Seguridad Operacional en los UAS & RPAS

Esteban Viado, Alvaro 1,2,*, Cuerno Rejado, Cristina 2

1

Instituto Nacional de Tcnica Aeroespacial (INTA); E-mail: estebanva@inta.es (AEV)

Escuela Tcnica Superior de Ingeniera Aeronutica y del Espacio (Universidad Politcnica de

Madrid); E-mail: cristina.cuerno@upm.es (CCR)

* Autor Principal y responsable del trabajo; E-mail: estebanva@inta.es (AEV)

Abstract: La regulacin de los UAS y RPAS, avanza poco a poco con una hoja de ruta cada
vez ms definida tanto en el mbito militar cmo en el civil, a nivel internacional, europeo y
nacional. La seguridad de estos sistemas subyace en los diversos requisitos que van fijando
los diferentes organismos y autoridades. En este artculo, se presenta una tcnica de anlisis y
gestin de la seguridad y los riesgos de los sistemas no tripulados que trata de estandarizar
esta actividad, con una metodologa potente y flexible, aplicable a todo tipo de sistemas y
misiones. Basado en los procesos aceptados y utilizados en aeronaves tripuladas, se pretende
extender el uso de esta herramienta, novedosa en este campo, en todo el ciclo de vida del
sistema. Debe apoyar tanto las decisiones de diseo tomadas, como adaptarse a la operacin
real del sistema una vez puesto en servicio, con los riesgos que conlleve pero que son
conocidos y monitorizados con la ayuda de la herramienta Bow-Tie (ncleo de la metodologa)
presentado en este artculo.
Keywords: Aeronaves no tripuladas; UAS; RPAS; Seguridad Operacional; Riegos; Safety;
Hazard; Risk; Bow-Tie

1. Introduccin
Las aeronaves pilotadas de forma remota o Remotely Piloted Aircraft Systems (RPAS) son un nuevo
componente en el sistema de aviacin que, tanto la Organizacin de Aviacin Civil Internacional (ICAO
en sus siglas en ingls) [1], como los Estados y la industria estn intentando comprender, definir y por
ltimo integrar. Esta integracin segura de los RPAS en el espacio areo no segregado es un objetivo a
largo plazo debido a su gran complejidad.

III Congreso Nacional de I+D en Defensa y Seguridad, 2015

El mayor problema que conllevan los RPAS es que el piloto a los mandos de la aeronave se elimina
del interior de sta. Esto conlleva la prdida de la conciencia situacional que es el concepto utilizado
para definir la regla ms bsica del aire [2]: el piloto siempre es el ltimo responsable del control y las
actuaciones de la aeronave. Por ello se hace indispensable adaptar los requisitos de seguridad de los
RPAS. Las referencias [1], [3] y [4] detallan la historia del concepto y marco legal de las aeronaves no
tripuladas. A este respecto, es importante resear el paulatino cambio de siglas que ha tenido lugar para
referirse a los RPAS. En un inicio y con los primeros programas de desarrollo militares se contemplaban
aviones no tripulados (UAVs). Se clasificaron en funcin del tamao y el tipo de misin: UCAV, MALE,
HALE, etc. Posteriormente con la definicin de aeronaves tripuladas remotamente (un tipo de UAS), se
recupera la figura del piloto a los mandos mencionada al inicio del prrafo y que conlleva excluir del
concepto RPAS a las aeronaves completamente autnomas. La Figura 1 representa el progresivo cambio
de nomenclatura:

Figura 1. Cronologa de los nombres aplicados a las aeronaves robticas [5]

Las aplicaciones de estos sistemas en el sector de Defensa/Seguridad y en el sector Civil/Comercial
han experimentado un gran crecimiento. Sus principales ventajas frente a las aeronaves tripuladas se
encuentran sobre todo a la hora de realizar las llamadas misiones D3 (Dirty, Dull and Dangerous).
Cualquier uso de estos sistemas en el espacio areo nacional requiere una autorizacin. Esa
autorizacin siempre pasar por demostrar la segura operacin del sistema en las condiciones declaradas
por el solicitante.
En todos los mbitos de la regulacin, se ha remarcado la importancia de definir los niveles de
seguridad equivalentes a los de las aeronaves tripuladas. Ningn organismo ha facilitado una
metodologa aceptable y estandarizada para evaluar la Seguridad Operacional (Safety) al nivel tcnico
que trata de exponer este documento.
2. Seguridad Operacional (Safety) en los UAS & RPAS
El punto de partida, ms universal posible, es la premisa que la Organizacin de Aviacin Civil
Internacional recoge en [2]: A remotely piloted aircraft shall be operated in such a manner as to
minimize hazards to persons, property or other aircraft. Es decir, el peligro debe minimizarse y esto se
consigue asocindolo a los Safety levels adecuados.
A continuacin, se detalla el estado actual y la aproximacin seguida por la regulacin actual en
materia de niveles de seguridad requerido a los UAS.

III Congreso Nacional de I+D en Defensa y Seguridad, 2015

2.1. Introduccin al System Safety en aviacin civil

System Safety es, en trminos generales, una disciplina de ingeniera aplicada durante el desarrollo de
sistemas para identificar y mitigar riesgos [6].
A medida que las aeronaves fueron aumentando el nivel de complejidad de sus sistemas, se vio
necesario definir un principio general, tal y como se detalla en [11], que relacionara de manera inversa,
la probabilidad de que un sistema fallara con los efectos de ese fallo en la aeronave y/o sus tripulantes.
Evidencias histricas [7] indicaban que la probabilidad de que se diera un accidente serio era
aproximadamente uno por cada milln de horas de vuelo. El 10 por ciento de esos accidentes se atribuan
a fallos de los sistemas de la aeronave. En un principio se asumi que, en una aeronave, haba 100
potenciales condiciones de fallo que podran ser catastrficas. El objetivo de esas condiciones de fallo
se defini como 1x10 -9 por cada hora de vuelo para que los nuevos diseos de aeronaves mantuvieran
la probabilidad de que un sistema generara un accidente catastrfico.
Tal y como se realiz con la aviacin civil, se deben definir unos niveles de seguridad objetivo a la
hora de disear los sistemas integrados en nuevos RPAS. Conceptos como Equivalent Level of Safety
(ELOS), Systems, Hazards, Risks, Catastrophic Failures, Extremely Improbable, estn estrechamente
ligados a la integracin de los RPAS en el espacio areo [3].
2.2. Niveles de seguridad en UAS & RPAS
No se pueden aplicar directamente los niveles de seguridad, requeridos en las aeronaves tripuladas, a
los sistemas integrados en los RPAS, ya que estn basadas en que la probabilidad de fallo de un sistema
debe ser inversamente proporcional a la criticidad de ese fallo, relacionado directamente con el nmero
de vctimas mortales que dicho fallo implique [8].
Las guas bsicas utilizadas para cumplir con los requisitos de seguridad son, en el mbito militar la
MIL-STD-882 [9] y en el civil [10] y [11]. Desde 2009, la OTAN ha definido objetivos de seguridad
para los UAS [12] (y desde 2014 para UAS de ala rotatoria [13]) a travs del requisito USAR(RW).1309. Ambas normas de la OTAN referencian como medios aceptables de cumplimiento las guas
anteriormente citadas.
La Figura 2 es la matriz que relaciona la probabilidad con la severidad de los efectos de la condicin
de fallo. Esta relacin es exactamente igual en aeronaves tripuladas, diferencindose exclusivamente los
valores objetivo de probabilidad numricos:

Figura 2. Requisitos de seguridad para el diseo y anlisis de sistemas [13] (AMC.1309 (b) - System
Design and Analysis)
2.3. Clasificacin de UAS & RPAS
En el mbito militar, la OTAN ha hecho grandes avances en la regulacin de los UAS, tanto
definiendo requisitos de aeronavegabilidad [12][13][14], como de entrenamiento [15] o
interoperabilidad [16]. La clasificacin OTAN actual es la que se indica en la Figura 3:

III Congreso Nacional de I+D en Defensa y Seguridad, 2015

Figura 3. Clasificacin de UAS de la OTAN [15]

2.3.1. Clasificacin segn el nivel de energa cintica
El nivel de energa se ha usado desde el inicio por los grupos de trabajo dedicados a redactar la
regulacin. El punto de partida fue la iniciativa JAA/EUROCONTROL [17], posteriormente EASA [18]
y FAA1 lo han adoptado, apoyado en diversos estudios de carcter cientfico [4], [19], [20], [21]. Un
caso de estudio basado en la norma de EASA [18], se desarrolla en [22], cuyas conclusiones indican que
es una aproximacin restrictiva a las especificaciones de certificacin que deben aplicar al producto. La
ecuacin para el clculo de la energa cintica , es la siguiente [17]:
1
(1)
()2
2
En un futuro prximo es posible que el mbito de la certificacin militar adopte estos criterios. Por
ello, se deber evaluar si esta metodologa requiere una revisin con el objetivo de no quedar obsoleto
frente a los rpidos cambios de normativa que se producen en torno a los sistemas no tripulados. La
Figura 4 determina el () (tiempo mnimo entre impactos contra el suelo) partiendo de la :
=

Figura 4. Requisito de () en funcin del peso (Weight) [3]

La Federal Aviation Administration (U.S. Department. of Transport) est trabajando en el borrador de una Advisory
Circular. La energa cintica es usada para la clasificacin de riesgo y probabilidad de fallo catastrfico.

III Congreso Nacional de I+D en Defensa y Seguridad, 2015

Tal y como se ha expuesto, el nivel de energa es crtico para identificar los futuros requisitos de
seguridad del sistema. Sin embargo, si en un determinado momento del desarrollo del programa el
sistema tiene un exceso de peso, que obliga a cambiar de categora al UAS, las herramientas de
mitigacin del rbol de eventos pueden ayudar a que la autoridad acepte las desviaciones respecto de los
nuevos requisitos de seguridad impuestos al aplicar la ecuacin (1).
2.4. Objetivos Previstos
De manera no tan global como el Proyecto INOUI pretenda [23], se propone una metodologa comn
para definir y cumplir los objetivos de seguridad requeridos, y que pueda ser aplicada a todo el ciclo de
vida del sistema. Dicho ciclo contempla:
Las etapas iniciales de definicin de requisitos en funcin de las misiones a realizar por un
RPAS.
Las posteriores etapas de asignacin de requisitos a los diversos subsistemas, incluidos2:
o los equipos que soporten la capacidad de detect and avoid (ver [24]),
o los equipos encargados de command and control (C2) link,
o los equipos encargados de ATC communication (C3, al considerarlo junto con C2),
o la estacin de tierra o remote pilot station (RPS).
La operacin de los RPAS con las particularidades del rea de operacin, la misin, las
condiciones ambientales y las reglas del aire aplicadas.
o Se hace especial nfasis en la gestin de la seguridad (Safety Management) como
herramienta para realimentar los anlisis tericos iniciales que puedan incluir desviaciones
frente a la realidad (ver [25]).
o Las licencias de los operadores, DUOs en el mbito militar (ver [15]) y RPL en el mbito
civil (ver [1] y [26]) se consideran fundamentales para operar de forma segura los sistemas.
Sin embargo, la metodologa es una entrada para la obtencin de licencias debido a la
definicin de procedimientos de emergencias durante la fase de desarrollo del producto.
Estos procedimientos debern formar parte del entrenamiento del operador.
No forma parte de esta metodologa, en esta etapa inicial de la metodologa propuesta, la integracin
segura y el uso de aerdromos (y los problemas de integracin que suponen).
Con todo ello, y durante las fases de implementacin, integracin y evolucin de la regulacin
aplicable a los RPAS, se podr llevar a cabo una realimentacin de los anlisis de seguridad (realizados
durante el desarrollo de un programa concreto) con los datos obtenidos durante la operacin (de los
RPAS asociados al programa concreto, explotando bases de datos compuestas por los datos de operacin
de RPAS de un determinado tipo o que operen bajo unas caractersticas comunes). El objetivo final es
conseguir que los RPAS tengan el nivel equivalente de seguridad (ELOS) [3], de los aviones tripulados
que ha sido ampliamente aceptado desde el desarrollo e implementacin de la industria de la aviacin
civil.
2.5. Metodologa propuesta
La herramienta soporte de esta metodologa es el diagrama Bow-Tie, que consiste en la suma de
rboles de fallo (FTAs) y rboles de eventos (ETAs).
Los FTAs son ampliamente usados en el desarrollo y diseo de aeronaves para demostrar el
cumplimiento de los objetivos de seguridad marcados por las bases de cualquier certificacin de tipo

Cada uno de los siguientes punto se corresponde con un captulo del nuevo manual de RPAS publicado por la OACI [1] en
marzo de este ao y que debe ser usado como referencia a nivel internacional para desarrollar la futura normativa.

III Congreso Nacional de I+D en Defensa y Seguridad, 2015

llevadas a cabo por una Autoridad de aeronavegabilidad. Varias guas se encargan de describir el proceso
completo a seguir para evaluar la seguridad de los sistemas de aeronaves tripuladas durante su desarrollo
(ver [10] y [11]). Estos estndares son reconocidos como medios aceptables de cumplimiento por las
Autoridades americana y europea (FAA y EASA). En la actualidad, tanto en Europa como en Estados
Unidos se trabaja en la actualizacin de estas guas, ampliamente extendidas, con el objetivo de cubrir
las particularidades de los RPAS. En Europa concretamente, la tarea recae sobre el grupo de trabajo de
EUROCAE WG73 [10].
La metodologa basada en los diagramas Bow-Tie pretende cubrir la brecha entre operacin y diseo:
no slo analizando los requisitos de los sistemas en la fase de diseo, como en las aeronaves
convencionales, sino considerando la casustica operacional que tiene en cuenta el tipo de misin y el
resto de condicionantes del espacio areo. Como se ha mencionado anteriormente, la herramienta
consiste en la utilizacin conjunta de anlisis de rboles de fallo junto con rboles de evento 3. Esta
herramienta se ha utilizado para evaluar el trabajo realizado en la Autoridades militares de aviacin [27]
y permitir su comparacin.
La Figura 5 esquematiza el modelo y sus diferentes componentes. En Europa, tanto JARUS como
EUROCAE han dado pequeas indicaciones sobre el uso de este modelo. EUROCONTROL promociona
su uso en el sector ATM desde hace aos. En [28], se puede encontrar un captulo dedicado al modelo.

Figura 5. Esquema simplificado de un diagrama Bow-Tie

3. Conclusiones
El potencial de la herramienta est claramente justificado en este sector de los RPAS; el carcter
innovador proviene de aplicar la metodologa de anlisis de riesgos con diferente filosofa en estos
nuevos sistemas. El proceso estndar seguido en aviacin civil y militar es completamente aplicable para
analizar y justificar la seguridad de los sistemas embarcados en aeronaves tripuladas convencionales. El
aadido de evaluar los rboles de eventos, potencia el uso de los anlisis de seguridad durante la fase de
operacin de los UAS.

Para ms informacin de ambas tcnicas de anlisis de riesgos, ver [6]. Ericson [6], detalla por separado los FTAs y los
ETAs, sin identificar el posible uso complementario. EUROCONTROL s cubre este punto en [28].

III Congreso Nacional de I+D en Defensa y Seguridad, 2015

3.1. Trabajos futuros

Esta tcnica de anlisis debe ser desarrollada en mayor profundidad para abarcar todas las
particularidades de la operacin de los UAS en espacio areo no segregado. Actualmente se est
trabajando en aplicar esta metodologa a los programas del INTA. Se espera en un futuro poder presentar
durante el Congreso, los avances en alguna de las plataformas que el INTA desarrolla, produce, opera y
mantiene. Este control del ciclo completo de vida, proporciona una gran oportunidad de utilizar la tcnica
detallada de anlisis y gestin de la seguridad y los riesgos en un producto real y actualmente en
funcionamiento.
Agradecimientos
A la Escuela Tcnica Superior de Ingeniera Aeronutica y del Espacio por aceptar la solicitud del
Proyecto de Tesis Doctoral en la que se enmarca este artculo. A mi tutora Cristina Cuerno por todo el
apoyo y tiempo prestado desde el inicio antes incluso del inicio del proyecto.
Al Instituto Nacional de Tcnica Aeroespacial, en especial a los compaeros de Safety del rea de
Aeronavegabilidad y al resto de personas de la Subdireccin de Experimentacin y Certificacin que tan
buenos consejos me han dado desde que este proyecto arranc.
Referencias
[1]
[2]
[3]

[4]
[5]

[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]

ICAO, Doc 10019, Manual on Remotely Piloted Aircraft Systems (RPAS), 1st ed., 2015.
ICAO, Amendment 43 to the international standards, rules of the air (Annex 2 to the convention), 2012.
K. Dalamagkidis, K. Valavanis, and L. Piegl, On unmanned aircraft systems issues, challenges and
operational restrictions preventing integration into the National Airspace System, Progress in Aerospace
Sciences, vol. 44, pp. 503519, 2008.
K. Dalamagkidis, K. Valavanis, and L. Piegl, On integrating unmanned aircraft systems into the national
airspace system, 2nd ed., vol. 36. 2012.
C. Cuerno-Rejado, Origen y desarrollo de los sistemas de aeronaves pilotadas por control remoto, in Los
Drones y sus aplicaciones a la ingeniera civil, Fundacin de la Energa de la Comunidad de Madrid, Ed.
Madrid, pp. 1532, 2015.
C. A. Ericson, Hazard Analysis Techniques for System Safety. Hoboken, NJ, USA: John Wiley & Sons,
Inc., 2005.
EASA, CS-25, AMC 25.1309 System Design and Analysis, 2015.
R. Clothier, J. L. Palmer, R. Walker, and N. Fulton, Definition of an airworthiness certification framework
for civil unmanned aircraft systems, Safety Science, vol. 49, no. 6, pp. 871885, Jul. 2011.
U.S. Department of Defense, MIL-STD-882E, Standard Practice, System Safety, 2012.
EUROCAE and SAE, EUROCAE ED-79A / SAE ARP 4754A, Guidelines for Development of Civil
Aircraft and Systems, 2010.
SAE, SAE ARP 4761, Guidelines and Methods for Conducting the Safety Assessment Process on Civil
Airborne Systems and Equipment, 1996.
NATO, STANAG 4671, Unmanned Aerial Vehicles Systems Airworthiness Requirements (USAR),
2009.
NATO, STANAG 4702, AEP-80 Rotatory Wing Unmanned Aerial Vehicles Systems Airworthiness
Requirements, 2014.
NATO, STANAG 4703, AEP-83 Light Unmanned Aircraft Systems Airworthiness Requirements, 2014.
NATO, STANAG 4670, ATP-3.3.7 Guidance for the Training of Unmanned aircraft Systems (UAS)
Operators, 2014.
NATO, STANAG 4586, Standard interfaces of UAV Control System (UCS) for NATO UAV
Interoperability, 2012.
JAA and EUROCONTROL, UAV TASK-FORCE Final Report, 2004.
EASA, E.Y013-01, Airworthiness Certification of Unmanned Aircraft Systems (UAS), 2009.

III Congreso Nacional de I+D en Defensa y Seguridad, 2015

[19]

[20]

[21]
[22]
[23]
[24]
[25]
[26]
[27]

[28]

K. Dalamagkidis, K. Valavanis, and L. Piegl, Evaluating the risk of unmanned aircraft ground impacts,
2008 Mediterranean Conference on Control and Automation - Conference Proceedings, MED08, pp.
709716, 2008.
R. Clothier, J. L. Palmer, R. Walker, and N. Fulton, Definition of Airworthiness Categories for Civil
Unmanned Aircraft Systems (UAS), in Proceedings of The 27th International Congress of the
Aeronautical Sciences, pp. 112, 2010.
R. Melnyk, D. Schrage, V. Volovoi, and H. Jimenez, A third-party casualty risk model for unmanned
aircraft system operations, Reliability Engineering and System Safety, vol. 124, pp. 105116, 2014.
C. Cuerno-Rejado and R. Martnez-Val, Unmanned Aircraft Systems in the Civil Airworthiness
Regulatory System: A Case Study, Journal of Aircraft, vol. 48, no. 4, pp. 13511359, Jul. 2011.
INOUI, Executive Summary of Work Package 5, SAFETY ANALYSIS FOR CIVIL UAS
APPLICATIONS, 2010.
X. Yu and Y. Zhang, Sense and avoid technologies with applications to unmanned aircraft systems:
Review and prospects, Progress in Aerospace Sciences, vol. 74, pp. 152166, Apr. 2015.
R. Clothier and R. Walker, Safety Risk Management of Unmanned Aircraft Systems, Handbook of
Unmanned Aerial Vehicles. Springer Netherlands, Dordrecht, pp. 22292275, 2015.
CAA (UK), CAP 722, Unmanned Aircraft System Operations in UK Airspace - Guidance, 2015.
L. Purton, R. Clothier, and K. Kourousis, Assessment of Technical Airworthiness in Military Aviation:
Implementation and Further Advancement of the Bow-tie Model, Procedia Engineering, vol. 80, pp. 529
544, 2014.
EUROCONTROL, EEC Note No. 01/04 - Volume I, Review of techniques to support the EATMP Safety
Assesssment Methodology, Bruxelles, 2004.