceleração”.
Fase – Fase do voo (Ex.: Cruzeiro, Aproximação).
Efeito na Aeronave, Tripulação e Passageiros – Possíveis consequências adversas na aeronave, na tripulação e nos outros ocupantes, ou seja, a severidade.
Severidade – Menor, Maior, Maior Severa ou Catastrófica.
Referência para Material de Ajuda – Pode ser uma sugestão passada ao projetista para inseri-los, por exemplo, num manual ou num programa de treinamento da tripulação.
Verificação – Estabelecer numa análise de funções de segundo nível, os requisitos de probabilidades a serem alocados para esses sistemas. Tais sistemas, em última análise, vão gerar as funções nível aeronave. Todas as condições de falhas classificadas como Maior Severa e Catastrófica devem ser levadas para esse nível de análise. A Análise por Árvore de Panes (Fault Tree Analysis – FTA) é uma boa ferramenta para essa análise.
Fique ligado no próximo post!
(1) FAA: AC 25.1309-1A, System Design and Analysis, EUA, 21/06/1988..
(2) SAE: ARP 4761, Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment, EUA, 01/12/1996.
(3) FAA: CFR 14 Part 25 § 1309, Equipment, Systems, and Installations, Amendment 25-123, EUA, 8/11/2007.
(4) FAA: AC 23.1309-1E, System Safety Analysis and Assessment for Part 23 Airplanes, EUA, 17/11/2011.
Berquó, Jolan Eduardo – Eng. Eletrônico (ITA)·.
Certificador de Produto Aeroespacial (DCTA/IFI)
Representante Governamental da Garantia da Qualidade – RGQ (DCTA/IFI)