HFWR )LQ GH &DUUHUD ,QJHQLHUtD GH...

Proyecto Fin de CarreraIngeniería de Telecomunicación

Formato de Publicación de la Escuela TécnicaSuperior de Ingeniería

Autor: F. Javier Payán Somet

Tutor: Juan José Murillo Fuentes

Dep. Teoría de la Señal y ComunicacionesEscuela Técnica Superior de Ingeniería

Universidad de Sevilla

Sevilla, 2013

Ingeniería

AeroespacialESI - Universidad de Sevilla

Trabajo de Fin de GradoIngeniería Aeroespacial

Análisis del marco normativo para eldespliegue y operación de UAVs, ypropuesta de nuevos requerimientos parasu integración en el espacio aéreoAutor: Francisco Javier Garrido HernándezTutor: Francisco Rafael Gavilán Jiménez

Dep. Ingeniería Aeroespacial y Mecánica de FluidosEscuela Técnica Superior de Ingeniería

Universidad de Sevilla

Sevilla, 2018

Trabajo de Fin de GradoIngeniería Aeroespacial

Análisis del marco normativo para el desplieguey operación de UAVs, y propuesta de nuevos

requerimientos para su integración en el espacioaéreo

Autor:

Francisco Javier Garrido Hernández

Tutor:

Francisco Rafael Gavilán JiménezProfesor Contratado Doctor Interino

Dep. Ingeniería Aeroespacial y Mecánica de FluidosEscuela Técnica Superior de Ingeniería

Universidad de SevillaSevilla, 2018

Trabajo de Fin de Grado: Análisis del marco normativo para el despliegue y operación de UAVs,y propuesta de nuevos requerimientos para su integración en el espacioaéreo

Autor: Francisco Javier Garrido HernándezTutor: Francisco Rafael Gavilán Jiménez

El tribunal nombrado para juzgar el trabajo arriba indicado, compuesto por los siguientes profesores:

Presidente:

Vocal/es:

Secretario:

acuerdan otorgarle la calificación de:

El Secretario del Tribunal

Fecha:

Agradecimientos

Suena a tópico, pero realmente parece mentira que comience a escribir las últimas líneas de este capítulode mi vida, y qué bonito que sean en clave de agradecimiento. No tengo duda de cuánto me ha costado

llegar aquí. Sé perfectamente cada una de las gotas de sudor, cada una de las lágrimas y cada uno de los malosmomentos que he pasado y también he hecho pasar. Aún así, al final, es un ejercicio de madurez quedarsecon las risas, los abrazos y las palabras de ánimo, con esas llamadas de teléfono, esos correos horas queno procedían y con esas miradas de confianza que te hacían volver a levantarte de nuevo. Es momento deagradecer, es momento de dar gracias a Dios por tanto bueno que me ha dado estos largos años.Gracias por mi familia, y gracias a mi familia, por papá, mamá y María, por soportar mis desánimos,

compartir mis alegrías, celebrar cada aprobado junto a mí como si de una final se tratase, por estar siempre alotro lado del teléfono, por hacer el enorme esfuerzo de confiar siempre una última vez en mí. Gracias pormis abuelos, por mis tíos, por mis primos, y gracias a ellos, que ver los toros desde la barrera no siempre esfácil. Hay que saber cuando gritar, cuando animar, cuando avisar, y ellos, todos, han sabido.Gracias por Maripaz, y gracias a Maripaz, suya es más de media carrera. Suyas son las lágrimas, los

abrazos, las toallas recogidas y vueltas a entregar en los momentos en los que las fuerzas ya no daban ni paravolver a agacharse a recogerla de nuevo. Suyas son cada tarde de estudio, cada minuto de agobio, cada cuentamal hecha y cada código mal compilado. Pero suyo también ese último 5.0, uno más que añadir a nuestroexpediente de vida. También las alegrías y los goles marcados a última hora. Suyas las celebraciones, lascervezas y comidas celebrando cada paso dado. Gracias por ella, gracias a ella.

Gracias por Ángel, Marina, Arthur, y gracias a Ángel, Marina y Arthur. El primero por intentar comprenderlo incomprensible, y los segundos por no comprender lo comprensible. Por ser amigos de verdad, porapoyarme y escuchar sin condiciones, por acompañar en el camino, por dar un consejo en medio de susdificultades. Gracias, sencillamente, por estar.

Gracias por Vivi, y gracias a él, por querer conocerme, por dejar que lo conozca, por aguantarme y llegar aser el amigo que hoy en día es. Por esos consejos de LATEX, por siempre compartir, hablar y escuchar. Graciaspor haber ganado un compañero de vida, y junto a él, tantas y tantas personas.

Gracias por Tillo, gracias a Tillo, por esas conversaciones interminables, por esos alientos, por esa sencillapero tan necesaria compañía, y sin duda por ese año que nos marcará para siempre.Gracias por los salesianos, y gracias a los salesianos. Primero, por el Colegio Mayor San Juan Bosco,

punto de inflexión de mi vida, en cualquier dirección que pueda darse. Y segundo, por mis casas de Málaga yde la Trinidad. Imposible nombrar aquí a cada uno, imposible decir aquí cada uno de los motivos. No importa,pues Ella los guarda bien a todos en su regazo. Gracias por mi Hermandad, por mi Centro Juvenil, por losSSCC. Todos, en algún momento, han sido el escalón sobre el que apoyarme en esta dura escalada.Gracias por todos mis amigos, malagueños, sevillanos, por mis compañeros, por cuantos profesores con

vocación que han aparecido durante este camino, y gracias a todos ellos. Gracias por esas prácticas enFADA-CATEC, las cuáles han hecho posible no solo redactar este proyecto, sino dar el último empuje extrapara llegar al día de hoy.

Y por último, gracias por Francisco Gavilán, por Fran, y gracias a él, mi tutor, por confiar en mí desde elmomento en el que le propuse el tema. Por exigirme, por orientarme, por estar siempre disponible. Por noconformarse y querer siempre lo mejor, por buscar la perfección. Y sobre todo, por sacar tiempo de donde nolo ha tenido este último mes.

Francisco Javier Garrido HernándezMálaga/Sevilla, 2018

I

Resumen

Los conocidos como drones, o Unmanned Aerial Vehicle (UAV) son un concepto de vehículo aéreo que,aún existiendo a comienzos del siglo XX, no ha sido hasta los últimos años cuando el desarrollo de

la tecnología y de las plataformas a conseguido hacer patente la gran versatilidad de estos vehículos notripulados. Esto abre un nuevo escenario no solo en la industria aeronáutica, sino en todo el sector civil, yaque los drones pueden llevar a cabo infinidad de operaciones, reduciendo el coste y el riesgo de ellas.Por tanto, el objetivo de este estudio es realizar un análisis de la legislación vigente para los Unmanned

Aerial System (UAS), así como de la propuesta del marco normativo a nivel comunitario que permita eldespliegue de estos vehículos dentro del espacio aéreo vigente. Debido a que este marco europeo redefine lasclases de UAV realizándola según el riesgo, no solo a la plataforma, sino también a la operación que va allevar a cabo, se analiza también la metodología Specific Operations Risk Assessment (SORA), que no esmás que un análisis de riesgo de las operaciones dentro de la categoría específica.Se realiza una propuesta del nivel de robustez de los requerimientos que se derivan del proceso SORA

basándose en análisis de riesgo de diferentes industrias.Por último, se hace una aproximación al concepto de U-Space, el cual se define como un grupo de nuevos

servicios y procedimientos específicos diseñados para proporcionar seguridad, eficiencia y un acceso seguroal espacio aéreo por un gran número de drones, y sin el cuál, la integración en el espacio aéreo de los UAVno será posible.

III

Abstract

The so-called drones, or UAV are a new aerial vehicle concept that, still existing at the beginning of the20th century, they have not been developed until the last few years, when the development of technology

and platforms have been able to show their great versatility. This fact opens a new scenario not only in theaeronautical industry, but throughout the civil sector, since drones can carry out an infinity of operations,reducing the cost and the risk of these operations.Thus, the objective of this study is to carry out an analysis of the current legislation for UAVs, as well as

the amendment of the regulatory framework at the EU that allows the deployment of these vehicles within thecurrent airspace. Because this European framework redefines the classes of UAVs carried out according to therisk, not only to the platform, but also to the operation that this platform will be carried out, SORA (SpecificOperations Risk Assessment) methodology is also analyzed, which is no more than a risk assessment of theoperations within the specific category.

A proposal of the level of robustness of the requirements that are derived from the SORA process is made,based on risk analysis of different industries.

Finally, an approximation to the concept of U-Space is made, which is defined as a group of new servicesand specific features for security, efficiency and a safe access to the airspace by a large number of drones, andwithout them, the integration in the airspace of UAVs will not be possible.

V

Acrónimos

UAV Unmanned Aerial VehicleUA Unmanned AircraftUAS Unmanned Aerial SystemSORA Specific Operations Risk AssessmentRPA Remotely Piloted AircraftRPAS Remotely Piloted Aircraft SystemJARUS Joint Authorities for Rulemaking on Unmanned SystemsSAIL Specific Assurance and Integrity LevelsMS Member StateUE Unión EuropeaNPA Notice of Proposed AmendmentMTOM Masa máxima al despegueVLOS Visual Line of SightBVLOS Beyond Visual Line of SightEASA Eupean Aviation Saferty AgencyLUC Light UAS operator CertificateAMC acceptable means of complianceGM Guide materialHRM Modelo de Riesgo HolísticoConOps Concepto de operaciónGRC Ground Risk ClassAEC Airspace Encounter CategoryAGL Above Ground LevelARC Air Risk ClassTCAS Traffic Collision Avoidance SystemDAA Detect and AvoidSIL Safety Integrity LevelASIL Automotive Safety Integrity LevelTHR Tasa de riesgo tolerableSRECS Safety-Related Electrical Control SystemSRCF Safety-Related Electrical Control FunctionQM Quality ManagementAIS Abbreviated Injury ScaleAAAM Association for the Advancement of Automotive MedicineFAA Federal Aviation AdministrationTSO Technical Standard OrdersPIA Asociación Industrial del ParacaídasMOW Maximum operating weightMPOS Maximum pack opening speedICAO Organización de Aviación Civil InternacionalSESAR Single European Sky ATM Research

VII

VIII Acrónimos

ATC Control del Tráfico AéreoATM Gestión del Tráfico Aéreo

Índice Abreviado

Resumen IIIAbstract VAcrónimos VIIÍndice Abreviado IX

1 Introducción 1

2 Análisis de la legislación 72.1 Legislación española vigente 72.2 Propuesta de borrador para los MSs de la UE 8

3 SORA. Specific Operations Risk Assessment 193.1 Modelo holístico de riesgo 193.2 El proceso SORA 20

4 Comparativa de análisis de riesgo en diferentes industrias 314.1 Definición de términos. Estándar IEC 61508 [1] 314.2 IEC 62304 - Software Dispositivos médicos [2] 344.3 CENELEC 50128 - APLICACIONES FERROVIARIAS [3] 364.4 IEC 62061 - Seguridad de las máquinas [4] 374.5 EN-292 - Seguridad de las máquinas 384.6 ISO 26262 - Road Vehicles 39

5 Análisis de riesgo en diferentes sistemas de un UAV 455.1 Propuesta de escenarios estándar utilizando la metodología SORA 455.2 Determinación de la robustez del SAIL en comparativa con diferentes industrias 495.3 Paracaídas 52

6 Aproximación al U-Space 61

7 Conclusiones y futuros caminos posibles 65

Índice de Figuras 67Índice de Tablas 69Bibliografía 71

IX

Índice

Resumen IIIAbstract VAcrónimos VIIÍndice Abreviado IX

1 Introducción 1

2 Análisis de la legislación 72.1 Legislación española vigente 72.2 Propuesta de borrador para los MSs de la UE 8

2.2.1 Notice of Proposed Amendment A (NPA A) [5] 8Open-category 10Specific-category 13

2.2.2 Notice of Proposed Amendment B (NPA B) [6] 13

3 SORA. Specific Operations Risk Assessment 193.1 Modelo holístico de riesgo 193.2 El proceso SORA 20

3.2.1 Paso #0 - Evaluación incial 223.2.2 Paso #1 - Descripción del concepto de operación (ConOps) 223.2.3 Paso #2 - Determinación del riesgo terrestre del UAS inicial 223.2.4 Paso #3 - Barreras del daño y adaptación del GRC 233.2.5 Paso #4 - Determinación de la letalidad 233.2.6 Paso #5 - Specific Assurance and Integrity Levels (SAIL) 243.2.7 Paso #6 - Determinación de la categoría de encuentro del Espacio Aéreo 243.2.8 Paso #7 - Evaluación inicial de la clase de riesgo aéreo 263.2.9 Paso #8 - Determinación de estrategias mitigadoras 273.2.10 Paso #9 - Evaluar los niveles requeridos sobre mitigadores tácticos 283.2.11 Paso #10 - Identificación de las barreras de amenazas recomendadas 303.2.12 Paso #11 - Comprobación de la viabilidad 303.2.13 Paso #12 - Verificación de la robustez de las barreras propuestas 30

4 Comparativa de análisis de riesgo en diferentes industrias 314.1 Definición de términos. Estándar IEC 61508 [1] 314.2 IEC 62304 - Software Dispositivos médicos [2] 344.3 CENELEC 50128 - APLICACIONES FERROVIARIAS [3] 364.4 IEC 62061 - Seguridad de las máquinas [4] 374.5 EN-292 - Seguridad de las máquinas 384.6 ISO 26262 - Road Vehicles 39

4.6.1 ISO 26262-3. Concept Phase [7] 394.6.2 ISO 26262-9. Automotive Safety Integrity Levels (ASIL) [8] 42

XI

XII Índice

5 Análisis de riesgo en diferentes sistemas de un UAV 455.1 Propuesta de escenarios estándar utilizando la metodología SORA 455.2 Determinación de la robustez del SAIL en comparativa con diferentes industrias 495.3 Paracaídas 52

5.3.1 PIA TS-135 [9] 525.3.2 UNE-EN 12491 [10] 55

6 Aproximación al U-Space 61

7 Conclusiones y futuros caminos posibles 65

Índice de Figuras 67Índice de Tablas 69Bibliografía 71

1 Introducción

No cabe duda de que el sector de los vehículos aéreos no tripulados está abriendo nuevos horizontes porla versatilidad del producto. Estos nuevos abriendo nuevos caminos en la forma del transporte, en

temas de comunicación, en la agricultura, en cuestiones de seguridad y vigilancia, en el sector audiovisual,y un enorme etcétera. Estos vehículos, hasta antes limitados tan solo al sector militar, se están haciendocada vez más y más populares entre la población civil, conocedora de las oportunidades que estas aeronavesofrecen. Abren por tanto nuevas vías de negocio.

En este capítulo hablaremos genéricamente del término dron. Bajo él se engloban tanto los drones autóno-mos, en los que la intervención humana es escasa o inexistente durante el vuelo de los mismos, pero tambiénengloba a aquellos en los que su vuelo está controlado permanentemente por un piloto en tierra. Es a estosúltimos a los que nos referimos como Remotely Piloted Aircraft (RPAS) [11]. Además, bajo el término dronse engloban una variedad de platarformas muy diversas. De entre ellas podemos destacar las que aparecen enla Figura 1.1, aunque no hay que descartar que en un futuro sigan apareciendo nuevas plataformas.

Ahora bien, estas nuevas oportunidades llevan inequívocamente asociada un avance en el marco regulatorio.En España por ejemplo, el sector se lleva regulando desde 2013, cuando se vio un aumento de vehículos notripulados. Esta regulación era muy restrictiva, a la vez que dificultaba el desarrollo del sector. Un primerdecreto se publicó en 2016, aunque esta regulación seguía limitando el avance del sector, no permitiendolos vuelos sobre núcleos urbanos ni tampoco los vuelos nocturnos, por ejemplo. En diciembre de 2017 seactualizó dicha normativa en nuestro país, la cual se analizará en los primeros capítulos de este estudio,aunque no en profundidad (véase Figura 1.2). Esto es debido a que un marco regultorio europeo se empiezaa vislumbrar, y no en un futuro ni siquiera cercano, sino que en el presente. Ya existe en este aspecto unborrador para la UE, un paso firme de la que será la nueva norma comunitaria que basa la regulación deestos vehículos en el riesgo de la operación. Se basa en definir tres categorías en función del riesgo: open,specific y certified-category. Este marco da un giro en la definición: no sólo se tiene en cuenta la aeronave,sino que también la operación que esta llevará a cabo. Se evalúa el riesgo en conjunto de la operación y nopor separado. Por tanto, una misma aeronave por ejmplo, podrá operar dentro de la open-category a veces,y otras dentro de la specific-category. En cambio la última, la certified-category, prácticamente se reservapara aeronaves que necesitarán certificación pura aeronáutica, que no se esperan que tengan repercusión enel sector civil a priori. Esta división de categoría puede verse bien ilustrada en la Figura 1.3. Este nuevanorma europea, además entra en detalle en temas como la certificación y mantenimiento de las aeronaves, laformación que deberá tener el piloto remoto, las competencias que adquieren los operadores, el marcado CE,etc.

¿Qué oportunidades nos generará este nuevo marco normativo? Este nuevo marco busca sin duda pretendepotenciar las actividades con más interés económico para la sociedad civil, las cuales se albergarán comose verá dentro de la specific-category. Esta categoría creará un espacio en el que todas las aplicaciones condrones puedan ser desarrolladas. Un sin fin de actividades se podrían desarrollar, como por ejemplo [11]:

• La ejecución y mantenimiento de obras civiles e instalaciones: con aplicaciones– La generación de modelos 3D de edificios y terrenos, generando modelos virtuales que permitanla comunicación transversal entre departamentos.

– Labores de control y seguimiento.

– Realización de trabajos más allá del alcance visual y de forma autónoma.

1

2 Capítulo 1. Introducción

Figura 1.1 Posibles plataformas de vehículos aéreos no tripulados [11].

Figura 1.2 Marcos regulatorios nacioles [11].

3

Figura 1.3 Categorías propuestas en la nueva norma comunitaria [11].

– Tareas de mantenimiento como limpieza, pintado y reparación de edificios y estructuras.

• Actividades de seguridad y emergencias: en labores de vigilancia ya es un hecho real su empleo,pero además por su gran maniobrabilidad, serán de gran ayuda a los profesionales en labores de rescatey emergencias, reduciendo así el riesgo al que estos se exponen en la actualidad.

• En el sector de las telecomunicaciones, que pueden ir desde la inspección de infraestucturas detelefonía, el uso de drones para la comprobación de señales en zonas determinadas, hasta su empleocomo propios repetidores de señal en zonas y momentos puntuales.

• Transporte de paquetería: es conocido por todos que las grandes empresas del comercio electrónicoya han desarrollado y mostrado su interés en la posibilidad de la entrega de sus productos mediantedrones. Es más, la empresa Amazon ya ha llegado incluso a probarlos exitosamente, con dos drones dehecho, uno de ala fija con motores orientables y otro de ocho rotores, que pueden verse en la Figura 1.4.Es más, no solo se podría llegar al transporte de mercancías, sino que hay quien ya sueña con eltransporte de personas dentro de núcleos urbanos, los llamados aerotaxis.

• El sector del entretenimiento y espectáculos, donde de hecho, ya se han empleado, como fue el casode la apertura de los juegos de invierno de Corea del Sur o, sin irnos más lejos, el espectáculo queprotagonizó Lady Gaga el descanso de la SuperBowl de 2017, que puede verse en Figura 1.5.

4 Capítulo 1. Introducción

Figura 1.4 Drones diseñados por la compañía Amazon [12] [13] .

Figura 1.5 Espectáculo con drones durante la Superbowl de 2017 [14].

• Ciudades inteligentes: la implementación de las tecnologías de la información y comunicación escada vez más patente en las grandes ciudades. De hecho, España se está convirtiendo en un referenteen lo que a ciudades inteligentes se refiere, con ciudades como Madrid, Barcelona, Valencia y Málagaa la cabeza realizando avances importantes en esta dirección. El uso de drones dentro de estas ciudadespermitirá impulsar la gestión de:

– Servicios de seguridad y emergencias.

– Servicios de movilidad.

Figura 1.6 Nuevas aplicaciones que el nuevo marco normativo potenciaría [11].

Por tanto, si soñamos con una ciudad como la descrita anteriormente, en la que se hayan implementadotodos estos servicios y nuevas oportunidades que el desarrollo de este nuevo marco normativo potenciaría, el

5

cual recordemos está basado en el análisis del riesgo, no cabe duda en que se hace totalmente necesario, almenos, dos cosas:

1. El desarrollo de una metodología de que evalúe el riesgo de nuestra operación, clasifique la infinitavariedad de operaciones que pueden darse dentro de la specific-category, y derive de esta clasificaciónun relación de requerimientos que se ajusten al nivel de riesgo que se le asocie a nuestra operación.

2. Un método de integración de estas aeronaves dentro del espacio aéreo, respetando los límites de laaviación tripulada, pero comprendiendo las nuevas posibilidades que los vehículos aéreos proporcionan.

La primera de ellas la ha desarrollado ya Joint Authorities for Rulemaking on Unmanned Systems (JARUS)con su metodología SORA [15]. Esta metodología no es más que un análisis del riesgo de las operacionesque se acojan a la categoría específica. Un estudio profundo de ésta se realiza en el Capítulo 3. Se basa en untotal de 12 pasos, en los que se evalúa tanto el riesgo en tierra como el riesgo aéreo de nuestra operación,llegando al final a clasificar el riesgo que resulte y de ahí, hacer una serie de requerimientos con un nivel derobustez diferente dependiendo de la clase de riesgo de nuestra operación.SORA concluye en la determinación de un Specific Assurance and Integrity Levels (SAIL), el cual

representa una medida cualitativa del riesgo de la operación. En concreto, define un total de seis niveles deSAIL posibles, siendo el SAIL I el nivel más bajo de riesgo y el SAIL VI representa un caso casi inaceptablede riesgo. De cada nivel de riesgo se derivan una serie de requerimientos que permitirán operar nuestro droncon la garantía de seguridad necesaria para nuestro nivel de riesgo. Cada requerimiento se deberá cumplircon una robustez diferente según el nivel de SAIL. He aquí el siguiente paso de nuestro estudio: estos nivelesde robustez no quedan bien definidos en SORA. Es por ello que nos basaremos en el análisis de riesgoen diferentes industrias y sectores, para poder así encontrar similitudes con el proceso SORA y estableceral menos pasos iniciales para poder certificar nuestros vehículos. En concreto se analizan los siguientesestándares o normas:

• IEC 61508

• IEC 62304 - Dispositivos médicos.

• CENELEC 50128 - Aplicaciones Ferroviarias.

• IEC 62061 - Seguridad en las máquinas

• EN-292 - Seguridad de las máquinas.

• ISO 26262 - Road Vehicles.

El segundo de los puntos necesarios que señalamos como necesarios para hacer posible la Figura 1.6se encuentra actualmente en un proceso de diseño, queriendo implementar su primera fase para el años2019, y es lo que se denomina U-Space. El concepto de U-Space se define como un grupo de nuevosservicios y procedimientos específicos diseñados para proporcionar seguridad, eficiencia y un acceso seguroal espacio aéreo por un gran número de drones [16]. Pretende dotar tanto de servicios terrestres, operadores,controladores, etc. que permitan el control del espacio aéreo a bajo nivel, gestionando su congestión, ypermitiendo su integración con la aviación tripulada. Prestara servicios de información a operadores quevayan a iniciar un vuelo (limitaciones físicas permanentes y puntuales, condiciones meteorológicas, estadode congestión de espacio aéreo...), permitirán la aprobación del vuelo solicitado (aceptando la ruta inicial, omodificándola para evitar zonas de alta congestión, o por condiciones meteorológicas adversas), realizará unseguimiento del vuelo (para evitar colisiones, redirigir la trayectoria del dron) y al finalizar llevar un registrodel vuelo. Además, el U-Space comienza en su primera fase de implementación con el registro electrónico,la identificación electrónico y el geofencing.

2 Análisis de la legislación

Actualmente vivimos en un marco regulatorio bastante restrictivo en el que el desarrollo de los UAVsy sobretodo de sus aplicaciones de uso civil, principales destinatarias de este proyecto, no encuentran

un lugar para el desarrollo seguro y competitivo. Es por ello que debemos analizar cuáles son las normasactualmente de aplicación. A día de hoy, todo vehículo aéreo no tripulado de menos de 150kg de peso,están bajo jurisdicción de las autoridades nacionales. Esto obliga tanto a fabricantes como operadores de losdistintos Estados Miembros (MSs en adelante por sus siglas en inglés) de la UE a estar sujetos a diferentesrequisitos de diseño y seguridad según el país miembro en el que vayan a actuar [17]. De aquí surge lanecesidad de un marco común europeo, cuyo borradores se analizan en esta sección.

2.1 Legislación española vigente

Actualmente la utilización civil de las aeronaves pilotadas por control remoto se regula por el Real Decreto1036/2017, publicado en el Boletín Oficial del Estado número 316 del viernes 29 de diciembre de 2017 [18].Este Real Decreto tiene como antecedente la modificación del artículo 11 de la Ley 48/1960, de 21 de julio,sobre Navegación Aérea, introducida por la Ley 18/2014 [19], de 15 de octubre, de aprobación de medidasurgentes para el crecimiento, la competitividad y la eficiencia, estableció que estos artefactos (RPA) sonefectivamente aeronaves y, como tales, su utilización civil está sujeta a la legislación aeronáutica civil. Por suparte, el artículo 50 de la citada Ley 18/2014, de 15 de octubre, ha establecido, con carácter temporal, elrégimen jurídico aplicable a estas aeronaves y a las actividades desarrolladas por ellas, en tanto se procedea la adopción de la disposición reglamentaria prevista en su disposición final segunda, apartado dos. EsteReal Decreto establece el marco jurídico que se aplica al uso civil de aeronaves pilotadas por control remoto(RPA) que no se regulen por normativa comunitaria, como es el caso de los RPAs con una masa máxima aldespegue inferior a los 150kg y las que aún superando esta masa queden excluidas del reglamento comunitario.Regula también la matriculación y aeronavegabilidad de estas aeronaves, estableciendo las condiciones deexplotación de las mismas. En su capítulo I, en el artículo 2, nos define cuales son las aeronaves de aplicación[18]:

• Las RPA cuya masa máxima al despegue sea inferior a los 150kg y las que aún superando esta masaqueden excluidas del reglamento comunitario

• Las aeronaves civiles pilotadas por control remoto (RPA), cualquiera que sea su masa máxima aldespegue, que efectúen actividades de aduanas, policía, búsqueda y salvamento, lucha contraincendios,guardacostas o similares.

• Además, este real decreto es de aplicación a todos los elementos que configuren el sistema de aeronavepilotada por control remoto (RPAS)

En cambio, este real decreto no se aplica a:

• Globos libres no tripulados y globos cautivos

• Vuelos que se realicen totalmente en espacios interiores o cerrados

• Aeronaves y RPA militares

7

8 Capítulo 2. Análisis de la legislación

• RPA utilizadas exclusivamente para exhibiciones aéreas, actividades deportivas, recreativas o decompetición, en las qe se incluye las actividades lúdicas propias de las aeronaves de juguete

• RPA cuya masa máxima al despegue supere los 150kg, a no ser que:– Efectúen operaciones de aduanas, policía, búsqueda y salvamento, lucha contra incendios, guar-dacostas o similares

– Estén excluidas de la normativa comunitaria

En su capitulo II se encuentran los requisitos de los RPAS, los cuales resultan de interés en el ámbito deestudio de este trabajo. En concreto, en la sección 1ª se definen los requisitos, por ejemplo, de aeronavegavili-dad. En el artículo 9 de dicha sección se especifican los requisitos sobre el certificado de aeronavegabilidad,en el que lo único que se especifica es que las RPA con masa máxima al despegue que no excedan los 25kgquedan exceptuadas de los requisitos de inscripción en el Registro de Matrícula de Aeronaves Civiles y de laobtención del certificado de aeronavegabilidad.Es en el artículo 11 donde se detalla en profundidad todo lo correspondiente al certificado tanto de tipo

como de aeronavegabilidad. Así pues, actualmente en nuestro país el certificado de aeronavegabilidad quecorresponde a las RPA es el certificado restringido de aeronavegabilidad y, en su caso, el certificado de tiporestringido. Para la emisión de estos los procedimientos de aplicación serán los establecidos en el anexo I,Parte 21 del Reglamento (UE) n.º 748/2012 de la comisión, de 3 de agosto de 2012, el cual establece lasdisposiciones de aplicación para la emisión de estos certificados. Estos certificados se emiten a la aeronave yabarcan todos los componentes del RPAS, incluyendo la propia aeronave, las estaciones de pilotaje remoto, losenlaces de mando y control y cualquier sistema que puedad requerirse en cualquier momento de la operación.En este anexo se establecen las disposiciones de aplicación sobre la certificación de aeronavegabilidad ymedioambiental de las aeronaves y los productos, componentes y equipos relacionados con ellas, así comosobre la certificación de las organizaciones de diseño y de producción. Es decir, es de ámbito general paratoda aeronave y no se centra en los RPAS.

Como puede observarse ya, el mero hecho de requerir un certificado de aeronavegabilidad que se rija poresta regulación, encarecerá el proceso sobremanera, pudiendo limitar las expectativas de crecimiento delsector no haciéndolo apetecible ni competitivo. Cabe cuestionarse si realmente es necesario requerir este tipode certificación para ciertos tipos de aeronaves no tripulas, las cuáles son objeto de este estudio. Es por elloque ya en el ámbito europeo se trabajan normativas que regulen el marco por el cual deben certificarse lamayoría de operaciones con RPAS que se esperan que surjan en los próximos años en el ámbito civil.Este real decreto también especifica en su capítulo III las condiciones para el uso del espacio aéreo,

en su capítulo IV los requisitos para la operación, en el capítulo V el personal para la operación, en elVI la habilitación para el ejercicio de operaciones aéreas especializadas o para la realización de vuelosexperimentales y por último en el capítulo VII habla sobre los sistemas de aeronaves pilotadas por controlremoto, los RPAS.

2.2 Propuesta de borrador para los MSs de la UE

La Agencia Europea de Seguridad Aerea (EASA) publicó en 2017 dos borradores, NPA a partir de ahora(del inglés Notice of Proposed Amendment) para presentar en el Parlamento Europeo los cuáles son

una introducción al marco regulatorio para las operaciones con drones. Existen dos NPA, A y B, los cualespasamos a detallar a continuación.

2.2.1 Notice of Proposed Amendment A (NPA A) [5]

La EASA desarrolló este NPA viendo la realidad de que los unmanned aircraft (UA) con una masamáxima al despegue (MTOM) de 25kg estaban siendo desarrollados de manera tremendamente rápida

y empezando a suponer un nuevo reto para la aviación tradicional. Este NPA nos define desde el principio losdos riesgos que acompañaran a las operaciones con UA de aquí en adelante:

• Riesgo aéreo (air risk): colisiones con una aeronave tripulada o con otro UA• Riesgo de tierra (ground risk): colisiones con personas o infraestructuras críticas

Ya desde aquí quedan definidos cuales serán los principales riesgos a cubrir en una operación con drones.También nos hace una introducción al estudio de riesgo que más tarde desarrolla en el que se identificanprincipalmente tres áreas de riesgo que están ocurriendo asiduamente:

2.2 Propuesta de borrador para los MSs de la UE 9

• Conflictos aéreos

• Aeronaves fueras de control

• Fallo de sistemas del UA

Estos riesgos deberán minimizarse con diferentes requerimientos en función del nivel de la operación,como más adelante se definirá.Conviene empezar a sentar las bases de este estudio, y comenzaremos definiendo las fronteras entre las

diferentes categorías de operaciones con UAS que este borrador propone. Define tres tipos de categoría: open,specific y certified category. Estas categorías quedan definidas según el riesgo de la operación. Este NPA fijala frontera de la open-category en operaciones que se realicen:

• Con un UAS con una MTOM menor de 25kg

• Por debajo de una altura de 120m

• en Visual Line of Sight (VLOS), es decir, vuelos que se realicen a linea vista

En cuanto algo de la operación sobrepase cualquiera de estos límites, la operación pasa inmediatamente a laspecific-category, la cual ya requerirá de algún tipo de certificación tanto de la aeronave como de su operador,así como de una licencia para la tropa de vuelo. Como ejemplo de qué puede considerarse specific-category,se han clasificado los siguientes tipos de operaciones como meros ejemplos:

• Grandes o complejos UAS operando continuamente sobre grandes concentraciones de personas

• Grandes o complejos UAS operando en vuelos Beyond Visual Line of Sight (BVLOS), es decir, fueradel alcance visual, en el espacio aéreo de gran densidad.

• UAS que se usen para el transporte de personas

• UAS que se usen para el transporte de mercancías peligrosas, las cuales pueden suponer un alto riesgopara terceros en caso de colisión.

Conviene dejar claro desde este punto que en ese NPA, y por tanto en todo nuestro estudio, no se consideranlas operaciones que se clasificarían en la certified-category, las cuales seguirán una certificación aeronáutica,con certificado de aeronavegabilidad y certificado de tipo. Esta categoría no se rige por nada de lo que eneste estudio se concluya.Antes de pasar a definir claramente cada una de las dos categorías que nos incumben (open y specific-

category), conviene mencionar la propuesta de registro que este NPA propone. Durante la redacción de estedocumento surge la necesidad de establecer qué tipo de registro se requerirá, ya que esto es fundamental parala aplicación de la ley y para el control del tráfico aéreo no tripulado o las operaciones en el futuro U-Space.Las opciones que se estudiaron fueron las siguientes:

Tabla 2.1 Opciones para el registro de UA [5].

Opción nº Título corto DescripciónR0 No hacer nada El registro se define a nivel de MSsR1 Operador Solo debe registrarse el operador

R2 Operador y UA (no ju-guetes)

Deben registrarse tanto UA comooperador (excepto juguetes)

R3 Operador y UA (no ju-guetes ni UA Class1)

Deben registrarse tanto UA comooperador (excepto juguetes y UAC1)

R4 Registro en la EASA El sistema de registro es diseñado anivel de la UE (EASA)

Una vez dicho esto, pasamos a definir claramente qué operaciones se ubican en la open-category y cualesen la specific-category.


Open-category

El principal tema tratado en el debate del grupo de experto fue la definición de las subcategorias de laopen-category, y como conseguir una solución de compromiso entre los siguientes elementos:

• El desarrollo del mercado de UAS

• La seguridad (tanto del riesgo aereo como el terrestre)

• Privacidad y protección de datos

• Cuestiones medioambientales

Las subcategorias se definen mediante restricciones en los siguientes parámetros:

• MTOM del UAS

• Distancia entre el UAS y personas

• Altura del UAS sobre el suelo

• Edad y competencia del piloto remoto

• Requerimientos técnicos del UAS

• Registro del UAS

• Identificación electrónica y geofencing.

EASA hizo una primera propuesta al grupo de experto, el cual se centraba en requerimientos técnicos ylas competencias que debía tener el piloto remoto para cada subcategoría, además de definir un sistemasde "zonas" que cada MS debía determinar, y en cada una de las cuales sería posible operar con cada tipode subcategoría. Por contra, los 21 MSs que participaron en la redacción de este documento hicieron unacontrapropuesta que contenía normas más simples que se centraban en la responsabilidad del piloto remoto yen algunos requerimientos técnicos dirigidos a la mitigar el riesgo. La solución fue llegar a una solución decompromiso entre ambas propuestas, la cual se expone en la Tabla 2.2


Tabl

a2.

2Su

bcategoríasd

elaOpen-category

[5].

Subcategoría

deUA

SClase

deUA

SMTO

M/

Joule(J)

Distan

ciaa

perso-

nas

Máxim

aal-

tura

dela

operación

Aptitud

del

pilotoremo-

toEd

addelp

i-loto

remoto

Princip

ales

requ

eri-

mien

tos

técnico

s(m

arcado

CE)

Registr

odelU

AS

Identifi

cació

nele

ctrónica

(EI),

geo-

fencing

(G)

Constru

cción

privada

<250g

<50m

Folleto

Sin

limita-

ción

N/a

NO

NO

A1Flyover

peop

leC0

<250g

Volarsobre

zonase

nlasqueno

participen

personas

Regulación

dejuguetes,

sin

bordes

corta

ntes,

folleto

deconciencia-

ción

C1<8

0Jo900g

<120m

oporencima

de50m

deun

obstá

culo

elevado

Folleto

más

cursoon

line

contest

14años

con

superviso

r

Energía

cinética,

sin

bordes

corta

ntes,

límite

deal-

tura,folleto

deconcien-

ciación

Solo

para

eloperador

EIsi

tiene

cámara

de>5

MP

oun

sensor

deaudio,EI

yG

sise

requiere

por

lazona

deoperación

A2Flyclo

-se

topeop

leC2

<4kg

Volaren

laproxim

i-dadde

personas

pero

conunadista

ncia

desegu

ridad

(>20

mpara

UASde

alarotatoria

o>5

0mpara

UASde

alafija)

<120m

oporencima

de50m

deun

obstá

culo

elevado

Folleto

más

certificado

decom-

petencia

(cualifi

ca-

ción

teórica)

yexam

enen

uncentro

aprobado

16años

con

superviso

r

Fuerza

mecánica,

gestión

depérdida

deenlace,lím

i-te

dealtura,

folleto

deconciencia-

ción

Operadory

UAYES


Tabl

a2.

3Su

bcategoríasd

elaOpen-category

(contin

uación)[5].

Subcategoría

deUA

SClase

deUA

SMTO

M/

Joule(J)

Distan

ciaa

perso-

nas

Máxim

aal-

tura

dela

operación

Aptitud

del

pilotoremo-

toEd

addelp

i-loto

remoto

Princip

ales

requ

eri-

mien

tos

técnico

s(m

arcado

CE)

Registr

odelU

AS

Identifi

cació

nele

ctrónica

(EI),

geo-

fencing

(G)

C3Vo

lare

náreasd

onde

searazonableno

en-

contrarp

ersonas

Gestió

nde

pérdida

deenlace,lím

i-te

dealtura,

folleto

deconciencia-

ción

A3Fly

far

from

peop

leC4

<25kg

Además

delo

dearri-

ba,m

anteneru

nadis-

tancia

desegurid

adconloslím

ites

<120m

oporencima

de50m

deun

obstá

culo

elevado

Folleto

más

cursoon

line

contest

16años

con

superviso

r

Operacion

al.

Instr

uccio-

nes,

folleto

deconcien-

ciación

Operadory

UA

Silo

requie-

rela

zona

deoperación

Constru

cción

privada

dezonasc

ongestion

a-dasd

eciudades,pue-

blos,asentam

ientos

oaeródrom

os

N/a


Specific-category

Toda aquella operación que quede fuera de las fronteras de lo limitado por la Open-Category, entra directa-mente en la Specific-Category. Al igual que en el caso del registro de los UA, en esta categoría se analizarondiferentes opciones, las cuales se detallan en la Tabla 2.4.

Tabla 2.4 Opciones de la Specific-category [5].

Opción nº Título corto Descripción

S0 No hacer nada

La nueva regulación básica no involucra-rá a EASA en UAS de menos de 150kg, yla specific-category estará regulada por losMSs. De este modo, la regulación europeaqueda fragmentada.

S1 Autorización para to-da operación

Todas las operaciones con UAS de laspecefic-category necesitan autoriación

S2 Autorizaciones y es-cenarios estándar

Dos tipos de escenarios estándar se defini-rían, uno en el que se requiere al operadorpresentar una declaración, y otro en el quela autoridad emite la autorización.

S3Autorizaciones,escenarios estándar yLUC

Además de lo contemplado en la S2, el ope-rador podrá solicita una Light UAS operatorCertificate (LUC) la cual le otorga privile-gios para autorizar la operación que en ellase describa.

La opción S3 es la que se escogió para la redacción de este NPA. La explicación del sentido y repercusiónde cada una de las opciones explicadas en la tabla y el por qué optar por el camino que marca S3 se explicaen el capítulo 6 del NPA B.

Tras definir las fronteras de las tres categorías, este NPA desarrolla una propuesta de normativa y de mediosaceptables de cumplimiento (AMC, acceptable means of compliance), así como material guía (GM, Guidematerial) para cumplir cada uno de los artículos que aquí desarrolla. Desarrolla un total de 16 artículos, cadauno de los cuales asocia a los AMC y GM que están relacionados con él. Tras estos 16 artículos, desarrollaen su anexo I cada uno de los requerimientos para cada una de las partes involucradas en una operación tantopara la open-category como la specific-category. Para acabar este anexo, detalla las normas para aquellos queostenten un LUC.

Tras este anexo detalla los requerimientos en marcado y etiquetado de los productos para que se adapten ala normativa CE, que realmente no resulta de interés en nuestro estudio.

2.2.2 Notice of Proposed Amendment B (NPA B) [6]

En continuación al anterior NPA-A, se redacta este NPA-B que quiere primero definir el problema existentecon las operaciones de UAS, para finalmente hacer un arduo estudio de riesgo para cada una de las

opciones planteadas en el anterior NPA-A, tanto para la open-category, la specific-category, así como analizartambién cada una de las opciones de registro de UA planteadas.Primero hace una definición del problema, desarrollando un análisis del mercado, de las previsiones

del sector, haciendo uso de estudios realizados por EASA así como por SESAR. Resulta de interés estosestudios ya que justifican la necesidad de regular sobre todo la specific-category. En esta primera parte enla que hace un resumen del problema y de los principales agentes involucrados, cabe destacar la mencióna JARUS, compuesta por un grupo de expertos de las autoridades nacionales de aviación. EASA es unode los grades participantes en el grupo, cuyo deseo es desarrollar unas reglas comunes para los UAS,recomendando requerimientos técnicos, de seguridad y operacioneles para la certificación de UAS y susatisfactoria integración en el espacio aéreo y sus aeródromos. JARUS ha desarrollado numerosos documentospara el desarrollo de la regulación. Cabe destacar el desarrollo del documento SORA [15], el cuál describeuna metodología para el análisis de riesgo de las operaciones con UAS dentro de la specific-category, y elcuál es eje de nuestro estudio. Una vez hecha esta mención, pasamos a resumir el análisis del problema quese detalla en este NPA-B. Define un


El análisis lo realiza mediante un árbol de problema, en el que relaciona las raíces del problema, con losproblemas y sus consecuencias. A continuación, pasamos a detallar cada uno de ellos:

Raíces del problemaSe identificaron tres raíces, las cuales son las causas de los problemas que se enumeran más adelante. Estas

son:

1. Necesidad de romper fronteras en las operaciones con UAS y en los requerimientos del mercadoeuropeo. La fragmentación del marco regulatorio para UAS en la UE lleva a una falta de claridad einconsistencia de las normas entre MSs, dificultando las operaciones entre ellos. Esto se refiere tanto auna operación que cruce la frontera de un país, como al hecho de que un UAS pueda operar en diferentespaíses. Esto remarca la necesidad de realizar un marco regulatorio único.

2. Nuevos escenarios en comparación con la aviación tripulada y nuevos usos, tanto comerciales comode ocio: el hecho de que los operadores de UAS, así como los fabricantes, son nuevos en la mayoríade los casos, es otra raíz del problema. La facilidad de pilotar estas aeronaves y su versatilidad hallevado a un amplio interés público, lo que ha llevado a que muchos de los pilotos remotos estén menosconcienciados con temas como la seguridad aérea. Consecuentemente, estos nuevos pilotos presentanun riesgo mayor para zonas y áreas sensibles. Comparado con la aviación tripulada:

• Muchos pilotos remotos no tienen las suficientes habilidades o competencias para el mundo de laaviación.

• El espectro de usos de los UAS es muy amplio.

• El riesgo de los pilotos remotos que muestran comportamientos irresponsables es mucho más alto

3. Cambios muy rápido en la tecnología de los UAS y una evolución rápida de su mercado: el mercado deUAS se espera que florezca en los próximos años,por lo que la regulación que se haga al respecto nodebe impedir la innovación en las siguientes áreas:

• El desarrollo de nuevas características y funciones para los UAS.

• El aumento de las tecnologías ya existentes, como el geofencing o la vuelta a casa automatizada.

• El desarrollo de nuevos tipos de operaciones con UAS, al igual que la apertura a nuevos usuarios.

ProblemasEsta lista de problemas fue el resultado de una lluvia de ideas en EASA y ha sido confirmada por el grupo

de expertos

1. Falta de claridad y una definición no homogénea de las fronteras entre las categorías de los UAS.

2. Falta de protección en áreas sensibles.3. Requerimientos técnicos inadecuados.4. Falta de clasificación del espacio aéreo y de normas para operaciones de bajo nivel.

5. Competencias de los pilotos remotos inadecuadas.6. Necesidad de registro e identificación.

ConsecuenciasLos problemas enumerados anteriormente, nos llevan a cuatro principales consecuencias:

1. Riesgos terrestres. Entre los que se encuentran accidentes/incidentes que involucran a personas en tierrao áreas sensibles.

2. Riesgo aéreo. Como puede ser riesgo de colisiones, excesiva proximidad y/o accidentes/incidentes conaeronaves tripuladas.

3. Violación de la privacidad, de la protección de datos y de la seguridad.

4. Barreras al mercado, sobrecarga a la industria, y bloqueo de potencial de innovación y desarrollo.


Tras esta profunda definición del problema, así como de plantear sus soluciones y justificar cada una delas conclusiones que se exponen, el Capítulo 4 expone las opciones para la open-category, las cuáles seexpusieron en la Tabla 2.2. Tras él, en el Capítulo 5 hace lo propio con las opciones de registro de UAS, paraen el Capítulo 6 ahondar sobre las diferentes opciones planteadas para la specific-category, que sí resulta deinterés para este estudio.

De cada una de las opciones expuestas en Tabla 2.4, analiza su impacto de seguridad, social y económico.Tras analizar uno a uno cada uno de los impactos, se llega a la siguiente comparación:

Tabla 2.5 Comparación de las opciones para la specific-category [6].

Option S0 Option S1 Option S2 Option S3

No hacer nada Autorización para to-da operación

Autorizaciones y es-cenarios estándar

Autorizaciones,escenarios estándar yLUC

Impacto de seguridad 0 ++ +/- +Impacto Social 0 + + +

Impacto económico 0 – +/- ++Total 0 -/+ + ++

Brevemente, comentaremos el resultado que se deriva de esta tabla. Como puede verse, la opción favoritaes la S3, es la que más puntos positivos acumula en cada uno de los impactos tenidos en cuenta. Por ello,fue la opción que se tomó a la hora de proponer un marco regulatorio para la specific-category. Resulta deinterés ver cada uno de los impactos de la opción S3 por separado:

Impacto de seguridadComparada con la opción S2, esta opción podría tener un impacto ligeramente positivo sobre la seguridad

dado que las autoridades competentes podrían centrar sus recursos en verificar únicamente las operacionesllevadas acabo por operadores que no ostentaran una LUC, ya que la opción S2 puede tener riesgo potencialen cuanto a que muchos operadores podrían incluir sus operaciones dentro de escenarios estándares que noencajaran completamente con la descripción de su operación.

Impacto socialLa opción S3 podría tener los siguientes impactos sociales en los diferentes participantes de la operación:

• Las autoridades tendrían que dedicar menos recursos a examinar autorizaciones dado que muchasde esas autorizaciones se reemplazarían por una LUC. Por otro lado, es cierto que algunos de esosrecursos deberían destinarse a examinar las aplicaciones de una LUC.

• La posibilidad de solicitar una LUC para obtener una autorización para algunas operaciones con UASpodría animar a la sociedad en el uso de los UAS, con su respectivo impacto positivo en el mercado.Además, gracias a esta nueva posibilidad, sería menos engorroso para los operadores operar diferentesUAS. Todo esto tendría un efecto positivo sobre los fabricantes en cuestiones de negocio y por tanto deempleo.

• Es cierto que los operadores deberían dedicar más recursos para la obtención de una LUC, pero despuésdedicaría muchos menos recursos ya que evitarían tener que pedir autorizaciones constantemente, locual ayudaría al mercado de UAS a extenderse. Además, el impacto cobre la calidad del trabajo delos operadores sería muy positiva, en tanto que muchas de las tareas peligrosas que actualmente serealizan personas, como por ejemplo las inspecciones, se realizarían por UAS.

Impacto económicoAquí se realiza una estimación del impacto económico que tendría esta opción sobre cada uno de los

participantes. Comenzamos con las autoridades, que el primer año tendrían estos gastos de Tabla 2.6 y durantelos siguientes años los gastos estimados en Tabla 2.7

El balance general del impacto económico para los MSs sería negativo. En cambio los operadores en estaopción se beneficiarían por la posibilidad de obtener una LUC. Para la realización de este borrador se preguntóa operadores de UAS actuales de todos los MSs. En este cuestionario se les preguntó dos cosas en este aspecto:si intentarían solicitar una LUC y, en caso de que se les concediera, cuántas autorizaciones se evitarían


Tabla 2.6 Gastos para las autoridades el primer año [6].

Atorizaciones Periodicidad Coste total por MSsde EASA

Análisis de las solici-tudes y emisión de au-torizaciones

Un año 1.712.000€

Emisión de LUCs Anualmente 760.870€Total 2.472870€

Tabla 2.7 Gastos para las autoridades los siguientes años [6].

Atorizaciones Periodicidad Coste total por MSsde EASA

Análisis de las solici-tudes y emisión de au-torizaciones

Anualmente 3.423.900€

Emisión de LUCs Anualmente 1.521.750€Total 4.945.650€

Figura 2.1 Respuesta de los operadores a las preguntas de: ¿Tiene previsto solicitar una LUC? y ¿Cuántasautorizaciones se evitaría en caso de ostentar una LUC? [6].

por año. Los resultados pueden verse en Figura 2.1. El resultado presuntamente negativo en la primerarespuesta no debe tomarse como una respuesta absoluta, ya que muchos de los operadores cuestionados noeran operadores comerciales que no tenían más de un tipo de UAS y por tanto, hoy en día no llevan a cabodiferentes tipos de operaciones (por lo que solicitar una LUC no tendría sentido para ellos).Considerando este feedback de los operadores, se realizaron los siguientes cálculos comparando el coste

de una LUC y el coste de una autorización para un operador, asumiendo que las autorizaciones evitadas poroperador podrían ser 50 y el coste de una LUC queda establecido en 2.500€.

Tabla 2.8 Comparativa de gastos para los operadores [6].

Autorizaciones LUCCoste 200€ 2.500€Número total de auto-rizaciones/LUCs poroperador

50 autorizaciones 1 LUC

Coste total por opera-dor Cerca de 10.000 € Cerca de 2.500€


Por tanto, un operador podría ahorrarse en torno a 7.500€ obteniendo una LUC.Por último, para los fabricantes de UAS esta opción también sería beneficiosa en el sentido de que ese

dinero que podrían ahorrarse los operadores a la hora de solicitar autorizaciones, lo podrían invertir en laobtención de nuevas plataformas.Por tanto, es por ellos que el resultado que se deriva de la Tabla 2.5 es que la opción S3 de todas las

planteadas para la specific-category es la más beneficiosa para el sector.

3 SORA. Specific Operations RiskAssessment

Una vez definidas razonadamente las categorías de operaciones con UAS, nos centramos en el estudiode las operaciones que competen este trabajo: las correspondientes a la specific-category. Como se ha

visto anteriormente, la mayor parte de las operaciones con UAS que se darán en el futuro próximo, así comolas más interesantes desde el punto de vista económico y de desarrollo del sector son las que se alojan dentrode esta categoría.

Se hace necesario pues definir un modelo que analice el riesgo de cada operación, sin tener que llegar a losniveles de certificación marcados por la industria aeronáutica, reservados únicamente a aquellas operacionesque se realicen en la certified-category (que queda fuer de esta estudio), y los cuales encarecerían sobremaneralos procesos, restando competitividad e interés al sector, impidiendo así su desarrollo.

3.1 Modelo holístico de riesgo

Es bajo esta premisa donde nace la metodología SORA [15], para proponer una metodología de análisis delriesgo para apoyar la solicitud de una autorización para operar un UAS dentro de la specific-category. Laaplicación de esta metodología es un medio aceptable de evaluación del riesgo asociado a la operación lacual se este analizando.

La metodología se basa en el principio de un sistema holístico de riesgo seguro. El modelo considera lasamenazas de todo tipo para un riesgo especifico, sus posibles mitigaciones, y evalúa todo en conjunto paraestablecer el límite entre una operación segura y otra que no.La definición de riesgo que trata el SORA es la siguiente: El riesgo es la combiación de la frecuencia

(probabilidad) de un suceso y su nivel de severidad asociado.El Modelo de Riesgo Holístico (HRM en adelante) modela el riesgo asociado a una operación a través de

los siguientes pasos:

1. Identificación del daño: identificar los daños por los cuales el riesgo debe ser evaluado. Hay trescategorías de riesgo que se asumen en este estudio. Estas son:a) Lesiones fatales a terceros en tierra.

b) Daños fatales a terceros en aire (p.e. colisiones catastróficas en medio del aire con aeronavestripuladas).

c) Daño a infraestructuras críticas.

2. Identificación del riesgo: aquellos riesgos que pueden llevar a un daño concreto. SORA establece queel único riesgo relacionado con la operación de un UAS que puede llevar a cualquiera de los tres dañosanteriormente enumerados es UAS operando fuera de control.

3. Identificación de amenazas genéricas: identificar los problemas que puedan causar un riesgo en casode no estar bajo control. SORA identifica a través del HRM cinco categorías genéricas de amenazas,potencialmente aplicables a cualquier operación con UAS. Estas son:a) Problemas técnicos con el UAS.

19

20 Capítulo 3. SORA. Specific Operations Risk Assessment

b) Errores humanos.

c) Aeronaves en rumbo hacia una colisión.

d) Operar en condiciones adversas.

e) Deterioro de los sistemas externos que soportan la operación del UAS.

4. Identificación de las barreras del daño: identificar cuales son las mitigaciones aplicables a un dañoespecifico para un riesgo definido.

5. Identificación de las barreras de amenazas: identificar cuales son las mitigaciones aplicables a unaamenaza especifica para un riesgo definido.

Una vez establecido el HRM, pasamos a definir los parámetros del riesgo definidos en el SORA

Tabla 3.1 Rangos cuantitativos de probabilidad de daños fatales a terceros en tiera [15].

Número de dañosfatales a tercerosen tierra (por horade vuelo)

Número de riesgo(por hora de vue-lo)

Número de perso-nas afectadas (porriesgo)

Probabilidad de queuna persona sufra undaño fatal, en caso deser golpeada

Certified Cate-gory 10−6 10−6 a 10−4 10−2 a > 1 1

Specific Cate-gory 10−6 10−6 a 1 10−5 a > 1 0.01 a 1

Open Cate-gory 10−6 10−2 a 1 10−5 a > 10−2 0 (no existe daño) o

0.01 a 1

3.2 El proceso SORA

Una vez establecidas estas premisas, toca definir el proceso SORA como tal. Dicho proceso consta de 12pasos más un paso inicial en el cual se verá si realmente es necesario empezar este método para nuestraoperación. Tras esta decisión se describirá nuestro concepto de operación, para luego hacer un análisis enparalelo tanto del riesgo en tierra como del riesgo en aire. Una vez hechos estos análisis, se deciden lasbarreras necesarias para el daño que pueda producir el riesgo de nuestra operación. Tras esto, es necesariover la viabilidad de nuestra operación y decidir si llevarla a cabo o no. En caso de decidir que no es viable,cabrán dos opciones, o desistir de realizar dicha operación, o rediseñarla y volver a realizar los análisis deriesgo pertinentes.De todo este análisis, nos saldrá un nivel de SAIL (Specific Assurance and Integrity Levels), el cual nos

derivará a una serie de requerimientos con diferentes niveles de robustez. Esquemáticamente, el procesoSORA puede verse en Figura 3.2 y Figura 3.1

3.2 El proceso SORA 21

NO

Paso #0: Comprobacion

-¿Esta el CONOPS clasificado como no-go?

-¿Puede la operacion estar dentro de la OPEN-CATEGORY?

-¿Existe ya un escenario estandar definido de la operacion?

-¿Ha definido la autoridad competente si el UAS

es inofensivo para el riesgo de tierra o aire?

Paso #1: Descripcion de la CONOPS

Paso #5: Determinacion del SAIL

basado en el GRC final

de riesgo de tierra intrınseco (GRC)Paso #2: Determinacion de la Clase

Paso #3: Identificacion de las barreras

de mitigacin del riesgo de tierra

y adaptacon del GRC

Paso #4: Determinacion de la letalidad

Paso #6: Determinacion de la

Categorıa de Espacio Aereo (AEC)

Paso #7: Determinacion de laclase inicial de riesgo aereo (ARC)

Paso #8: Identificacion de las estrategiasde mitigacion, reduccion del ARC

y determinacion del SAIL

Paso #9: Evaluar el nivel de actuacionesrequeridas para las mitigaciones tacticas

Paso #10: Identificacion de las barreras de amenazas recomendadas para el mayor nivel de SAIL derivado de las

evaluaciones del riesgo de tierra y el de aire

Paso #11: Comprobacion de la viabilidad

SI

Paso #12: Justificacion de la robustez de las barreras de amenazas propuestas y evaluacion del SAIL resultantepara nuestra CONOPS

Conclusion:¿Es el SAIL resultantecompatible con el SAIL obtenido en el Paso 10?

SI

o una nueva aplicacion

STOP, reconsiderar

SI

Si el GRC es mayor de 7

NO

NO

asociadas)(con las limitacionesoperacion del UASAprobacion de la

otro proceso

Figura 3.1 Descripción del método SORA.


Figura 3.2 Descripción del método SORA[15].

A continuación, pasamos a comentar cada uno de los pasos.

3.2.1 Paso #0 - Evaluación incial

Este es un paso preliminar. Al operador debe verificar si la operación que quiere llevar a cabo es viable, noesta excluida por la autoridad local o ya es sujeto de un escenario estándar ya. Las cosas que deben verificarseson:

• Si la operación puede estar dentro de un escenario estándar ya reconocido por la autoridad local.

• Si nuestra operación entra dentro de los límites de la open-category.

• Si la operación esta catalogada como NO-GO por la autoridad local.

• Si la autoridad local ha determinado que nuestro UAS es inofensivo tanto para el riesgo en tierra comoen aire.

Una vez comprobado que ninguno de estos puntos se cumple, el operador o interesado en realizar laoperación puede comenzar el método SORA.

3.2.2 Paso #1 - Descripción del concepto de operación (ConOps)

El primer paso del SORA requiere recoger y proporcionar la información técnica, operacional y humanasuficiente por parte del operador solicitante (en adelante operador) relacionada con el uso previsto del UAS,la cuál se necesitará para la evaluación del riesgo. La definición del ConOps es la base del resto de paso,así que debe ser tan precisa y detallada como se pueda. Aquí debe también darse todas las consideracionesprevistas para los elementos de las barreras del daño y amenazas que se describen en SORA.

3.2.3 Paso #2 - Determinación del riesgo terrestre del UAS inicial

El riesgo inicial terrestre está representado por 11 clases de riesgo terrestre (GRC) diferentes, y esta relacionadocon el riesgo absoluto de que una persona sea golpeada en tierra por nuestro UAS en caso de su perdida decontrol. En este punto, SORA proporciona un método cualitativo para establecer esta GRC inicial, basándoseen tres parámetros: la dimensión máxima característica de nuestro UAS, la energía cinética típica esperada, yla determinación de escenarios operacionales.


Así, la clase 1 (la mínima), sería operar un UAS es VLOS sobre un área controlada, localizado dentro deuna zona poco poblada, con un UAS de una dimensión máxima característica de 1m y menos de 700J deenergía cinética típica.

Por contra, la clase 11, la que conlleva un riesgo mayor, sería operar en BVLOS sobre una zona congestio-nada (sin zona controlada), con un UAS de más de 8m de dimensión característica máxima y más de 1084KJde energía cinética tipica. Lógicamente, entre estas dos clases se abre un abanico enorme de posibilidades.

Hemos nombrado el área controlada, pero no se ha definido. SORA define este área como el área destinadapara la operación de nuestro UAS en la que solo se encuentran participantes activos de la operación, en casode encontrarse alguien dentro de esa zona.Ls escenarios operacionales que SORA describe en este punto intentan proporcionar una categorización

discreta de operaciones aumentando las personas susceptibles de estar en peligro. Si se propusiera algúnescenario que no pueda albergarse dentro de algún GRC de este punto, es que no está cubierto por lametodología SORA.

3.2.4 Paso #3 - Barreras del daño y adaptación del GRC

El uso de barreras del daño es un camino efecto para reducir el riesgo intrínseco de una operación específica.Este paso del proceso SORA nos permite adaptar el GRC inicial asignado en el paso anterior, basándose enlas barreras del daño disponibles en nuestra operación. Estas barreras y sus factores de corrección se ilustranen la Tabla 3.2. El significado de estos factores es el siguiente: un número positivo denota un aumento de laclase del riesgo, mientras que un factor negativo disminuye el riesgo asociado a nuestra operación. Se debenconsiderar todas las barreras disponibles. El anexo B de SORA facilita detalles adicionales de como calcularla robustez de la barrera.

Tabla 3.2 Barreras del riesgo para la adaptación del GRC [15].

RobustezBarreras del daño para laadaptación del GRC Baja/ninguna Media Alta

Se posee un plan de respuestade emergencia, validado porel operador y efectivo

1 0 -1

Los efectos del impacto entierra están reducidos (p.e.mediante paracaídas de emer-gencia, shelter)

0 -1 -2

Se tiene contención técnicaen marcha y efectiva (p.e. fi-jación del UAS)

0 -2 -4

Una vez analizadas y cuantificadas cada una de las barreras que se poseen, estas se suman al GRC inicialasignado en el paso anterior obteniendo así el GRC final. Si este GRC no puede reducirse a nivel 7 omenor, la operación propuesta no puede ser aprobada en términos de la métodología SORA.

3.2.5 Paso #4 - Determinación de la letalidad

El siguiente paso es evaluar la letalidad de nuestro UAS. SORA reconoce que el dos UAS diferentes puedentener letalidades diferentes. La letalidad es la cualidad de letal, que significa mortífero. Es decir, es lógicopensar lo que nos dice SORA. Igual que un mismo UAS no es igual de letal operando en campo abierto quesobre una concentración de personas.Es por ello que se definen tres niveles de letalidad: High, Average y Low. Algunas de las aspectos de

diseño o situaciones que pueden considerarse a la hora de determinar la letalidad son: el fuel/energía para losrotores o propulsores, material del UAS, etc.

Cabe decir que la letalidad es una de los puntos de este método que sigue estudiándose y que en próximospasos se desarrollará en mayo profundidad.


3.2.6 Paso #5 - Specific Assurance and Integrity Levels (SAIL)

Con el GRC final que se determinó en el Paso #3, combinado con la letalidad que hemos determinado en elpaso anterior, es posible definir el Specific Assurance and Integrity Levels (SAIL) y por tanto los objetivosasociados a cumplir con el objetivo de lograr este nivel de confianza que nos asegurará que la probabilidadde perder el control de nuestro UAS va acorde con nuestra ConOps propuesta.

El nivel de confianza dado por el SAIL no representa ningún valor cuantitativo (lo cuál puede verse en [1]más adelante y demuestra que SORA es consistente con esta norma genérica), pero aún así corresponde a:

1. Obejtivos que deben cumplirse.

2. Descripción de las actividades, pruebas, ensayos, métodos, etc. que deben respaldar la confianza enestos objetivos.

3. Evidencias (con distinta robustez dependiendo del SAIL) de que estos objetivos se han cumplido.

Así, el SAIL asignado al riesgo en tierra queda determinado a través de la Tabla 3.3

Tabla 3.3 Determinación del SAIL del riesgo en tierra [15].

SAIL del riesgo en tierra

Letalidad UAS GRC7 6 5 4 3 2 1

HIGH VI VI V IV III II IAVERAGE VI V IV III II I 0

LOW V IV III II I 0 0

El nivel SAIL 0 se asigna a aquellas operaciones donde no es necesario nada más que asegurar que existenbarreras al daño. El SAIL 0 se aplica también a aquellas operaciones en las que el GRC diera negativo,es decir, aquellas que tienen una sobrecorrección del riesgo de la operación. Por tanto, una operación queconlleve un gran riesgo asociado, y además de ello no se hayan aplicado las barreras necesarias, derivará enun nivel de SAIL VI, el cuál nos llevará a una serie de requerimientos de muy alto a nivel, aumentando elcoste de nuestra operación y su viabilidad. Se debería por tanto en tal caso rediseñar la operación, o aplicarmás barreras del daño para así conseguir bajar el nivel de SAIL y así los requerimientos deberán cumplirsea un nivel menor (medio o bajo como se verá más adelante). Por tanto, será objetivo del operador buscarsiempre el nivel de SAIL más bajo posible para su operación, siempre siguiendo un proceso fiable y veraz,para que así la robustez de los requerimientos que se deriven de dicho nivel de SAIL sean consistentes con laoperación propuesta.

3.2.7 Paso #6 - Determinación de la categoría de encuentro del Espacio Aéreo

La categoría de encuentro del espacio aéreo (en inglés Airspace Encounter Category, AEC en adelante) esun grupo e tipos de espacio aéreo que mejor reflejan los niveles percibidos para el riesgo de colisión. Unencuentro se define como la proximidad de 3000ft en horizontal y ±350ft verticalmente.Se agrupan por su altitud operacional, encontrarse en los aledaños de un aeropuerto, dentro del espacio

aéreo controlado, en el no controlado Modo C veil/TMZ (espacio aéreo definido en los EEUU), y en unespacio aéreo no controlado sobre poblaciones rurales o urbanas. Al final resultan un total de 12 categorías,las cuales se reflejan en la Tabla 3.4 Si el UAS operara en varias categorías de espacio aéreo, deberán tenerseen cuenta todas las categorías, en pro de asegurar que el riesgo de colisión está suficientemente mitigado encada una de ellas. Además de la Tabla 3.4, podemos hacer uso de la Figura 3.3 para definir nuestro AEC.

Es de interés que queden definidos los espacios aéreos atípicos en el contexto de SORA, los cuales quedanfuera del uso de esta metodología (y se corresponden con el AEC 12). Estos son:


Figura 3.3 Proceso de asignación del AEC [15].


• Espacio aéreo restringido o zonas peligrosas.• Espacio aéreo donde las aeronaves tripuladas normalmente no pueden operar.• Espacios aéreos donde el ratio de encuentro de aeronaves tripuladas puede ser menos del 10−6 porhora de vuelo durante la operación.

• Espacios aéreos que no se encuentren dentro de las AEC de la 1 a las 11 (definidas en Tabla 3.4).

Tabla 3.4 Determinación del AEC [15].

Airspace EncounterCategories (AEC) Espacio aéreo de la operación

1Operaciones dentro de las Clases A, B, C, D, E o F no enel entorno de una aeropuerto por encima de 500ft AGL(Above Ground Level).

2 Operaciones dentro del entorno de un aeropuerto por enci-ma de 500ft AGL.

3 Operaciones dentro de la Clase G de espacio aéreo porencima de 500ft AGL dentro del Modo C Veil/TMZ.

4 Operaciones dentro de la Clase G de espacio aéreo porencima de 500ft AGL y sobre poblaciones urbanas.

5 Operaciones dentro de la Clase G de espacio aéreo porencima de 500ft AGL y sobre poblaciones rurales.

6 Operaciones dentro de las Clases A, B, C, D, E o F no enel entorno de una aeropuerto por denajo de 500ft AGL.

7 Operaciones dentro del entorno de un aeropuerto por de-bajo de 500ft AGL.

8 Operaciones dentro de la Clase G de espacio aéreo pordebajo de 500ft AGL dentro del Modo C Veil/TMZ.

9 Operaciones dentro de la Clase G de espacio aéreo pordebajo de 500ft AGL y sobre poblaciones urbanas.

10 Operaciones dentro de la Clase G de espacio aéreo pordebajo de 500ft AGL y sobre poblaciones rurales.

11 Operaciones en el espacio aéreo por encima de FL600.12 Operaciones en un espacio aéreo atípico.

3.2.8 Paso #7 - Evaluación inicial de la clase de riesgo aéreo

La Clase de Riesgo Aéreo (ARC en adelante) es de nuevo una clasificación cualitativa de la tasa en la cual unUAS se encontraría con una aeronave tripulada en un generalizado espacio aéreo civil típico.El ARC está basado en el estudio de los siguientes tres parámetros:

1. Tasa de proximidad: cuantos más aeronaves haya en el espacio aéreo, mayor tasa de proximidad y portanto mayor riesgo de colisión. La frecuencia en la que se produce una proximidad entre dos aeronaveses aproximadamente igual al cuadrado del número de aeronaves dentro de un sistema.

2. Geometría: un espacio aéreo que establece o permite aeronaves en líneas de colisión aumenta el riesgode colisión. Una de las medidas para reducir este riesgo es controlar la geometría de las aeronavesque operan en dicho espacio aéreo. Un ejemplo claro de esto puede verse en las carreteras: todos loscoches de un lado van en una dirección, mientras que los del otro lado van en la contraria. A su vez, lageometría de los coches esta controlada lo cual reduce drásticamente el riesgo de colisión. Por tanto,podría controlarse la geometría de las aeronaves a través de estructuras aeronáuticas, procedimientos yregulaciones.

3. Dinámica: a mayor velocidad de las aeronaves dentro de un espacio aéreo, mayor tasa de proximidadentre ellas y por tanto mayor riesgo de colisión.

El ARC es una asignación inicial de un riesgo genérico de colisión, antes de aplicar las posibles mitigacionesa este. Este puede determinarse usando Tabla 3.5


Tabla 3.5 Determinación del ARC [15].

AEC ARC1 42 4

Espacio aéreo integrado. 3 4Operaciones por encima de los 500ft 4 3

5 36 37 4

Espacio aéreo a muy bajo nivel. 8 3Operaciones por debajo de los 500ft 9 3

10 2Espacio Aéreo a muy alto nivel 11 2Any 12 1

A continuación, detallamos el significado de los cuatro niveles de riesgo aéreo diferentes:

• ARC 1 se define generalmente como el espacio aéreo donde el riesgo de colisión entre un UAS ouna aeronave tripulada es aceptablemente seguro sin que tengan que añadirse mitigadores de colisión.De todas formas, aunque este ARC sea técnicamente seguro, deberán cumplirse los requerimientosmínimos impuestos por la autoridad competente.

• ARC 2 se define generalmente como el espacio aéreo donde el riesgo de colisión entre un UAS o unaaeronave tripulada es muy bajo. Esta ARC requiere de algún tipo de mitigador de colisiones, aunque abajo nivel.

• ARC 3 se define generalmente como el espacio aéreo donde el riesgo de colisión entre un UAS o unaaeronave tripulada es entre baja y moderada. Esta ARC requerirá mitigadores mayores que la ARC 2,pero menores que la ARC 4, que serán de un nivel entre bajo o moderado.

• ARC 4 se define generalmente como el espacio aéreo donde el riesgo de colisión entre un UAS ouna aeronave tripulada es alto. Este es el espacio aéreo donde se espera que las aeronaves tripuladasestén operando. Los UAS aquí deberán integrarse dentro del espacio aéreo y deberán cumplir losrequerimientos de las aeronaves tripuladas.

3.2.9 Paso #8 - Determinación de estrategias mitigadoras

El operador debe proponerse bajar el nivel del ARC inicial, porque las condiciones locales de la operaciónpropuesta no son indicativas dentro de las generalizaciones hechas en el AEC. Es más, las autoridadescompetentes pueden revisar las evidencias y argumentos formulados por el operador y decidir sobre si sepuede llevar a cabo la operación o si se podría bajar el ARC. Los mitigadores del modelo de riesgo aéreo deSORA se separan en dos fases:

• Mitigación estratégica.• Mitigación táctica (que se ve en e próximo paso)

Las primeras se usan para reducir la ARCmientras que las segundas se usan para encontrar el riesgo residualque quede en un ARC. Usar mitigadores estratégicos permitirán al operador tener que usar mitigacionestácticas menores al igual que reducir el SAIL asociado a la operación. En este análisis, las mitigacionesestratégicas tomas forma en restricciones operacionales de tiempo o espacio, tomadas antes del despegue, enpro de reducir la densidad de aeronaves y/o el tiempo expuesto y de este modo, deducir las tasas de encuentro.Estas mitigaciones son:

• Restricciones de tiempo (p.e. volar de noche).• Restricciones de espacio (p.e. permanecer dentro de un volumen de espacio aéreo limitado).• Restricciones del tiempo de exposición (p.e. el UA está diseñado para volar en un espacio aéreo, peropuede irrumpir en otro por un periodo de tiempo muy limitado. El riesgo en el espacio aéreo irrumpidoesta limitado por el corto espacio de tiempo que el UA permanece en él).


• Separaciones estratégicas mediante procedimientos. Todos los que tomen parte en el espacio aéreoestarán equipados y seguirán los procedimientos diseñados para controlar la geometría de todas lasaeronaves.

El nivel de robustez de estas mitigaciones deben ser proporcionales a la reducción del ARC. Así:

• Para una reducción del ARC de tres niveles, los mitigadores estratégicos deben llevar asociado un nivelalto de robustez.

• Para una reducción del ARC de dos niveles, los mitigadores estratégicos deben llevar asociado un nivelmedio de robustez. Para una reducción del ARC de un nivel, los mitigadores estratégicos deben llevarasociado un nivel bajo de robustez.

Una vez establecido el ARC final (tras la aplicación de estas mitigaciones estratégicas), es posible establecerel SAIL asociado al riesgo aéreo, el cual se ve en Tabla 3.6

Tabla 3.6 Determinación del SAIL asociado al riesgo aéreo [15].

ARC SAILARC 4 SAIL VIARC 3 SAIL IVARC 2 SAIL IIARC 1 SAIL I

3.2.10 Paso #9 - Evaluar los niveles requeridos sobre mitigadores tácticos

Como dijimos anteriormente, estos mitigadores se usan para encontrar el riesgo residual de la ARC. El riesgoresidual es el riesgo remanente de colisión de la amenaza de nuestro ARC necesario para alcanzar el objetivode seguridad del espacio aéreo.En el propósito de este análisis, los mitigadores tácticos son procedimientos con un horizonte de tiempo

muy corto (de segundos a pocos minutos), que cambian la geometría de encuentro del UAS para mitigar unriesgo de colisión y deben tomar la forma de un See, Decide, Avoid, Feedbak loop (SDAF loop). Algunosejemplos pueden ser: un sistema TCAS (Traffic Collision Avoidance System), un sistema DAA (Detect andAvoid), volar en VLOS, etc.

Según el ARC, estos mitigadores deben realizarse con una robustez diferente, tal y como se ve en laTabla 3.7

Tabla 3.7 Rendimientos requeridos de los mitigadores tácticos según la ARC [15].

ARC Rendimientos requeridos de los mitiga-dores tácticos

ARC 4 Alto rendimientoARC 3 Rendimiento medioARC 2 Bajo rendimiento

ARC 1

Opcional - aunque el operador podría tenerque mostrar alguna forma de mitigación quese consideren necesarias por la autoridadlocal.

Una vez llegados a este punto, hemos concluido el estudio del riesgo aéreo. El proceso que hemos seguidopuede verse en Figura 3.4


Figu

ra3.

4Procesopara

elrie

sgoaéreo[15].


3.2.11 Paso #10 - Identificación de las barreras de amenazas recomendadas

El siguiente paso del método es evaluar las recomendaciones sobre las barreras para las amenazas asociadas alnivel de SAIL de nuestra operación. Aquí está la clave del proceso, el SAIL intrínseco de nuestra operaciónserá el mayor derivado del análisis de riesgo aéreo y el de tierra. Las recomendaciones hechas en funcióndel SAIL aparecen con diferentes niveles de robustez, en concreto cuatro:

• O: Opcional.

• L: recomendación con nivel bajo de robustez.

• M: recomendación con nivel medio de robustez.

• H: recomendación con nivel alto de robustez.

La discusión sobre qué pueden representar estos diferentes de robustez se discutirá en el Capítulo 4,implementándose el método en el Capítulo 5.

Las recomendaciones que en este paso se realizan se agrupan en las siguientes categorías, cada una de lascuales tiene numerosas recomendaciones:

• Problemas técnicos con el UAS.

• Error humano.

• Aeronave en camino de una colisión.

• Condiciones de operación adversas.

• Deterioro de sistemas externos que apoyan la operación del UAS.

Se hacen un total de 25 recomendaciones, las cuales podrían llegar a dividirse en recomendaciones mástangibles a la hora del diseño de la operación.

3.2.12 Paso #11 - Comprobación de la viabilidad

Con el nivel de SAIL asignado y con el análisis hecho de todos los objetivos que se deben llevar a cabo,es ahora posible hacer un revisión de la viabilidad de la ConOps que se ha propuesto y decidir si llevarla acabo, o por contra, rediseñarla para bajar el SAIL. Esto puede llevar a añadir nuevas barreras del riesgo o porejemplo simplificar el escenario operaciones para lograr un SAIL menor.

3.2.13 Paso #12 - Verificación de la robustez de las barreras propuestas

Este paso es el proceso mediante el cuál el operador o solicitante demuestra la robustez de las barreraspropuestas. La designación de la robustez de cada barrera define tanto el nivel de integridad requerido por elSAIL así como el nivel de garantía requerido para demostrar que los objetivos del SAIL de nuestra operaciónse han cumplido. Es aquí donde toma sentido nuestro estudio. Los niveles de robustez de SORA (Low,Medium y High) no están definidos. Aún así, el propio SORA nos da una orientación sobre qué puede suponercada uno de estos niveles:

• El nivel Low de seguridad pudiera ser uno en el que el operador o solicitante declare que el nivelrequerido de integridad ha sido conseguido.

• El nivel Medium de seguridad pudiera ser uno en el que el operador o solicitante aporte evidencias deque el nivel requerido de integridad ha sido conseguido, mediante la realización de test o mediantepruebas de experiencia.

• El nivel High de seguridad será aquel en el que la validación/certificación del requerimiento deberíaser llevado a cabo por un agente competente externo.

De aquí en adelante será pues objeto de nuestro estudio buscar ejemplos de cómo se puede llegar a estosniveles de integridad de la seguridad (Low, Medium, High), mediante el análisis de riesgo en diferentesindustrias, las cuales podremos comparar con los objetivos que el SORA nos ha propuesto.

4 Comparativa de análisis de riesgo endiferentes industrias

Como hemos visto en el desarrollo de la metodología SORA, cuantificar el riesgo es algo esencial. Estehecho no es ajeno al resto de industrias o procesos del mundo que nos rodea. El riesgo cero es totalmente

imposible, simplemente por el hecho de que no existe ningún hecho físico con una rasa de riesgo nula, aligual que ningún humano realiza acción alguna sin riesgo cero, etc.

Es por ello que se hace necesario introducir medidas de riesgo, las cuales pasamos a definir. Como puntode partida para este Capítulo, nos encontramos con la Tabla 4.1[20], la cual nos da una primera aproximaciónpara iniciar nuestro estudio.

Tabla 4.1 Rendimientos requeridos de los mitigadores tácticos según la ARC [20].

Genérico (IEC61508) (SIL 0) SIL 1 SIL 2 SIL 3

Medical (IEC62304) Clase A Clase B Clase C

Vehículos decarretera (ISO26262)

QM ASIL A ASIL B/ ASIL C ASIL D

Los términos SIL (Safety-Integrity Levels de su nomenclatura en inglés) y ASIL son los equiparables alSAIL del método SORA, y se explicará su significado en la siguiente sección.

4.1 Definición de términos. Estándar IEC 61508 [1]

La norma IEC 61508 (norma de ámbito genérico, trasversal al resto de industrias) es un primer estándarpara la seguridad funcional de los sistemas y en ella nos basaremos para empezar nuestro estudio, tal y

como hemos podido ver en Tabla 4.1[20]. De hecho, como se verá más adelante, el resto de industrias hanusado este estándar a la hora de definir sus tasas de seguridad. Surge la necesidad de establecer objetivos deseguridad e integridad, tanto cualitativa como cuantitativamente. La diferencia entre una y otra es la siguiente[21, Capítulo 1]:

• Cuantitativamente: donde predecimos la frecuancia de fallos de equipos y aparatos y la comparamoscon objetivos tolerables de riesgo. Si el objetivo de riesgo no se cumple deberemos rediseñar el equipopara que se adapte al objetivo marcado (añadiendo por ejemplo redundancia).

• Cualitativamente: donde intentamos minimizar la ocurrencia de fallos sistemáticos (por ejemplo erroresde software), aplicando una serie de defensas y disciplinas de diseño apropiados para la severidadtolerable del objetivo de riesgo.

Años atrás, el fallo de un sistema podía ser identificado como el fallo específico de un componente. Sinembargo, debido al desarrollo de la complejidad (p.e. el software) de los sistemas ha llevado a que sus fallos

31

32 Capítulo 4. Comparativa de análisis de riesgo en diferentes industrias

se deban a razones más delicadas y que no tengan éstas que estar atribuidas al fallo catastrófico de ningúncomponente. Por ello podemos hablar de:

• Fallo aleatorio de equipo: los cuáles pueden estar atribuidos a al fallo de un componente específico,al cual le asignamos una tasa de fallo. El concepto de repetitividad nos permite modelar sistemasconcretos mediante la asociación de una tasa de fallo pasado de componentes similares entre sí parapredecir el rendimiento de un diseño en cuestión.

• Fallos sistemáticos:los cuáles no están atribuidos al fallo de un componente en concreto y por lo tantoson únicos del sistema y su entorno. Estos son los fallos asociados por ejemplo, al software. Las tasasde fallo no pueden ser atribuidas a estos sucesos ya que no pueden predecirse para diseños futuros.

Cabe decir que objetivos de riesgo cuantificados pueden establecerse únicamente para los primeros, y nopara los segundos. Por tanto, surge el concepto de establecer un número arbitrario de niveles de rigor en elcontrol de un diseño u operación. En la norma ISO 9001 es donde surge el concepto de establecer controlescualitativos. Es aquí donde surge el concepto de SIL. Desde entonces, dichos niveles de rigor se han idoasociando a cada operación en función de la severidad del riesgo en cuestión.Fue a partir de los 90 cuando este concepto de SIL evolucionó y empezó a usarse en la mayoría de áreas

de la ingeniería como una medida cualitativa del riesgo. La norma IEC 61508 fue la que estableció los cuatroprimero niveles de SIL, estableciendo que a más alto nivel de SIL, mayores serían las restricciones a tener encuenta de cara a amortiguar el riesgo asociado a la operación o diseño que se estuviera llevando a cabo.Presentamos en la Tabla 4.2 los niveles de SIL establecidos en la norma IEC 61508:

Tabla 4.2 Safety Integrity Levels (SIL) en la norma IEC 61508 [21].

Safety integrity level(SIL)

Tasa de alta deman-da (daño fallo/h)

Tasa de baja deman-da (probabilidad defallo por demanda)

4 ≥ 10−9a < 10−8 ≥ 10−5a < 10−4

3 ≥ 10−8a < 10−7 ≥ 10−4a < 10−3

2 ≥ 10−7a < 10−6 ≥ 10−3a < 10−2

1 ≥ 10−6a < 10−5 ≥ 10−2a < 10−1

Como vemos, en la tabla hay dos columnas ambas referidas a dos casos diferentes. La razón por la cual seexpresa así es porque hay dos formas a través de las cuales el objetivo de integridad debe quedar definido. Loexplicaremos con dos ejemplos.Consideremos un coche, y dentro de este sus frenos y el sistema air bag. Si el primero falla, hay una alta

probabilidad de sufrir un fallo catastrófico, además de que los frenos de un coche se usan cada vez que lamáquina se pone en funcionamiento. En cambio, el sistema air bag es un sistema el cuál solo se usará, comomáximo, una vez en la vida útil del coche. Es más, probablemente no llegue a usarse en la mayoría de casosdurante toda la vida de la máquina. Por tanto, la demanda de este sistema no es frecuente, y los fallos puedenmedirse bien durante un intervalo de test. Por ello, para un mismo nivel de SIL, para los primeros se usaría lasegunda columna, y para los segundos la tercera columna.

Para ser más conciso, en la norma IEC 61508, la alta demanda queda definida para sucesos o funciones quese espera que ocurran más de una vez por año, y la baja demanda queda definida para cuando la frecuenciaesperada del suceso es menos que ésta.Una vez establecidos estos principios básicos que establece esta norma IEC 61508, un buen punto de

partida es ver como de esta norma se desarrollan el resto de normas y estándares que a continuación vamos aanalizar. Esta relación se representa en Figura 4.1.

4.1 Definición de términos. Estándar IEC 61508 [1] 33

Figu

ra4.

1Re

lación

deestándares

ynorm

asde

diferentes

industr

iasc

onlanorm

aIEC61508[21].


A partir de aquí, analizaremos los siguientes estándares en busca de similitudes en el uso del SIL, loscuales nos permitan llegar a conclusiones concretas en tasas cualitativas de medida para la metodologíaSORA:

• IEC 62304 - Dispositivos médicos.• CENELEC 50128 - Aplicaciones Ferroviarias.• IEC 62061 - Seguridad en las máquinas• EN-292 - Seguridad de las máquinas.• ISO 26262 - Road Vehicles.

4.2 IEC 62304 - Software Dispositivos médicos [2]

Esta norma define los requisitos de vida para dispositivos médicos, y en concreto para el software de estosdispositivos. En ella se definen las tareas, actividades y procesos que se establecen como marco común

para los procesos del ciclo de vida de dicho software.Un dispositivo médico, define la norma, es todo instrumento, aparato, equipo, máquina, dispositivo,

implante, reactivo invitro o calibrador, software, material o similares, previsto por un fabricante para serusado, sólo o en combinación, por humanos sirviendo para uno o más de los siguientes propósitos:

• Diagnóstico, prevención, monitorización, tratamiento o alivio de una dolencia o lesión.• Investigación, sustitución, modificación, o soporte de la anatomía o de una proceso fisiológico.• Soporte o mantenimiento de la vida.• control de la concepción.• Desinfección de dispositivos médicos.• Proporcionar información con finde médicos por medio de exámenes in vitro de muestras derivadasdel cuerpo humano.

Es decir, son dispositivos que interactúan directamente con las personas y que cualquier error en el sistemapuede llevar asociado un daño a terceros. Por tanto, la norma establece que el fabricante debe designar acada sistema software una clase de seguridad del software (A, B o C) conformo a los posibles efectos que elsistema puede tener sobre el paciente, operador o cualquier otra persona que pueda resultar en peligro debidoal fallo de éste.

Las clases de seguridad las designa inicialmente en base a la severidad, y las define de la siguiente manera[2]:

• Clase de seguridad A, sí:– El sistema software no puede contribuir a una situación peligrosa.– El sistema software puede contribuir a una situación peligrosa que no resulte en un riesgoinaceptable tras considerar las medidas externas de control de riesgos aplicadas al sistemasoftware.

• Clase de seguridad B, si:– El sistema software puede contribuir a una situación peligrosa que resulte en un riesgo inaceptabletras considerar las medidas externas de control de riesgos aplicadas al sistema software y elposible daño resultante es una lesión no seria.

• clase de seguridad C, si:– El sistema software puede contribuir a una situación peligrosa que resulte en un riesgo inaceptabletras considerar las medidas externas de control de riesgos aplicadas al sistema software y elposible daño resultante es una lesión seria.

Cabe decir que esta exhaustiva definición se introdujo en la modificación de la norma del año 2016.Resumiendo, Clase A no implica ningún tipo de lesión o daño para la salud; Clase B es posible una lesión noseria; y Clase C implica una lesión seria o muerte.

Como vemos este estándar no hace uso del SIL como medida de riesgo. Aún así, lo que es de real interéses ver el proceso que la norma describe para la selección de la clase de seguridad, el cuál se ve en la ??

Figura 4.2 Asginación de la clasificación de la seguridad del software para dispositivos médicos [22].


4.3 CENELEC 50128 - APLICACIONES FERROVIARIAS [3]

Analizamos ahora esta norma europea que especifica los procedimientos y requisitos técnicos para eldesarrollo de software para sistemas electrónicos programables para su uso en palicaciones de control

y protección del ferrocarril.En su punto 4.2 establece que la integridad de seguridad del software debe especificarse como uno de los

cinco niveles de SIL que propone, que van del SIL 0 el más bajo al SIL 4 el más alto. También indica queestos niveles de integridad de seguridad deben evaluarse y decidirse a nivel de sistema, tomando como baseel nivel de integridad de seguridad del sistema y del nivel de riesgo asociado con el uso de software en elsistema.Resulta también interesante ver como la norma exige que como mínimo se deben cumplir los requisitos

mínimos asociados al SIL 0, para aquellos sistemas cuyo SIL resulte por debajo de 1, ya que según la norma,existe una incertidumbre en la evaluación del riesgo, e incluso en la identificación de situaciones peligrosas.Por esto, recomienda contar al menos con un nivel bajo de seguridad, que respresenta el SIL 0, en lugar deno utilizar ninguno.

Resulta también de interés ver como la norma indica que, una vez establecido el nivel de integridad, debenusarse las técnicas y medidas indicadas en los anexos de la norma para cumplir dicho SIL. Es decir, a cadanivel de integridad se le asocia una tabla de requisitos no cuantificables, sino a nivel cualitativo, los cualesservirán para demostrar que el nivel de integridad de seguridad requerido se está cumpliendo.

Aunque el estándar EN50128 se refiere específicamente al sistema software (el cuál nos ayuda en nuestroestudio de cara al próximas conclusiones), las tasas de riesgo que cada SIL asume se especifican en laEN50126, estándar genérico para aplicaciones ferroviarias. Como era de esperar, estos niveles de SIL derivande un estudio probabilista, derivado de las definiciones que establece la IEC 61508. Los niveles de SILdefinidos se muestran en Tabla 4.3

Tabla 4.3 Definición del SIL en la norma CENELEC 50126 [23].

Tasa de fallos peligrosospor hora

Tasa de riesgo tolerable(THR) por hora y por fun-ción

SIL

<10−10 10−9 ≤ T HR < 10−8 4≥ 10−10 a 0.3 10−8 10−8 ≤ T HR < 10−7 3≥ 0.310−8 a 10−7 10−7 ≤ T HR < 10−6 2≥ 107 a 0.3 10−5 10−6 ≤ T HR < 10−5 1

Volviendo a la norma EN 51208, la que se centra en los sistemas software, cabe reseñar la manera en quelos requisitos para el cumplimiento de cada nivel de SIL están especificados en su anexo A. Por ejemplo, elprimer requisito que aparece es relativo a la planificación, y es Plan de garantía de calidad del software. Allado de él, para cada SIL aparece el símbolo HR. En cambio, para el requisito por ejemplo 12 de técnicay medida, que dice Memorización de Casos Ejecutados, para cada SIL aparece un símbolo diferente. Elsignificado de cada uno de los símbolos es el siguiente:

• M: este símbolo significa que el uso de la técnica es obligatorio (Mandatory).

• HR: este símbolo significa que la técnica o medida es áltamente recomendable (High Recommended)para el nivel de SIL en el que lo especifique. Si no se utilizara esta técnica o medida se debe proporcionaruna justificación detallada de por qué se han utilizado técnicas alternativas.

• R: este símbolo significa que la técnica o la medida es recomendable (Recommended) para el nivelde SIL en el que lo especifique. Es un nivel de recomendación inferior al HR, y se pueden combinardichas técnicas para formar parte de un paquete.

• ’-’: este símbolo significa que no existen recomendaciones ni a favor ni en contra relativas a la utilizaciónde esa técnica o medida.

• NR: este símbolo significa que la técnica o medida NO es recomendable (Not Recommended) para esenivel de SIL.

Vemos aquí un ejemplo de cómo llevar a la práctica un nivel teórico de SIL.

4.4 IEC 62061 - Seguridad de las máquinas [4] 37

4.4 IEC 62061 - Seguridad de las máquinas [4]

El objetivo de esta norma es especificar requerimientos y hacer recomendaciones para el diseño, integracióny validación de sistemas relacionados con la seguridad tanto eléctricos, electrónicos y de control

programables para máquinas. De nuevo,marca la norma IEC 61508 como un estándar de referencia.Antes de comenzar con el análisis de esta norma en términos de la robustez del SIL, conviene definir

el término Safety-Related Electrical Control System, que en adelante se referirá como SRECS, y es unsistema de control eléctrico de una máquina cuyo fallo puede derivar a un aumento inmediato del riesgo.

En el punto cinco es donde se desarrollan los requerimientos para la implementación de las funciones decontrol de seguridad, que en adelante se referirán como SRCF por sus siglas en inglés. Estos SRCF deberánser implementados por los SRECS. La especificación de un SRCF debe incluir:

• Requerimientos funcionales.

• Requerimientos de integridad de la seguridad, es decir SIL.

Es decir, de nuevo vemos como se definen una serie de requerimientos, los SRCF, que deben cumplirsecon un nivel de integridad específico para cada SIL. Estos SRCF son los que deben aplicarse a cada SRECSpara que éste cumpla el nivel de integridad de seguridad que se requiera en cada caso.El nivel de robustez de esos SRCF en función del SIL se expresa en la Tabla 4.4

Tabla 4.4 SIL: Tasas de fallo para los SRCFs [4].

SIL Probabilidad de un fallo peligroso por hora3 ≥ 10−8a < 10−7

2 ≥ 10−7a < 10−6

1 ≥ 10−6a < 10−5

Resulta muy de interés en esta norma su anexo A, donde se desarrolla la metodología a seguir para laasginación del SIL. Esta metodología guarda muchas similitudes con la metodología SORA, así que esenriquecedor analizarla para así poder añadir más valor a esta metodología.

En este anexo lo primero que nos indica es que debemos hacer una estimación del riesgo. Para ello, haceuso de la severidad del daño asociado a dicho riesgo y de la probabilidad de ocurrencia de dicho daño, lacual es función de la frecuencia y duración de exposición de personas a dicho riesgo, la probabilidad deocurrencia de un evento peligroso u de las posibilidades de evitar o limitar dicho riesgo. En la Figura 4.3vemos como combina cada una de estos conceptos para calcular el riesgo asociado a una amenaza.

Figura 4.3 Parámetros usados en la estimación del riesgo [4].

A continuación, vamos a ver como asigna a cada uno de estos parámetros un valor. Empecemos por laseveridad (Se), que puede ser estimada teniendo en cuneta la reversibilidad del daño ocasionado. En laTabla 4.5 vemos reflejado este concepto y el valor que le asigna.

La probabilidad de ocurrencia del fallo la define como hemos visto con tres parámetros, los cuales debenestimarse independientemente unos de otros. Para cada uno de estos parámetros debe elegirse la peor de lassituaciones para asegurar que el SRCF no está mal asignado a un nivel de SIL menor del realmente necesario.

El primero de estos parámetros es la frecuencia y duración de la exposición (Fr). Para su determinación, sehace uso de la Tabla 4.6.El segundo de los parámetros es la probabilidad de que ocurra un evento peligroso (Pr). Este parámetro

puede estimarse teniendo en cuenta la previsibilidad del comportamiento de los distintos componentes de


Tabla 4.5 Clasificación de la Severidad en IEC 61062 [4].

Consecuencias Severidad (Se)Irreversible: muerte, perdida de un ojo o brazo 4

Irreversible: rotura de extremidades 3Reversible: requiere atención médica 2Reversible: requiere primeros auxilios 1

Tabla 4.6 Clasificación de la frecuencia y duración de la exposición ante un peligro en IEC 61062 [4].

Frecuencia de la exposición Frecencia. Fr≤ 1 por hora 5

< 1 por h a ≥ 1 por día 5< 1 por día a ≥ 1 cada 2 semanas 4

< 1 cada dos semanas a ≥ 1 por año 3< 1 por año 2

la maquina y comportamientos humanos previsibles a la hora de interactuar con dichos componentes omáquinas. La clasificación de este parámetro se ve en la Tabla 4.7

Tabla 4.7 Clasificación de la Probabilidad de que ocurra un evento peligroso en IEC 61062 [4].

Probabilidad de que ocurra Probabilidad (Pr)Muy alta 5Probable 4Posible 3

Raramente 2Despreciable 1

El último de los parámetros es la probabilidad de evitar o limitar el daño (Av). Este parámetro puedeestimarse teniendo en cuenta aspectos del diseño de la máquina y sus aplicaciones previstas para evitar olimitar el daño causado por una amenaza. La clasificación de este parámetro se ilustra en la Tabla 4.8.

Tabla 4.8 Clasificación de la Probabilidad de evitar o limitar un daño en IEC 61062 [4].

Probabilidades de evitar un daño o limitarloImposible 5Raramente 3Probable 1

Una vez determinado cada uno de estos tres parámetros Fr, Pr y Av, la suma de estos tres dará la clase deprobabilidad del daño (Cl), es decir, Cl = Fr+Pr+Av. Tras determinar este parámetro, y combinándolocon la severidad antes establecida, se obtiene el SIL. Esto se muestra en la Tabla 4.9

4.5 EN-292 - Seguridad de las máquinas

Uno de los estándares que desde FADA-CATEC se insitió en análisis fue en el sector de las máquinas y enconcreto la directiva de máquinas. La nueva directiva de máquinas nos habla de las medidas de seguridadque se deben llevar a cabo sobre estas. Parte de la premisa de una prevención intrínseca, de manera que lasmáquinas por su diseño no ofrezcan peligro para los trabajadores. De no poder eliminarse ese peligro, setratará de anular o al menos reducir el nivel de riesgo mediante la protección de las llamadas zonas peligrosasque puedan presentar las máquinas [24]. Llegado a este punto, la directiva de máquinas lo único que hace es

4.6 ISO 26262 - Road Vehicles 39

Tabla 4.9 Matriz de asignación del SIL en IEC 61062.

Severidad(Se)

Clase (Cl)4 5-7 8-10 11-13 14-15

4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 33 Recalcular SIL 1 SIL 2 SIL 32 Recalcular SIL 1 SIL 21 Recalcular SIL 1

enumerar todos los posibles peligros que pueda tener una máquina, y a continuación las maneras de evitarloo de reducir el riesgo de que estos ocurran.También esta directiva de máquinas nos deriva a la norma UNE-EN 292 - Seguridad de las máquinas

[25]. En su parte 1 (terminología básica, metodología), en su punto 4 hace una descripción de los peligrosgenerados por las máquinas, mientras que en su punto 5 describe la estrategia para seleccionar las medidasde seguridad. No e habla en esta parte de la norma de nada relacionado con valores cualitativos de riesgo, esdecir, con algo que se parezca al SIL. De nuevo, lo único que se hace en esta norma es detallar todos losposibles riesgos que pueden acontecer en un máquina, y las maneras de imponerles medidas de seguridadpara mitigar este riesgo, sin hablar de niveles de robustez diferentes para casos de riesgos diferentes. Menosse habla incluso en su parte dos, donde de nuevo únicamente enumera las protecciones que se deben llevar acabo para cada tipo de máquinas.

Por tanto, la directiva de máquinas y las normas que la apoyan quedan fuera del ámbito de nuestro estudio.

4.6 ISO 26262 - Road Vehicles

La norma ISO 26262 es un estándar para la seguridad funcional de los vehículos de carretera. La empresaFADA-CATEC dio especial importancia a esta norma a la hora de encontrar estándares que pudieran

comenzar un camino en tanto a empezar a definir los niveles de requerimiento del método SORA, ya que veíaposibles similitudes en su proceso tanto de diseño, fabricación y uso con los drones. Debemos pensar que losvehículos de carretera están a disposición de la inmensa mayoría de la sociedad, por lo tanto, sus procesosde certificación no deben encarecer sobremanera el producto, y a la vez, llevan a un nivel de integridad deseguridad alto, ya que muchos de los fallos asociados a estos vehículos, puede llevar asociado un riesgo quepuede ser catastrófico. Por este motivo, la empresa FADA-CATEC dio especial importancia al análisis deeste estándar.La norma consta de nueve partes, más una décima que es una guía de ella misma. En nuestro análisis

toman especial interés la parte tres y la parte nueve. La primera desarrolla la Concept phase, o fase de diseño,y en concreto dentro de ella el desarrollo del análisis de riesgo; mientras las segunda es la definición delASIL, la medida de seguridad de esta norma. Empecemos por la parte tres de la norma entonces, para luegoanalizar la nueve.

4.6.1 ISO 26262-3. Concept Phase [7]

En el punto cuatro de la norma desarrolla dentro de la fase de diseño los requerimientos de cumplimiento.Diferencia aquí entre dos tipos de tablas de requerimientos, unas que son normativas y otras que soninformativas, e incluso una misma tabla puede ser ambas dependiendo del contexto. Los métodos que sedesarrollan en el estándar para el cumplimiento de los requerimientos pueden ser:

• Un grupo consecutivo, donde en tal caso todos los métodos se deben aplicar en el nivel de robustezespecificado por el ASIL asignado.

• Un grupo alternativo, donde un tal caso un grupo apropiado de dichos métodos debe ser aplicado enel nivel de robustez especificado por el ASIL asignado, independientemente de si aparecen nombradosen la tabla o no.

Por cada método que describe para el cumplimiento de un requerimiento, el nivel de robustez con respectoal ASIL asignado, en la norma ISO 26262, se clasifican de la siguiente manera:

• ++ indica que el método es altamente recomendable para el ASIL identificado.


• + indica que el metodo es recomendable para el ASIL identificado.

• o indica que no hay recomendaciones ni a favor ni en contra del empleo de dicho método para el ASILidentificado.

Es ya en el punto siete donde se desarrolla el análisis de amenazas y el estudio del riesgo. El estudio lobasa en la identificación de elementos que puedan contribuir a este riesgo. Así, hace una clasificación deeventos peligrosos en su punto 7.4.3, haciendo la asignación a cada evento de un nivel de severidad, de laclase de probabilidad de exposición con respecto a situaciones operacionales y un clase de controlabilidad. Acontinuación pasamos a definir cada una de estas.SeveridadLa severidad de un daño potencial se estima en base a la definición del evento peligroso que puede

provocarlo. Esta severidad debe enfocarse a cualquier persona que pueda ser potencialmente dañada en dichoriesgo, ya sea por ejemplo el conductor del vehículo, sus pasajeros, o cualquier otra persona que pueda serpotencial de sufrir daño, como podrían ser ciclistas, peatones, ocupantes de otros vehículos, etc. Teniendoesto en cuenta, las clases de severidad se exponen en Tabla 4.10

Tabla 4.10 Clases de severidad según ISO 26262 [7].

S0 S1 S2 S3

Descripción No hay daños Daños leves ymoderados

Daños severosy fatales (pro-bable sobrevi-vir)

Daños morta-les (poco pro-bable sobrevi-vir)

La severidad S0 debe ser asignada si el análisis de riesgo determina que las consecuencias de un malfuncionamiento del elemento esta claramente limitado a un daño material y no personal. Si a un elemento sele asigna la clase S0, no se le asigna ningún ASIL.Clase de probabilidad de exposiciónLa probabilidad de exposición para cada situación debe estimarse en base a un estudio razonado de cada

evento peligroso. La clases de probabilidad de exposición se definen en la Tabla 4.11

Tabla 4.11 Clases de probabilidad de exposición con respecto a situaciones peligrosas según ISO 26262 [7].

E0 E1 E2 E3 E4

Descripción Imposible Muy baja pro-babilidad Baja probabilidad Probabilidad media Alta probabilidad

La clase E0 se usará para aquellas situaciones que se sugieren durante el análisis y evaluación de riesgos,pero las cuales se han considerado tremendamente inusuales, prácticamente increíbles, y no se tendrán portanto más en cuenta. A estas situaciones no se les asigna ningún ASIL.ControlabilidadLa controlabilidad ante un evento peligroso debe de nuevo estimarse para cada evento peligroso que se

haya definido. Las clases de controlabilidad se definen en la Tabla 4.12

Tabla 4.12 Clases de controlabilidad según ISO 26262 [7].

C0 C1 C2 C3

Descripción Controlable en general Simplemente controlable Normalmentecontrolable

Dificilmentecontrolable oincontrolable

La clase C0 se debe usar para peligros que no afecten a la seguridad de la operación del vehículo, lo cualdeberá justificarse. A la clase C0, no se le asignará ASIL.


Una vez definidos estos tres parámetros, puede pasarse a definirse el ASIL y las metas de seguridadasociadas a él. El ASIL será una combinación de de estos parámetros, la cuál se presenta en la Tabla 4.13.Los ASIL que define la norma ISO 26262 son cuatro: ASIL A, ASIL B, ASIL C Y ASIL D, donde el ASILA es el de menor nivel de integridad de seguridad, y el ASIL D el de mayor. Además de estos ASILs, estanorma define una clase que denomina QM (Gestión de calidad), la cual denota que no hay requerimientosque cumplir con respecto a esta norma, y un plan de gestión de calidad será suficiente.

Tabla 4.13 Determinación del ASIL según ISO 26262 [7].

Severidad Probabilidad ControlabilidadC1 C2 C3

S1

E1 QM QM QME2 QM QM QME3 QM QM AE4 QM A B

S2

E1 QM QM QME2 QM QM AE3 QM A BE4 A B C

S3

E1 QM QM AE2 QM A BE3 A B CE4 B C D

Quedan así definidos todos los ASIL, es decir, los niveles de integridad de la seguridad, de los vehículosde carretera. Aún así vemos que no se han expresado en función de una tasa cualitativa de fallos o riesgos. Esconveniente por tanto analizar también el Anexo B de la parte 3 de esta norma, donde se hace un desarrolloel análisis y evaluación de riesgos, y en concreto, de los tres parámetros que hemos visto que lo definen.

Para la severidad hace uso de del concepto de AIS (Abbreviated Injury Scale), que representa un clasifica-ción de la severidad de un daño. Este concepto es usado por la AAAM (Association for the Advancement ofAutomotive Medicine). Esta escala e divide en siete clases las cuales pasamos a describir:

• AIS 0: no hay daños.

• AIS 1: daños leves.

• AIS 2: daños moderados.

• AIS 3: daños severos pero que no ponen en peligro la vida.

• AIS 4: daños severos que pueden poner en peligro la vida pero de los cuales es probable sobrevivir.

• AIS 5: dañor crítico de los cuales las probabilidad de sobrevivir son inciertas.

• AIS 6: daños extremadamente críticos o fatales. Las probabilidades de sobrevivir son prácticamentenulas.

Ahora, para cada clase de severidad, las cuales se definieron en la Tabla 4.10, define el planteamientológico según el AIS. Estos planteamientos quedan así:

• S0: para eventos clasificados detro del AIS 0 y que tienen menos de 10% de probabilidad de caer en elAIS 1 al 6.

• S1: para eventos con probabilidad de más del 10% de ser AIS 1 al 6, pero que no entren dentro de lasclases S2 o S3.

• S2: para eventos con probabilidad de más del 10% de ser AIS 1 al 6, pero que no entren dentro de laclase S3.

• S1: para eventos con probabilidad de más del 10% de ser AIS 1 al 6.

Por tanto, vemos como la manera de asignar la clase de severidad es situarse siempre en el peor de loscasos, y a partir de ahí ir analizando la posibilidad de ir reduciendo la clase de severidad hasta llegar a una


clase que no nos permita bajar más. Resulta de real interés acudir a este anexo para ver la cantidad de ejemplosreales que pueden incluirse tanto dentro de cada AIS como luego dentro de cada clase de severidad.Para la estimación de la probabilidad de exposición es necesario evaluar diferentes escenarios en los que

los factores más relevantes de riesgo puedan desarrollarse. En concreto esta probabilidad la define de dosmaneras, una teniendo en cuenta el porcentaje de tiempo medio de operación y otra teniendo en cuenta lafrecuencia de la ocurrencia de una operación. Así, las diferentes clases de esta probabilidad las expresa de lasiguiente manera:

• Clase E1:– Para el porcentaje de tiempo medio de operación, esta clase no se especifica.

– Para la definición que usa la frecuencia esta clase se asigna a situaciones que ocurren menos deuna vez al año para la inmensa mayoría de los conductores.

• Clase E2:– Para el porcentaje de tiempo medio de operación, esta clase se asigna a operaciones que ocupen< 1% del tiempo medio que opera el vehículo.

– Para la definición que usa la frecuencia esta clase se asigna a situaciones que ocurren algunasveces al año para la inmensa mayoría de los conductores.

• Clase E3:– Para el porcentaje de tiempo medio de operación, esta clase se asigna para a operaciones entre el

1% y el 10% del tiempo medio que opera el vehículo.

– Para la definición que usa la frecuencia esta clase se asigna a situaciones que ocurren una vez almes o más para un conductor medio.

• Clase E4:– Para el porcentaje de tiempo medio de operación, esta clase se asigna para a operaciones queocurran más del 10% del tiempo medio que opera el vehículo..

– Para la definición que usa la frecuencia esta clase se asigna a situaciones que ocurren prácticamenteen cada trayecto.

Por último, para la determinación de la clase de controlabilidad, se requiere de una estimación de laprobabilidad de que un conductor representativo fuera capaz de retener o recuperar el control del vehículo unavez que se produjera el riesgo. Así, teniendo en cuenta esto, las clases de controlabilidad quedan definidascomo sigue:

• Clase C0: el vehículo es controlable.

• Clase C1: el 99% o más de los conductores serían capaces de evitar el riesgo.

• Clase C2: el 90% o más de los conductores serían capaces de evitar el riesgo.

• Clase C3: menos del 90% de los conductores serían raramente capaces de evitar el riesgo.

Una vez más, conviene insistir en la consulta de este anexo a la hora de encontrar ejemplos prácticosy reales que se albergarían dentro de cada una de las clasificaciones realizadas, lo cuál resulta realmenteilustrativo a la hora de hacerse una idea del nivel de riesgo que pudieran suponer las diferentes operacionesque se realicen con un vehículo, que en nuestro caso no debemos de olvidar que el objetivo son los UAS.

4.6.2 ISO 26262-9. Automotive Safety Integrity Levels (ASIL) [8]

De esta parte de la norma, resulta de gran interés sobretodo su punto cinco, que proporciona reglas y guíaspara la descomposición de requerimientos de seguridad en requerimientos redundantes para permitir alASIL adaptarse al nivel requerido. El ASIL de una meta de seguridad de un artículo bajo desarrollo sematerializan a través del proceso de desarrollo de dicho artículo. Se comienza por metas de seguridad, quederivan en requerimientos de seguridad que se concretan durante las fases del desarrollo del producto. Losrequerimientos de seguridad, tanto funcionales como técnicos, se definen en los elementos estructurales delproducto, comenzando por suposiciones preliminares de la arquitectura y terminando en elementos hardwarey software que definirán dicha arquitectura.


El método de adaptar el ASIL durante el proceso de diseño se denomina Descomposición ASIL. Durante elproceso de asignación (del ASIL), el uso de este método puede acarrear beneficios a la hora de toma de deci-siones en la arquitectura del producto, incluyendo la existencia de suficientes elementos arquitectónicamenteindependientes. Esto nos da la oportunidad de:

• Implementar medidas de seguridad redundantes a través de estos elementos independientes.

• Asignar un ASIL potencialmente menor a aquellos elementos que forman la descomposición.

Cuando se aplica la descomposición del ASIL a un requerimiento de seguridad, se debe:

• Hacer de acuerdo con las descomposiciones permitidas, las cuales se explican en adelante.

• La descomposición del ASIL se debe aplicar más de una vez.

• Cada descomposición del ASIL se debe marcar dando el ASIL que se pretende logar en paréntesis.Por ejemplo, si un ASIL D se descompone en un ASIL C y otro ASIL A, entonces estos últimos semarcarán ASIL C(D) y ASIL A(D). A su vez, si alguno de estos dos últimos volviera a descomponerse,entre paréntesis seguiría yendo la letra D, ya que el objetivo a cumplir es el ASIL D.

Un vez dicho esto, las descomposiciones que se permiten dentro de la norma son las que siguen [8]:

• Un requerimiento de nivel ASIL D puede descomponerse de la siguiente forma:– Un requerimiento de ASIL C(D) y otro de ASIL A(D); o

– Un requerimiento de ASIL B(D) y otro de ASIL B(D); o

– Un requerimiento de ASIL D(D) y otro de QM(D).

• Un requerimiento de nivel ASIL C puede descomponerse de la siguiente forma:– Un requerimiento de ASIL B(C) y otro de ASIL A(C); o

– Un requerimiento de ASIL C(C) y otro de QM(C).

• Un requerimiento de nivel ASIL B puede descomponerse de la siguiente forma:– Un requerimiento de ASIL A(B) y otro de ASIL A(B); o

– Un requerimiento de ASIL B(B) y otro de QM(B).

• Un requerimiento de nivel ASIL A no debe descomponerse, excepto, si fuera necesario, en uno denivel ASIL A(A) y otro de QM(A).

Si se usara alguna de estas descomposiciones se debe confirmar que las medidas están de acuerdo conla parte 2 de esta norma ISO 26262, y debe aplicarse de conformidad con el ASIL objetivo. Además, sedebe evidenciar de que existe suficiente independencia entre los elementos después de la descomposiciónpara comprobar que ésta puede llevarse a cabo. Por último, recordar lo dicho anteriormente con respecto ala nomenclatura, es decir, que si un ASIL D se descompone en un ASIL C(D) y otro ASIL A(D), el nivelde robustez de estos dos últimos será ASIL C y ASIL A, siendo la (D) un mero recordatorio del ASIL quequeremos cumplir realmente.Vemos pues aquí una metodología muy interesante a la hora de definir o implementar requerimientos

con niveles de exigencia altos, viendo que estos pueden descomponerse en niveles de exigencia menoresdemostrando que los elementos en los que se ha dividido son lo suficientemente independientes entre ellos.

5 Análisis de riesgo en diferentes sistemasde un UAV

En este capítulo vamos primero a implementar el método sora a una serie de escenarios para ver cual seríael riesgo asociado a dichas operaciones y, por tanto, el nivel de SAIL derivado. Tras ello intentaremos

buscar relaciones lógicas entre las normativas anteriores y las exigencias en los requerimientos de SORApara así poder usar dichas normativas como modelo de diseño de los requerimientos de este método.

5.1 Propuesta de escenarios estándar utilizando la metodología SORA

Acontinuación por tanto, vamos a ver cómo se aplicaría la metodología SORA a tres sencillas operacionesque vamos a describir a continuación. Usaremos dos plataformas UAVs diferentes, y las usaremos

para diseñar operaciones diferentes que nos llevarán a tener niveles de SAIL diferentes en cada una de ellas.Comenzaremos con la plataforma AGRAS MG-1 [26], una plataforma de la empresa DJI la cual está

destinada para aplicaciones agrícolas de alta precisión como riego, fumigación, pesticidas con una granmanejabilidad y eficiencia. La plataforma pesa 8.8kg sin baterías ni carga de pago, teniendo un peso máximo aldespegue estándar de 22.5kg, aunque puede llegar hasta los 24kg. Además, tiene una dimensión característicade 1520mm de distancia entre ejes. Sus dimensiones y especificaciones pueden verse en la Tabla 5.1

Pues bien, una vez elegida la plataforma, pasamos a diseñar nuestra primera operación que será la naturalde este UAV:

Un agricultor del pueblo jienense de Martos está comenzando a sufrir la invasión de moscas que estánpicando su aceituna en plena campaña de recogida de la misma. Así que decide contratar a un operador dedrones para que fumigue toda la extensión de su campo, ya que de otra forma correría el riesgo de perdertoda la cosecha. Este operador posee en su flota con dos DJI AGRAS MG-1 (Figura 5.1) además del productonecesario para la fumigación de los olivos sin dañar su aceituna. Cabe destacar que los terrenos olivarerosde este marteño están situados a unos 10km del núcleo urbano, y a su alrededor no posee ni asentamientos,ni carreteras asfaltadas.

Figura 5.1 DJI AGRAS MG-1 [26] [27].

45

46 Capítulo 5. Análisis de riesgo en diferentes sistemas de un UAV

Tabla 5.1 Especificaciones del DJI AGRAS MG-1 [26].

AIRCRAFT FRAMEDiagonal Wheelbase 1520mmFrame Arme Length 625mmDimensions 1471mm x 1471 mm x 482 mmFEATURESTotal weitgh (without batteries) 8.8kgStandard Takeoff weigth 22.5 kgMax Takeoff weigth 24kg

Una vez tenemos claro el concepto de nuestra operación, el operador comienza el proceso SORA paraevaluar el riesgo de la operación. El paso #0 nos hacía cuestionarnos si la operación que queremos llevar acabo se respondía afirmativamente con alguna de las preguntas que nos hacía. En concreto nos planteamosaquí la pregunta: ¿puede la operación estar dentro de la open-category? Pues bien, si nos remitimos a laTabla 2.3, vemos que la categoría A3 de la open-category albergaba a los UAS de clase C3, los cuales debíanpesar menos de 25kg y volar en áreas donde sea razonable no encontrar personas. Vemos que esta operacióncabe perfectamente dentro de esta definición: nuestro UAV pesa como máximo 24kg al despegue y el campoque sobrevolaremos esta razonablemente alejado de cualquier tipo de operación, no esperándose más queel operador y el agricultor por las inmediaciones del mismo. Por tanto, esta operación no pertenece a laspecific-category, sino que entra dentro de la open-category y por tanto el proceso SORA no tiene sentidopara esta operación.En cambio, este mismo operador recibe la llamada del Ayuntamiento de Málaga, pidiéndole la siguiente

operación:

Una plaga de orugas procesionarias ha invadido los pinos de el barrio de El Limonar. La picadura deesta oruga puede llegar a ser letal para los perros que habitan en este barrio, cuya población, censada pordicho Ayuntamiento, es bastante amplia en dicha zona. Solicita a la empresa usar sus plataformas para lafumigación de los pinos del barrio, ya que sino, deberían fumigar uno a uno con métodos tradicionales queaños anteriores se ha comprobado que no son del todo eficaces. El operador acepta el encargo y comienza elanálisis de su operación

De nuevo, para el mismo operador, y para la misma plataforma UAVs, se nos plantea una operacióncompletamente diferente, ya que esta vez sí volaremos sobre una operación urbana, y la única opción quetendríamos de responder positivamente al paso #0 de esta operación sería que el escenario ya hubiera sidodefinido con anterioridad y por tanto supiéramos ya el riesgo intrínseco de la operación. Comenzamos puesel método SORA a partir del paso #2, ya que la operación está descrita (aunque la realidad es que se deberádetallar en mucha mayor profundidad).

Volaremos siempre en VLOS, ya que recorreremos calles del barrio que no nos harán perder la visión delUAV en ningún momento. El Ayuntamiento decide apoyarse de la policía local para ir cortando las callesdurante el breve tiempo que se esté fumigando los pinos de cada una. Será algo asumible ya que el tiempode vuelo no sobrepasaría probablemente los 20min (este dato se derivaría de una descripción de la ConOpsmás detallada en el paso #1). Por otro lado, la dimensión característica de nuestro UAV es más o menos1.5m, esto sumado a que no volará a gran velocidad, nos hace tomar la decisión de asignar una GRC de 3.Continuamos con el proceso, y en el paso #3 determinamos que el nivel de robustez del plan de respuesta encaso de emergencia tiene una robustez media, dado que al operador no le ha dado tiempo de adaptar su plangenérico a la operación específica. Además los motores llevan unos protectores de hélices, lo cual reducirá elimpacto en tierra de forma moderada. No se posee ninguna limitación en el vuelo (ver Tabla 3.2). Por tanto,nuestra clase de riesgo final queda de la siguiente manera:Por último, en el paso #4 se determina que la letalidad en caso de que nuestro se pierda el control de

nuestro UAV es alta, dado que vamos a volar entre edificios habitados, además de que no se descarta quealguna persona pudiera andar por las calles a la hora de la fumigación, aunque vehículos no se esperan. Estaletalidad, combinada con la clase de riesgo final, nos da un SAIL II de riesgo en tierra según la Tabla 3.3.Acabado el análisis en tierra, comenzamos el análisis del riesgo aéreo. Para empezar, determinamos la

categoría de espacio aéreo de encuentro según Tabla 3.4, determinandose un AEC 9, ya que volaremos pordebajo de los 500ft y sobre una población urbana. Esto nos da una clase de riesgo aéreo de 3 en el paso #7,según la Tabla 3.5. Esto nos determina a priori un SAIL IV de riesgo aéreo en el paso #8 según Tabla 3.6,

5.1 Propuesta de escenarios estándar utilizando la metodología SORA 47

Tabla 5.2 Adaptación de la clase de riesgo en tierra operación 2.

GRCClase inicial 3

Plan de respuesta en caso de emergencia 0Protectores de hélices -1Clase de riesgo final 2

aunque cabe destacar que el nivel de riesgo en aire podría verse reducido por las estrategias mitigadoras queel operador y las autoridades competentes (Ayuntamiento de Málaga y Policía Local en este caso) adoptaran.Aún así, para este estudio, asumimos este SAIL nivel IV. En el paso #9 se le exige al operador tener unrendimiento medio de los mitigadores tácticos, es decir, de los sistemas DAA, TCAS, etc. los cuales ya posee.Por tanto, vemos como tenemos un SAIL II de riesgo en tierra, mientras que de riesgo aéreo hemos

concluido en un SAIL IV. Por tanto, el nivel de SAIL de nuestra operación es SAIL IV, ya que el paso#10 establece que será el más alto entre los dos obtenidos. Esto nos lleva a tener que cumplir una seriede requerimientos en su mayoría con una robustez Medium, aunque muchos de ellos están marcados conuna robustez High. Sería ahora cuando el operador debería decidir sobre la viabilidad o no de la operación,basándose esencialmente si cumple los requisitos con el nivel de robustez exigidos.Por último, vamos a plantear una nueva operación. Esta vez usaremos el UAV de DJI Spreading Wings

S1000+, otra plataforma de la empresa DJI destinada para transportar cámarasde alta resolución para todotipo de aplicaciones, tanto audiovisuales, como de seguridad, telemetría, termografías, topografía, etc. Laplataforma pesa 6kg sin baterías ni carga de pago, teniendo un peso máximo al despegue de 11kg. Además,tiene una dimensión característica de 1045mm de distancia entre ejes. Sus dimensiones y especificacionespueden verse en la Tabla 5.3

Figura 5.2 DJI Spreading Wings S1000+ [28].

Un operador posee varias plataformas DJI Spreading Wings S1000+, y recibe el siguiente encargo:

Las cofradías de la Semana Santa de Sevilla deciden monitorizar este año los puntos más conflictivos de laciudad durante la Semana Santa de este año. Deciden para ello usar grabaciones con drones para así despuéspoder analizar las imágenes que capten estos para así ver los flujos de masas, y poder tomar decisiones enpro de mejorar al año siguiente la organización de la misma, y evitar las continuas aglomeraciones a lasque últimamente se está acostumbrando su público. Estos puntos deciden las cofradías de la Semana Santasevillana serán: el entorno de la Plaza de El Salvador, el entorno de calle Francos, las cuestas del Rosario ydel Bacalao, el entorno del Postigo del Aceite, y el entorno del Arenal.

Lógicamente, esta operación no responde positivamente a ninguna de las preguntas del punto #0 (a no ser


Tabla 5.3 Especificaciones del DJI Spreading Wings S1000+ [28].

FRAMEDiagonal Wheelbase 1045mmFrame Arm Length 386mmFrame Arm Weigth 325gLanding Gear Size 460mm x 511mm x 305mmWeigth 6kgMax Takeoff weigth 11kg

que el escenario estándar ya estuviera definido), por lo que el operador, una vez aceptado el encargo, inicia elmétodo SORA para evaluar el riesgo intrínseco de su operación.

Comenzamos pues directamente en el paso #2, definiendo el riesgo inicial en tierra. La dimensión caracte-rística de nuestro UAV podemos asumir que es 1m. En cambio, esta vez si que se volará más de una vez convuelos que impliquen la pérdida visual de la plataforma y se vuele por tanto de manera autónoma, es decir, seplantea volar en BVLOS. Además, la mayoría de vuelos se harán sobre concentraciones de personas, ya quede hecho esto es lo que se busca, analizar las masas de personas. Por tanto, nuestra GRC inicial es 8 segúnSORA.El operador ha recibido este encargo con mucha antelación, por lo que ha podido preparar un plan de

respuesta ante emergencias muy robusto. Además, las hélices del UAS van protegidas, lo cual amortiguará elgolpe en caso de caída de forma moderada. Sumado a esto, el Ayuntamiento de Sevilla ha decidido colocarredes sobre las calles que se espera que sobrevuelen estos UAVs para proteger así a las personas y cofradíasen caso de caída del UAV, esto amortiguara el impacto en tierra de una forma importante. Por tanto, según elpaso #3 de SORA, nuestro GRC final es:

Tabla 5.4 Adaptación de la clase de riesgo en tierra operación 3..

GRCClase inicial 8

Plan de respuesta en caso de emergencia -1Protectores de hélices -1Redes sobre las calles -2Clase de riesgo final 4

Lógicamente, la letalidad de que una aeronave así caiga sobre el terreno, teniendo en cuenta la misión queva a llevar a cabo (zonas muy congestionadas con también patrimonio muy vulnerable sobre ellas), es unaletalidad alta. Combinando nuestro riesgo final en tierra con el nivel de letalidad asignado, en el paso #5 sedetermina que nuestro SAIL de riesgo en tierra según Tabla 3.3 es un SAIL IV.Pasamos por tanto ahora al estudio de riesgo aéreo determinando primero la categoría de encuentro del

espacio aéreo. según Tabla 3.4, determinandose un AEC 9, ya que volaremos por debajo de los 500ft y sobreuna población urbana. Esto nos da una clase de riesgo aéreo de 3 en el paso #7, según la Tabla 3.5. Estonos determina a priori un SAIL IV de riesgo aéreo en el paso #8 según Tabla 3.6. En el paso #9 se le exigeal operador tener un rendimiento medio de los mitigadores tácticos, es decir, de los sistemas SDAF, DAA,TCAS, etc. los cuales ya posee.

Por tanto, tenemos en este nuevo caso que los dos SAIL derivados de los dos análisis de riesgo tantoen tierra como en aire han resultado ser SAIL IV, por lo que este es el SAIL de nuestra operación. Vemosque en esta determinación ha sido clave por ejemplo la colocación de redes sobre las calles por parte delAyuntamiento de Sevilla. En caso de no haberlo puesto, el GRC final habría sido 6, lo que unido a la altaletalidad de la operación nos hubiera dado un SAIL VI de riesgo en tierra, que hubiera elevado al mismonivel el de nuestra operación. Esto nos hubiera llevado a requerimientos de muy alto nivel, que deberíancumplirse según el paso #10 de SORA en un nivel High la mayoría.Hemos visto pues como un mismo operador, con un mismo UAV, puede realizar operaciones que tengan

niveles de exigencias diferentes. La primera se incluyó dentro de la open-category, y la segunda dentro dela specific-category son un nivel SAIL IV. También hemos visto como un UAS de menor tamaño y pesoque el primero, podría llegar a derivar en un SAIL VI en la tercera operación propuesta. Cabe pues ahora

5.2 Determinación de la robustez del SAIL en comparativa con diferentes industrias 49

la reflexión sobre qué implicarían los niveles Low, Medium y High del método SORA, ya que no quedandefinidos en este (de hecho es uno de los objetivos que se marca como vimos en su paso #12).

5.2 Determinación de la robustez del SAIL en comparativa con diferentes industrias

Al hacer el análisis anterior, vemos como de cada operación que se plantee dentro de la Specific-category,va recalar en uno de los seis SAILs que propone la metodología SORA. Este nivel de integridad de

la seguridad propuesto en el SORA nos lleva al cumplimiento de una serie de requisitos como se vio en elcapítulo del SORA. Estos requisitos, si recordamos del paso #10 del SORA, tenían tres niveles de integridad:Low (L), Medium (M) y High (H) (el nivel Opcional se asume que no será necesario demostrarlo). Ahora bien,no se define dentro de esta metodología tasas cualitativas de riesgo o fallo para cada uno de estos niveles.

SORA sí incluía unos parámetros objetivo del riesgo, los cuales se encuentran en la Tabla 3.1. Como podíaverse en esta tabla, el objetivo de daños fatales en tierra se fijaba en 1 ·10−6 por hora de vuelo para las trescategorías, open, specific y certified category. Ahora bien, para el número de riesgos por hora de vuelo, elnúmero de personas golpeadas por hora de vuelo y para la probabilidad de que una persona sufra un dañofatal, sí establece objetivos o tasas diferentes para cada categoría.Cabe recordar que la open-category, y la certified-category no son objeto de este estudio. Ahora bien,

ambas categorías sí nos servirán de ayuda a la hora de poder definir los rangos low, medium y high para laspecific-category, ya que el nivel de robustez Low estará muy próximo a la open-category, mientras que elnivel High estará próximo a la Certified-category, es decir, al nivel de certificación aeronáutica. Así, teniendoen cuenta la Tabla 3.1, pueden definirse las tasas orientativos para la specific-category que se muestran enTabla 5.5

Tabla 5.5 Tasas cualitativas de probabilidad de daños fatales a terceros en tierra.

Número de riesgos(por hora de vuelo)

High 10−6 a 10−4

Medium 10−4 a 10−2

Low 10−2 a 1

Una vez definidos estos parámetros, conviene recordar, antes de dar paso a comparar todos los nivelesde robustez de seguridad en las distintas normas analizadas, la diferencia entre sistemas de alta demanda ysistemas de baja demanda que se hacía en la norma genérica IEC 61508, ya que esto se aplicará a continuacióny también puede ser de aplicación para los UAS. La diferencia esencial entre ambos sistemas a la hora decualificar las tasas de fallo era que los primeros se medían en fallos por horas de servicio, mientras que lossegundos se cualificaban mediante la evaluación de fallos por demanda.

Una vez echa este recordatorio, se exponen en una misma tabla todos los niveles de robustez analizados enla Tabla 5.6 y en la Tabla 5.7

Tabla 5.6 Comparativa de SILs para sistemas de alta demanda.

Sistemas de alta de-manda 10−10 10−10 a 10−9 10−9 a 10−8 10−8 a 10−7 10−7 a 10−6 10−6 a 10−5

IEC 61508 - - SIL 4 SIL 3 SIL 2 SIL 1CENELEC 51208(Ferrocarriles)

SIL 4 SIL 3 SIL 3 SIL 2 SIL 1 SIL 1SIL 2 SIL 1

IEC 62061 (Maquina-ria) - - - SIL 3 SIL 2 SIL 1

IEC 62304 (Dispositi-vos Médicos) CLASE C CLASE B

Llegados a este punto, llega el momento e hacer una profunda reflexión a cerca de los niveles que pudieranser comparables con los niveles de ASIL Low y Medium del SORA (el nivel High lo descartamos de lareflexión ya que el mismo SORA indica que es un nivel inaceptable de riesgo el cual se debe rediseñar). El


Tabla 5.7 Comparativa de SILs para sistemas de baja demanda.

Sistemas de baja de-manda 10−5 a 10−4 10−4 a 10−3 10−3 a 10−2 10−2 a 10−1

IEC 61508 SIL 4 SIL 3 SIL 2 SIL 1IEC 62304 (Dispositi-vos Médicos) CLASE A (Aunque estos pueden ser también de alta demanda)

primer escollo que nos encontramos es el nivel de riesgo (personas involucradas en un accidente) que defineel SORA es de 10−6, mientras que las normas analizadas definen niveles de error de 10−10 en los casosmás restrictivos. Cabe entonces la pregunta: ¿se ha hecho en SORA una infravaloración del riesgo? ¿Está lametodología SORA suponiendo niveles de riesgo inaceptables? ¿Es SORA incomparable con ninguna de lasnormas o estándares del análisis de riesgo actuales? Pues bien, vamos a ver que esto no es así, ya que con losUAS (y por tanto con SORA), se abre un nuevo escenario hasta ahora nunca planteado.Empecemos por plantearnos el por qué las normas por ejemplo CENELEC 51208 de ferrocarriles o las

propias normas aeronáuticas como la DO-178 dedicada al software aeronáutico, fijan sus niveles de riesgoen un 10−10 y un 10−9 respectivamente. Es decir, por ejemplo en el caso de las aeronaves convencionales, unfallo catastrófico puede ocurrir 10−9 veces por hora de vuelo, y en ferrocarriles lo restringe a un 10−10 vecespor hora de servicio.

Claro, una aeronave tripulada como mínimo va a llevar siempre una persona a bordo, el piloto. Lo mismopasa con los ferrocarriles, como mínimo va a llevar a bordo siempre la persona que conduce dicho ferrocarril.Por tanto, un fallo catastrófico de un sistema crítico (sistemas a los que se aplica este nivel de robustez), va allevar asociado en una altísima probabilidad la muerte de al menos una persona. Si el vuelo que realice dichaaeronave, o el trayecto que esté realizando dicho ferrocarril, lleva además pasajeros a bordo, las consecuenciasde dicho fallo catastrófico serían aún más fatales.Es más, yendo un paso más allá, vemos como la norma genérica IEC 61508 ni siquiera se plantea estos

niveles de robustez, porque los considera intolerables y obliga a rediseñar el sistema en cuestión para bajar elnivel del ASIL, es decir, hacer el sistema en sí más seguro.

En cambio, en la norma IEC 62061 dedicada a la maquinaria podemos ver como el nivel máximo de SILse ve rebajado con respecto a las normas anteriores, lo cual es lógico. A la hora de hablar de maquinariaes más probable que un fallo catastrófico no lleve inherente la muerte de una persona, ya que las máquinasson operadas por personas, no tripuladas. No debemos perder de vista nunca en este razonamiento que elriesgo no es algo cuantificable, como ya definimos en capítulos anteriores, y que hablar de riesgo es hablarsiempre de tasas cualitativas y de estudios probabilistas.Es en este punto, donde somos capaces de entender el salto que da SORA y su 10−6. Recordemos: UAS

viene del inglés Unmanned Aerial System; RPAS viene del inglés Remotely Piloted Aircraft System. Es decir,son aeronaves NO tripuladas, aeronaves las cuales van a estar operando siempre a una distancia considerabledel piloto remoto que las esté controlando, aeronaves las cuales (dentro de la specific-category) no van asuperar los 150kg de peso. Es decir, en los UAS se presenta el escenario de que un fallo catastrófico de laaeronave no tiene por qué llevar asociado la muerte de una persona, y es más, en muchos de los casos nisiquiera la lesión de alguna persona.

Dentro de esta categoría que se define en los NPA que analizamos en el Capítulo 2, veíamos como pudenoperar aeronaves no tripuladas de entre 25kg y 150kg, y normalmente en escenarios en los que en caso defallo catastrófico de la aeronave, el mero hecho de golpear a una persona es improbable. En caso de que estaprobabilidad suba, como pudiera ser el caso de volar sobre aglomeraciones de personas, los requerimientosen los UAS de la specific-category suben. El método SORA de hecho define hasta seis niveles de integridad,muchos más que el resto de normas, ya que la variedad de operaciones que se podrán llevar a cabo con estasaeronaves hasta antes no estudiadas ni legisladas, va a ser mucho mayor que cualquier otro vehículo anterior.

Por tanto, vemos tras esta reflexión como el nivel que propone la metodología SORA del riesgo es asumible,y no infravalora el riesgo ni propone niveles inaceptables, sino que abre la puerta a un nuevo panorama hastaantes no planteado. Por tanto, SORA si es comparable a los diferentes análisis de riesgo que se han hechocon anterioridad, quedando dicha comparación como e muestra en la Tabla 5.8 y Tabla 5.9Vemos aquí un posible inicio a la hora de concretar técnicas, métodos, medidas, etc. a los requermientos

para cada sistema impuestos por el SORA.Sin duda se ha conseguido llegar al punto deseado, que era evitar la certificación aeronáutica para los UAS

que operen dentro de la specific-category, y no solo eso, si no que además se ha conseguido demostrar que

5.2 Determinación de la robustez del SAIL en comparativa con diferentes industrias 51

Tabla 5.8 Propuesta de robustez del ASIL para sistemas de alta demanda en UAS.

10−6 10−6 a 10−4 10−4 a 10−2 10−2 a 10−1

Certified-category SIL 2-3 IEC 61508DALB-C (Certifica-ción aeronáutica)

Specific-category -SIL 1 IEC 61508SIL1CENELEC 50128

High Requirements SIL 1 IEC 62061Specific-category- Medium Require-ments

QM (Quality Mana-gement)

Specific-category -Low Requirements N/A

Tabla 5.9 Propuesta de robustez del ASIL para sistemas de baja demanda en UAS.

10−6 10−6 a 10−4 10−4 a 10−2 10−2 a 10−1

Certified-category Certificación aero-náutica

Specific-category -High Requirements

Certificación aero-náutica

Specific-category- Medium Require-ments

SIL3-2IEC 6158

Specific-category -Low Requirements SIL 1 IEC 61508

los niveles que se pueden requerir a estos vehículos son realmente bajos, lo cual también era otro objetivoa demostrar, ya que esto hace que el sector sea más competitivo, ya que al ser los niveles exigidos para lacertificación menores, los costes para certificar una aeronave no tripulada bajan considerablemente, abriendoel abanico de posibles escenarios en los que los UAS podrán operar.

Por último, vemos que la norma ISO 26262 de los vehículos de carretera no aparece en ninguna de lastablas anteriores. Esto es debido a que no se ha conseguido encontrar unas tasas cualitativas de riesgo quedefinan los niveles de ASIL que en esa norma se especifican. Ahora bien, esto no significa que esta norma nosea de interés para estudio, es más, todo lo contrario, porque en su parte 9 [8] hemos encontrado una manerade descomponer un requerimiento con un nivel dado de ASIL en otros requerimientos, quizás más tangibles,asumibles o comprobables que el ASIL objetivo inicial. Sin duda alguna esto es otro modelo completamenteválido, e incluso bastante recomendable, para la metodología SORA, ya que esta hoy en día tan solo disponede requerimientos a grandes rasgos, los cuales muy probablemente en el futuro haya que descomponer paraque el operador al cuál se le exijan dichos niveles de seguridad, pueda llevar a cabo pruebas reales sobre susplataformas. Esta descomposición podría tomas de ejemplo las descomposiciones que se hacen en la normaISO 26262.

Además de esto, hemos visto como esta norma descompone el riesgo en varios parámetros: la severidad, laclase de exposición y la clase de controlabilidad, asignándose clases a cada uno de estos parámetros. La normamás adelante daba una explicación cualitativa de qué suponía cada una de esas clases realmente. De nuevo,esto es de gran ayuda para la metodología SORA, ya que esta también durante su proceso asigna valores deletalidad y valores de riesgo en tierra y aire, los cuales no debemos perder de vista que buscaban medir laprobabilidad de perder el control de UAS. Estos valores no quedan aún bien definidos, quedando prácticamentea criterio del operador la asignación ellos. SORA podría tomar también de esta norma ISO 26262 un ejemplode como cuantificar sus niveles de letalidad y riesgo de una manera más exhaustiva.


5.3 Paracaídas

Uno de los requerimientos que más reduce el ASIL en la metodología SORA tal y como pudo verse enel paso #3 del método es la inclusión en nuestro UAS de barreras del daño, las cuales nos permiten

adaptar la clase de riesgo en tierra (véase la Tabla 3.2). La barrera que más podía contribuir a la adaptaciónde la clase de riesgo en tierra en un vuelo real ,es decir, un vuelo en el que el UAS pueda volar libremente sinestar atado, era incluir barreras de daño que tuviera el objetivo de reducir los efectos a la hora de impactarnuestra aeronave con la tierra en caso de un fallo. De estas barreras el propio método ponía dos ejemplos: losshelter, es decir, que el dron vuele envuelto en una carcasa; y los paracaídas de emergencia.Unos y otros tienen sus ventajas e inconvenientes. Los shelter reducen drásticamente las características

aerodinámicas de nuestro UAS, no siendo posible incluirlos en muchas ocasiones. Además, es cierto queen caso de fallo y caída de la aeronave un shelter no va a disminuir la velocidad de descenso, siendo estaincontrolable. En cambio, es cierto que para UAS de tamaño medio bajo pueden resultar interesantes ya queno aumentan sobremanera el peso.

En cambio, el paracaídas de emergencia tiene el inconveniente de tener que dedicarle un espacio concretodentro del UAS, además de añadir peso al mismo. Por contra, es cierto que los paracaídas de emergencia,bien calculados y diseñados, controlan la velocidad de caída del UAS reduciéndola drásticamente, reduciendoasí bastante los efectos de un fallo catastrófico de la aeronave.Por tanto, resulta de gran interés para los UAS ver las posibles maneras de certificar estos paracaídas de

emergencia. Por tanto, se inicia una investigación para averiguar estándares de certificación para paracaídas.La FAA (Federal Aviation Administration) es una administración estadounidense la cual regula todos los

aspectos de la aviación civil. Posee un catálogo de paracaídas [29] el cual nos ayudó a encontrar una víadonde investigar. La FAA Emite los llamados TSO (Technical Standard Orders), que son unos estándaresmínimos de cumplimiento para materiales, partes y aplicaciones específicas de la aviación civil. La TSO-C23[30] se titula Personnel Parachute Assemblies and Components y describe los requerimientos, normas yestándares con los que poder fabricar ensamblajes y componentes de paracaídas personales. Al final de estaTSO nos deriva para encontrar los requerimientos técnicos a la norma PIA TS-135.

La PIA es la Asociación Industrial del Paracaídas. Ella misma publica una sería de estándares técnicos, losTS, para los fabricantes de paracaídas que integran dicha asociación. Analizando el PIA TS-135 rápidamentese puede llegar a la conclusión de que dicho estándar es de aplicación para nuestro estudio, ya que el propioestándar obliga en su punto 1.2.1 a que la velocidad mínima a la apertura del paracaídas sea de 227.8 km/h(150 KTAS), velocidad que no es asumible para la clase de UAS y operaciones que nos concierne en esteestudio.Aún así, un resumen de este estándar se adjunta a continuación debido al interés que tiene ver como

desarrolla minuciosamente la certificación de una paracaídas. Tal estudio, adaptándolo a las magnitudes deoperación de UAS, puede resultar de gran interés.Por otro lado, también se va a analizar la norma UNE-EN 12491, titulada Equipo para la práctica del

parapente - Paracaídas de emergencia - Requisitos de seguridad y métodos de ensayo, ya que como se verá,el método que esta norma propone si se asemeja en magnitudes bastante a las que podría tener una operacióncon UAS dentro de la specific-category.

5.3.1 PIA TS-135 [9]

Este estándar de la Asociación Industrial del Paracaídas define las actuaciones estándares para certificarparacaídas, ensamblajes de paracaídas y sus componentes, con objetivo de llevarlos sobre un avión para serusado en caso de emergencia por su tripulación y también para caídas usados en caso de emergencia porparacaidistas.Es en el punto 4.3 del estándar donde se detallan los test de cualificación. Los primeros tests que detalla

son relativos a la cuerda del paracaídas en el momento de la apertura, especificando la fuerza que ésta ha desoportar durante un tiempo determinado.

El segundo test es sobre factores humanos. Primero determina el test que se ha de realizar para determinarla fuerza máxima que la persona que lleve el paracaídas soportará en el momento de la apertura, así comotambién la fuerza que la persona deberá realizar para abrir el paracaídas. Este último test no resulta de interéspara nuestro estudio, pero el primero sí, ya que determinar la fuerza que soportaría la estructura del UAS enel momento de la apertura del paracaídas puede ser un requisito estructural.Detalla también las condiciones ambientales a las que debe probarse el paracaídas, hasta llegar a los test

de carga estructural. Para ellos fija un peso y una velocidad de ensayo según las siguientes relaciones:

5.3 Paracaídas 53

Test weight = Maximum operating weight (MOW ) ·1.2 o el f actor de la Tabla 5.10 (5.1)Test speed = Maximum pack opening speed (MPOS) ·1.2 o el f actor de la Tabla 5.10 (5.2)

La tabla desde la cual puede sacarse dicho factor es la siguiente:

Tabla 5.10 Factor multiplicador para el teste de sobrecarga estructural en el estándar PIA TS-135 [9].

Hasta aquí todo podría valer para nuestro estudio. pero es llegados a este punto cuando el estándarimpone que la velocidad mínima de ensayo para paracaídas individuales no debe ser menos de 333.4 km/h,loequivalente a 18 KEAS (Knots equivalent airspeed). Esta velocidad no es congruente ni con el peso ni con lavelocidad de los UAS que entran dentro de la specific-category. De hecho si usamos de ejemplo el Viewer,un UAS de ala fija que puede verse en la Figura 5.3, que va equipado con un paracaídas de emergencia, pesa15kg (con una carga de pago máxima de 2.5kg) y que tiene una velocidad de crucero en torno a los 25km/h(13.5 KEAS), estos factores saldrían:

Test weight = 15 ·1.2 = 18kg (5.3)Test speed = 25 ·1.2 = 30km/h (16.2KEAS) (5.4)

Algo que se comprueba que no entra dentro del ámbito de este estándar. De hecho este peso y esta velocidadde ensayo deben usarse para ensayos que la norma requiere más adelante para este ensayo de sobrecargaestructural. Para poner un ejemplo, uno de estos ensayos es la comprobación del tiempo de apertura permtido


Figura 5.3 UA Viewer[31].

que se define de la siguiente manera (con el MOW en kg y el MPOS en KEAS):

Tiempo de apertura permitido (s) = (MOW −250) ·0.01+(MPOS

150·3) (5.5)

O también este mismo ensayo puede realizarse fijando una altura de caída, si esta resulta menor de 300ft,según la expresión:

Altura de cada permitida ( f t) = (MOW −250)+(MPOS

150·3) (5.6)

Realizando estos cálculos para el Viewer, obtendríamos los siguientes resultados:

Tiempo de apertura permitido (s) = (15−250) ·0.01+(16.2150

·3) =−2.026s (5.7)

Altura de cada permitida ( f t) = (15−250)+(16.2150

·3) =−202.6 f t (5.8)

Valores, como podemos comprobar, ilógicos.Aún así, seguimos con el análisis ya que como se dijo anteriormente, la adaptación de este estándar a las

magnitudes características de los UAS de la specific-category. Continuando pues con el análisis, las pruebasde sobrecarga estructural las completan los siguientes pruebas:

• Prueba de fuerza al ensamblaje completo del paracaídas.

• Pruebas de fuerzas únicamente a la tela del paracaídas.

• Pruebas de fuerzas únicamente al arnés del paracaídas.

• Pruebas de fuerzas a la tela secundaria (en caso de llevarla).

Cada una de estas pruebas se compone por un número mínimo de lanzamientos que se definen en elestándar (diferentes para cada prueba).Otro grupo de pruebas que define el estándar son las pruebas funcionales sobre el sistema completo. En

estas pruebas diferencia entre dos tipos de paracaídas: aquellos que llevan líneas cruzadas y el resto de tipos.Para los primeros las pruebas funcionales se realizan con un mínimo de cinco lanzamientos con un peso

de no más del MOW y con una velocidad del aire a la hora de abrir el pack de 111.1 km/h (60 KEAS). Elparacaídas debe estar abierto y operativo dentro del 133% del tiempo calculado para el caso de pack normal.

Para los segundos se hace una estimación (como la realizada antes) del tiempo de apertura permitido o dela altitud perdida permitida. Se puede hacer la prueba con cualquiera de las dos medidas. En caso de usarmedidas de tiempo será la mayor entre 3 segundos o la calculada y en caso de usar medida de altura será lamayor entre 300ft o la calculada.Otro grupo de pruebas son las que se denominan pruebas de lanzamiento directo, y vienen definidas por

la Tabla 5.11. En total, este estándar exige un mínimo de 48 lanzamientos combinando diferentes pesos yvelocidades del aire, las cuales pueden conseguir amarrando el paracaídas a un vehículo móvil (un coche) elcual consiga velocidades relativas aire-paracaídas diferentes.

Para acabar, determina pruebas para el rango de descenso, pruebas de estabilidad y de vida del paracaídas.

5.3 Paracaídas 55

Tabla 5.11 Pruebas de lanzamiento directo para paracaídas en el estándar PIA TS-135 [9].

Concluyendo, hemos podido comprobar como este estándar no es de aplicación para los UAS que considera-mos en este estudio. Aún así, sí nos presenta una metodología a llevar a cabo a la hora de certificar paracaídaspara nuestros UAS, adaptando las tablas, ecuaciones y medidas a los pesos y velocidades característicos denuestros UAS dentro de la specific-category.

5.3.2 UNE-EN 12491 [10]

El objeto de esta norma es establecer una serie de ensayos que demuestren que los paracaídas de emergencia delos pilotos de paracaídas/parapente están en condiciones de cumplir su función. Es aplicable a los paracaídasde emergencia que se despliegan por la acción del piloto sin ninguna otra ayuda (mecánica o pirotécnica),destinados a su uso con parapentes.A modo de ilustración, en la Figura 5.4 podemos ver un esquema de los componentes que componen un

paracaídas de emergencia no dirigible, que en su momento puede llegar a ser el que guarde más similitudescon los paracaídas que pudieran llevar nuestros UAS.

Esta norma, en el plano que a nuestro estudio le interesa que es el de los requisitos para la certificación, sedivide esencialmente en dos puntos. El punto 4 de la norma desarrolla los requisitos de seguridad de cadauna de las pruebas que luego en el apartado 5 se desarrollaran. Resumiendo, el punto cuatro nos exponelos resultados esperables de las pruebas que se especifican, mientras que el punto cinco nos desarrolla lametodología de cada una de las pruebas. Es por ello que se ha resumido todo en la Tabla 5.12 para mayorsimplicidad.A continuación, vamos a ver el esquema que la propia norma presenta del dispositivo de lanzamiento,

al cual hace referencias constantes y el cual puede ser también ilustrativo ver y conocer, el cuál se ve en laFigura 5.5 Por otro lado, los ensayos no solo requieren de esta estructura para el lanzamiento, sino además de:

1. Un equipo de medición meteorológica: con él se comprobarán la velocidad del viento, temperatura,presión y humedad.

2. Una cámara de vídeo: la cuál debe tener teleobjetivo y con la cuál se grabarán los ensayos para hacerun análisis del mismo fotograma a fotograma.

3. Un equipo para medir las velocidades de descenso del paracaídas.

Las condiciones de ensayos impuestos por este estándar son las siguientes:


Figura 5.4 Componentes de un paracaídas no dirigible [10].

1. La velocidad del viento debe ser inferior a 10km/h dentro del perímetro de ensayo.

2. No debe hacer corrientes térmicas de aire caliente y/o movimientos de aire provocados por la aeronavedentro del perímetro de ensayo.

3. La humedad relativa debe estar comprendida entre e 40% y el 80%.

5.3 Paracaídas 57

Tabla 5.12 Requisitos de seguridad, resultados aceptables y métodos de ensayo en la norma UNE-EN 12491[10].

Requisitos de seguri-dad

Resultados esperados al fi-nal del ensayo Método de ensayo

Ensayo de resistencia del sistema dedespliegue

Sistema de despliegue No debe fallar ningún com-ponente

Teniendo instalado el paracaídas enun sistema de despliegue, retener elcontenedor y aplicar una carga de700N sobre el punto o puntos de su-jeción del mando de despliegueEnsayo de la velocidad de apertura

Velocidad de apertura El intervalo de tiempo debeser imferior a 4s

Con la banda o bandas aseguradasa un vehículo en movimiento, conuna velocidad horizontal del aire de10m/s (±1m/s) y una velocidad ver-tical del aire de 1.5m/s, el paracaídasse lanza librementeSe mide el tiempo transcurrido des-de el momento del lanzamiento li-bre hasta que soporte una carga de200N. El contenedor interior debehacer abierto antes de alcanzar la car-ga de 200N. El ensayo se realiza dosvecesEnsayo de la velocidad de descensoy estabilidad

1.La velocidad media de des-censo, corregida a la atmós-fera ICAO, debe ser inferiora 5.5 m/s

La banda o bandas del paracaídas de-ben estar conectadas a los puntos deanclaje del dispositivo de lanzamien-to.

Velocidad de descenso yestabilidad

2. La velocidad media hori-zontal del aire, corregida a laatmósfera ICAO, debe ser in-ferior a la velocidad media dedescenso.

Se introduce una oscilación inicialpendular, sometiendo la masa de en-sayo a una velocidad horizontal deaire de 10m/s (±1m/s) y a una velo-cidad vertical del aire de 1.5m/s.

3. En cada ensayo se debe re-ducir cualquier oscilación.

Desde la apertura no debe haber nin-gún velamen o elemento de resisten-cia que actúa sobre lamasa de ensayo

4. El sistema de emergenciadel paracaídas no debe sufrirninguna deformación perma-nente.

Después de un mínimo de 125 m dedescenso, se mide la velocidad me-dia del descenso durante unos 40mde recorrido. Durante el descenso semide la tasa de planeo. El ensayo serealiza dos veces.

Por último, el paracaídas se debe presentar con una carga útil máxima declarada mdec. En cambio, para losensayos de velocidad de descenso y estabilidad, así como para los de resistencia, el paracaídas se ensaya conuna carga útil corregida,mcorr que se calcula según la siguiente fórmula:

mcorr = mdec ·p ·T0po ·T

(5.9)

siendo p la presión atmosférica a nivel del suelo en el lugar del ensayo en hPa; T la temperatura a nivel delsuelo en el lugar del ensayo en K; y p0 y T0 la presión y la temperatura atmosférica a nivel del mar según laatmósfera estándar ICAO (1012.25hPa y 288 K).


Tabla 5.13 Requisitos de seguridad, resultados aceptables y métodos de ensayo en la norma UNE-EN 12491(Continuación) [10].

Requisitos de seguri-dad

Resultados esperados al fi-nal del ensayo Método de ensayo

Ensayos de resistencia: tirón deapertura a 40m/s y a 60m/s

1. El paracaídas de emergen-cia se debe abrir por comple-to y absorber el impacto deapertura.

Se coloca el paracaídas en el disposi-tivo de lanzamiento a un solo puntode anclaje del dispositivo. Se acele-ra el dispositivo a una velocidad de40m/s ó 60m/s

Resistencia2. El sistema de emergenciadel paracaídas no debe sufrirningún fallo significativo

y se despliega el paracaídas utilizan-do su mando o el punto de sujecióndel mando usando un cabo estáticosujeto a un gancho o sistema similarde baja potencia para el despliegue.

en la estructura principal, ex-cepto en el caso de algún dis-positivo de absorción de im-pacto.

El ensayo se realiza dos veces. Sepueden realizar las pruebas desde unvehículo siempre que se consiga lavelocidad horizontal de 40 m/s ó 60m/s y el paracaídas no toque el sueloantes de abrirse.

Figura 5.5 Ejemplo de dispositivo de ensayo de lanzamiento en la norma UNE-EN 12491 [10].

5.3 Paracaídas 59

Por ejemplo, supongamos que se va a realizar un ensayo de un paracaídas para un UAS de 25 kg y que elensayo se va a realizar en Sevilla. La masa declarada serían por tanto 25 kg. Sevilla se encuentra a una alturamedia de 9.1 m sobre el nivel del mar, por lo que su temperatura atmosférica es de 228.85 K y su presión de1013.23 hPa.

Así, para todos los ensayos la carga útil que llevaría el paracaídas sería de 25 kg, excepto para los ensayosde velocidad de descenso y resistencia que llevaría una carga útil corregida que sería:

mcorr = 25 · 1013.25 ·2881012.25 ·228.85

= 19.81kg (5.10)

Por último, aclarar la aceptación del ensayo de velocidad de descenso de 40 m/s o del de 60 m/s conllevaun marcado u otro en el paracaídas. Si se supera el primero el paracaídas no deberá usarse a más de 32 m/s ysi se supera el segundo el paracaídas no deberá usarse a más de 49 m/s.Como vemos, estas velocidades aún siguen siendo bastante altas para las velocidades reales a las que

operan los UAS que estamos estudiando. Aún así, esta norma también nos proporciona un método adecuadopara el cumplimiento de requisitos en estos vehículos, con lo cual solo habría que estudiar readaptar losvalores de los requisitos.

6 Aproximación al U-Space

Los primeros pasos para la integración de los UAS en el espacio aéreo ya se están dando. Es más, el propioSORA como pudimos ver ya clasificaba las posibles clases de espacios aéreos en los que podía actuar

un UAS dentro de la specific-category en su paso #6. En el paso #7 asociaba a cada una de estas clases elnivel de riesgo asociado. Esto puede verse en la Tabla 3.5, y como puede verse, las operaciones que se llevena cabo a baja cota serán las que lleven un nivel de riesgo asociado menor. Esto hace visible que serán estaslas operaciones civiles que mayor desarrollo vayan a tener en un futuro, tal y como se pudo ver en el PlanEstratégico Nacional [11]. Su integración en el espacio aéreo será clave, y es por ello que surge el conceptodel U-Space.U-Space ha sido desarrollado por SESAR (Single European Sky ATM Research) y lo define como un

grupo de nuevos servicios y procedimientos específicos diseñados para proporcionar seguridad, eficiencia yun acceso seguro al espacio aéreo por un gran número de drones [16]. Estos servicios dependerán en granparte de la digitalización y automatización de funciones, ya sea del propio dron, o de las estaciones en tierraque apoyarán las operaciones con drones.La consecución del U-Space tiene como base los siguiente principios[16]:

• Asegurar la seguridad de todos los usuarios del espacio aéreo que operen en el U-Space así como delas personas en tierra.

• Proporcionar un sistema ampliable, flexible y adaptable que pueda responder a los cambios en lademanda, volumen, tecnología y modelos de negocio y aplicaciones, mientras se gestiona la relacióncon la aviación tripulada.

• Permitir una gran densidad de operaciones con múltiples drones automatizados bajo la supervisión deuna flota de operadores.

• Garantizar un acceso igualitario y justo para todos los usuarios.

• Permitir una oferta de servicio competitivo y con un coste efectivo siempre, apoyando así el modelo denegocio de los operadores de drones.

• Minimizar los costes de operación e implantación mediante el uso de infraestructuras y serviciosaeronáuticos existentes, incluyendo el GNSS, así como también los servicios de comunicacionesmóviles.

• Acelerar su implantación adoptando tecnologías y estándares de otros sectores donde puedan coincidircon las necesidades el U-Space.

• Seguir una aproximación basada en el riesgo cuando se establezcan los requerimientos apropiados deseguridad (incluyendo la ciber-seguridad) y resistencia (incluyendo una gestión de modos de fallo), ala vez que se minimiza el impacto ambiental y se respete la privacidad de los ciudadanos, incluyendola protección de datos.

El U-Space facilita todo tipo de misión, desde el reparto de mercancías, trabajos aéreos, y servicios debúsqueda y rescate, hasta aplicaciones futuras más complejas como pudiera ser la movilidad aérea urbana(aerotaxis). Los servicios del U-Space se ofertarán tanto al uso de drones privados (de recreo y profesionales)tanto de drones de usuarios públicos.

61

62 Capítulo 6. Aproximación al U-Space

El marco del U-Space abarca un rango extensible y ampliable de servicios que dependerán de los acuerdosde estándares que se tomen en la UE y que se entregarán a los proveedores de dichos servicios. Estos serviciosno reproducen la función de Control del Tráfico Aéreo (ATC), como se conoce en la Gestión del TráficoAéreo (ATM), pero ofrece los servicios clave para organizar la seguridad y eficiencia de las operacionescon drones y asegurar una conexión adecuada con la aviación tripulada, el Control del Tráfico Aéreo y lasautoridades relevantes.[16]Además, de entre las funciones más importantes del sistema U-Space se encontrarán: [11]

• La operación seguro de drones como ya hemos dicho, proporcionando un sistema de gestión de espacioaéreo y definiendo posibles limitaciones físicas de intrusión (geofencing).

• Gestión de la congestión del espacio aéreo de baja cota.• La separación de obstáculos y la previsión de meteorología adversa para la operación seguro de losdrones.

• El seguimiento continuo de los vuelos, identificando las operaciones no autorizadas.

De entre estos servicios, tres se han identificado como servicios fundacionales del U-Space: el registroelectrónico, la identificación electrónica y el geofencing. [16]

A continuación se muestra cómo funcionaría el concepto de U-Space, enumerando y explicando brevementelos pasos que se seguirían. Esto también puede verse ilustrado en la Figura 6.1. Un ejemplo práctico de esteproceso puede verse en [16]

1. Preparación de la misión del dron: es aquí donde deberemos diseñar la operación que queremosllevar a cabo, cuál será su misión, elegir el UAS más adecuado, preparar el vuelo usando la informacióncompartida por los servicios conectados con el ATM, NOTAMs y por el resto de servicios del U-Space.Es en este paso donde se llevará a cabo el registro electrónico y la identificación electrónica.

2. Presentación de una solicitud de vuelo y recepción la aceptación: una vez realizado el plan de vuelo,se realiza una petición a la autoridad competente, la cuál gestionará la viabilidad de nuestro vueloteniendo en cuenta la congestión del U-Space en ese instante, las limitaciones físicas (geofencing)que haya en nuestra trayectoria (tanto permanentes como puntuales), las condiciones meteorológicasadversas, etc.

3. Ejecución del vuelo: el drone aquí es necesario que vaya equipado con un sistema DAA con el cuálevitará cualquier amenaza imprevista durante el vuelo. Se hará un seguimiento del vuelo mediante laestación en tierra, además proporcionar y recibir información dinámica del espacio aéreo y estar encontinua conexión con el ATC y el ATM.

4. Misión completada: se registra el vuelo y su reproducción. Tras esto, el dron esta preparado para lasiguiente misión.

Por último, el U-Space no es un concepto sin más, sino que tiene ya un plan de implementación con pasosy períodos de tiempo concretos. Estas fases estan basadas en la implementación secuencial de cuatro tipos deservicios, que se hará en función del avance de los bloques de servicios y tecnologías siguientes[11]:

1. Servicios fundacionales (U1): serán la base del U-Space, y lo formarán los tres servicios fundacionalesdichos anteriormente: el registro electrónico, la identificación electrónica y el geofencing.

2. Servicios iniciales (U2): proporcionarán el soporte necesario para le gestión de las operaciones condrones que se propongan, siguiendo el plan antes descrito.

3. Servicios avanzados (U3): estos servicios proporcionarán el soporte necesario para las operacionesmás complejas que se desarrollen en zonas de gran congestión del tráfico. Estos servicios podrángestionar el espacio aéreo y proporcionarán asistencia para la detección temprana de conflictos.

4. Servicios completos (U4): para llegar a la implementación de estos servicios se necesitará un alto nivelde automatización, conectividad y digitalización tanto de los UAS como del propio sistema U-Space.

Un esquema de estos servicios puede verse en la Figura 6.2Ahora bien, ¿qué plazos se fijan para el desarrollo de estos servicios? SESAR [16] fija la implementación

del paso U1 para 2019, estando este en la actualidad bastante avanzado. A partir de aquí, fija los objetivosde estar en fase de demostración de los sistemas U2 para el mismo año, al igual que seguir avanzando en elestudio de los sistemas U3 y U4.

63

Figura 6.1 Descripción de las funciones del U-Space [11] [16].

Figura 6.2 Fases de implantación del U-Space [11].

7 Conclusiones y futuros caminos posibles

Una vez concluido el análisis, es momento de aglutinar todas las conclusiones que durante éste se hanido obteniendo. Antes de todo, viene bien recordar cuáles eran los objetivos que se pretendían:

• Realizar un análisis del marco regulatorio vigente, al igual que de aquellas propuestas que se encuentranen la UE para crear un marco normativo comunitario.

• Analizar el proceso SORA, y encontrar una primera aproximación para cualificar los niveles de robustezde los requerimientos que de él se derivaban.

• Aplicar esta aproximación a algunos sistemas típicos de UAS.

Teniendo claro estos objetivos, podemos sacar varias conclusiones. En primer lugar comenzaremos por elanálisis de la legislación. Como se vio en el Capítulo 2, la actual legislación española sigue siendo bastanterestrictiva, basando la regulación de los UAS es una serie de supuestos en los que se permite o no el vuelo,al igual que en definir prácticamente qué tipo de aeronaves pueden o no volar, y no da opción a analizar elriesgo intrínseco de cada operación que quiera llevarse a cabo. Aún así, la primera conclusión que puedederivarse de aquí se ve rápidamente leyendo el Plan Estratégico Nacional para los Drones [11], donde es elpropio Gobierno de España el que ya habla claramente de las tres categorías que se definen en los borradoresque se analizaron en este capítulo, dando a entender que España va en el camino que EASA ha marcada parala UE, permitiendo clasificar no solo el UAV, si no también la operación que este llevará a cabo, dando lugarasí a un sin fin de operaciones. España por tanto, no cierra las puertas a aceptar esta nueva normativa, y seven pasos en firmes por parte de nuestro país hacia una legislación y control de los UAVs que permita sudesarrollo.

Como hemos dicho, las propuestas de normativa que se analizaban en el Capítulo 2 basaban su clasificaciónen el riesgo intrínseco de la operación que se fuera a llevar a cabo. Se hacía necesario por tanto el desarrollode una metodología la cuál nos permitiera medir dicho riesgo. Esto se solventa con SORA, la cual se analizóen el Capítulo 3. Durante el análisis de SORA se han visto diversas similitudes con la norma genérica IEC61508 (la cuál es trasversal en cuanto a análisis de riesgo se refiere a otros muchos estándares). Esto podíaverse en la definición del riesgo de forma cualitativa que se hacía en esta metodología, el cual se define en lanorma mencionada.Ahora bien, al finalizar el proceso SORA, todo concluía en una serie de requerimientos que debían

cumplirse con un nivel de robustez diferente según el nivel de seguridad, el SAIL, que hubiera requerido laoperación planteada. Estos niveles era Low, Medium y High, y no quedan definidos actualmente en el SORA.Este método, en su paso #12 sentaba ya las bases de cómo se pretendía que fueran estos niveles de robustez.Los recordamos:

• El nivel Low de seguridad pudiera ser uno en el que el operador o solicitante declare que el nivelrequerido de integridad ha sido conseguido.

• El nivel Medium de seguridad pudiera ser uno en el que el operador o solicitante aporte evidencias deque el nivel requerido de integridad ha sido conseguido, mediante la realización de test o mediantepruebas de experiencia.

• El nivel High de seguridad será aquel en el que la validación/certificación del requerimiento deberíaser llevado a cabo por un agente competente externo.

65

66 Capítulo 7. Conclusiones y futuros caminos posibles

Para poder llegar a una primera aproximación del significado de estos niveles, se analizaron en el Capítulo 4una serie de normas y estándares de diferentes industrias, para en el Capítulo 5 poder llegar a compararlos.Los resultados obtenidos pueden verse en la Tabla 5.7 y Tabla 5.6. Estos resultados han comprobado quelas premisas hechas por SORA son adecuadas, además de dar luz en cuanto a que la certificación de losUAS puede llegar a ser competitiva debido al bajo nivel que se les puede llegar a solicitar en muchos de esoscasos. Para llegar a esta conclusión debemos recordar el cambio de enfoque se tuvo que hacer: UAS viene delinglés Unmanned Aircraft System; RPAS viene del inglés Remotely Piloted Aircraft System. Es decir, sonaeronaves NO tripuladas, aeronaves las cuales van a estar operando siempre a una distancia considerable delpiloto remoto que las esté controlando, aeronaves las cuales (dentro de la specific-category) no van a superarlos 150kg de peso. Es decir, en los UAS se presenta el escenario de que un fallo catastrófico de la aeronave notiene por qué llevar asociado la muerte de una persona, y es más, en muchos de los casos ni siquiera la lesiónde alguna persona. Este escenario hasta ahora nunca planteado nos hace entender el por qué de (a priori)exigirle tasas cualitativamente más bajas a los UAS que al resto de industrias. Sin duda, este era el objetivo aconseguir, dado que este hecho ayudará a que el sector sea cada vez más apetecible a más usuarios, debido ala gran competitividad de las operaciones en cuanto al bajo coste que suponen comparándolas con procesostradicionales.Para acabar, recordemos la Figura 1.6, que podíamos ver en el Capítulo 1. Soñar esta ciudad nos hacía

tener en mente dos premisas:

1. El desarrollo de una metodología de que evalúe el riesgo de nuestra operación, clasifique la infinitavariedad de operaciones que pueden darse dentro de la specific-category, y derive de esta clasificaciónun relación de requerimientos que se ajusten al nivel de riesgo que se le asocie a nuestra operación.

2. Un método de integración de estas aeronaves dentro del espacio aéreo, respetando los límites de laaviación tripulada, pero comprendiendo las nuevas posibilidades que los vehículos aéreos proporcionan.

La primera ya esta cubierta en estas conclusiones, y la segunda solución es el Capítulo 6, en el cual se hadescrito el futuro U-Space, que hemos encontrado en una fase todavía demasiado preliminar, aunque losobjetivos de tiempo que se han marcado para la implantación del mismo nos hace pensar que realmente elmundo se plantea seriamente la realidad de que los UAS estén volando por nuestras ciudades en un futuro nomuy lejano. Además, en los principios base del U-Space pudimos encontrar lo siguiente:

Acelerar su implantación adoptando tecnologías y estándares de otros sectores donde puedan coincidircon las necesidades el U-Space.

Este principio nos ayuda a justificar plenamente el sentido del uso de estándares de otras industrias en labúsqueda de requerimientos de certificación para los UAS.

De cara al futuro y posibles mejores, cabe destacar que este estudio no ha sido más que un paso preliminara la hora de proponer nuevos requerimientos para la integración de los UAS en el espacio aéreo. Para que estollegue a ser una realidad, es debido la creación de estándares y normas, que bien basándose en las industriasque aquí se han analizado, concreten en los sistemas y requerimientos propios de los UAS y del métodoSORA. Es indudable que estas normas y estándares no pueden hacerse a escala nacional, sino que como elmarco normativo propuesto, deben pensarse a nivel comunitario para poder armonizar el sector aún más.Poco sentido tendría que la legislación estuviera armonizada a nivel europeo, pero luego los fabricantes yoperadores de UAS tuvieran que particularizar las plataformas y operaciones en función del MSs en que sevuele.

Por último, es también indudable que a la par que se dan pasos en la legislación y certificación de los UASy las operaciones que lleven a cabo, se debe seguir avanzando en la implantación del U-Space, sin el cual noserá posible integrar realmente estos vehículos dentro del espacio aéreo.

Índice de Figuras

1.1 Posibles plataformas de vehículos aéreos no tripulados [11] 21.2 Marcos regulatorios nacioles [11] 21.3 Categorías propuestas en la nueva norma comunitaria [11] 31.4 Drones diseñados por la compañía Amazon [12] [13] 41.5 Espectáculo con drones durante la Superbowl de 2017 [14] 41.6 Nuevas aplicaciones que el nuevo marco normativo potenciaría [11] 4

2.1 Respuesta de los operadores a las preguntas de: ¿Tiene previsto solicitar una LUC? y ¿Cuántasautorizaciones se evitaría en caso de ostentar una LUC? [6] 16

3.1 Descripción del método SORA 213.2 Descripción del método SORA[15] 223.3 Proceso de asignación del AEC [15] 253.4 Proceso para el riesgo aéreo [15] 29

4.1 Relación de estándares y normas de diferentes industrias con la norma IEC 61508[21] 334.3 Parámetros usados en la estimación del riesgo [4] 37

5.1 DJI AGRAS MG-1 [26] [27] 455.2 DJI Spreading Wings S1000+ [28] 475.3 UA Viewer[31] 545.4 Componentes de un paracaídas no dirigible [10] 565.5 Ejemplo de dispositivo de ensayo de lanzamiento en la norma UNE-EN 12491 [10] 58

6.1 Descripción de las funciones del U-Space [11] [16] 636.2 Fases de implantación del U-Space [11] 63

67

Índice de Tablas

2.1 Opciones para el registro de UA [5] 92.2 Subcategorías de la Open-category [5] 112.3 Subcategorías de la Open-category (continuación) [5] 122.4 Opciones de la Specific-category [5] 132.5 Comparación de las opciones para la specific-category [6] 152.6 Gastos para las autoridades el primer año [6] 162.7 Gastos para las autoridades los siguientes años [6] 162.8 Comparativa de gastos para los operadores [6] 16

3.1 Rangos cuantitativos de probabilidad de daños fatales a terceros en tiera [15] 203.2 Barreras del riesgo para la adaptación del GRC [15] 233.3 Determinación del SAIL del riesgo en tierra [15] 243.4 Determinación del AEC [15] 263.5 Determinación del ARC [15] 273.6 Determinación del SAIL asociado al riesgo aéreo [15] 283.7 Rendimientos requeridos de los mitigadores tácticos según la ARC [15] 28

4.1 Rendimientos requeridos de los mitigadores tácticos según la ARC [20] 314.2 Safety Integrity Levels (SIL) en la norma IEC 61508 [21] 324.3 Definición del SIL en la norma CENELEC 50126 [23] 364.4 SIL: Tasas de fallo para los SRCFs [4] 374.5 Clasificación de la Severidad en IEC 61062 [4] 384.6 Clasificación de la frecuencia y duración de la exposición ante un peligro en IEC 61062 [4] 384.7 Clasificación de la Probabilidad de que ocurra un evento peligroso en IEC 61062 [4] 384.8 Clasificación de la Probabilidad de evitar o limitar un daño en IEC 61062 [4] 384.9 Matriz de asignación del SIL en IEC 61062 394.10 Clases de severidad según ISO 26262 [7] 404.11 Clases de probabilidad de exposición con respecto a situaciones peligrosas según ISO 26262 [7] 404.12 Clases de controlabilidad según ISO 26262 [7] 404.13 Determinación del ASIL según ISO 26262 [7] 41

5.1 Especificaciones del DJI AGRAS MG-1 [26] 465.2 Adaptación de la clase de riesgo en tierra operación 2 475.3 Especificaciones del DJI Spreading Wings S1000+ [28] 485.4 Adaptación de la clase de riesgo en tierra operación 3. 485.5 Tasas cualitativas de probabilidad de daños fatales a terceros en tierra 495.6 Comparativa de SILs para sistemas de alta demanda 495.7 Comparativa de SILs para sistemas de baja demanda 505.8 Propuesta de robustez del ASIL para sistemas de alta demanda en UAS 515.9 Propuesta de robustez del ASIL para sistemas de baja demanda en UAS 515.10 Factor multiplicador para el teste de sobrecarga estructural en el estándar PIA TS-135 [9] 53

69

70 Índice de Tablas

5.11 Pruebas de lanzamiento directo para paracaídas en el estándar PIA TS-135 [9] 555.12 Requisitos de seguridad, resultados aceptables y métodos de ensayo en la norma UNE-EN 12491 [10] 575.13 Requisitos de seguridad, resultados aceptables y métodos de ensayo en la norma UNE-EN 12491

(Continuación) [10] 58

Bibliografía

[1] UNE-EN 61508-6 - Seguridad funcional de los sistemas eléctrico/electrónicos/electrónicos programa-bles relacionados con la seguridad.

[2] UNE-EN 62304:2007/A1 - Software de dispositivos médicos.

[3] UNE-EN 51208 - Aplicaciones ferroviarias.

[4] UNE-EN 62061 - Safety of machinery.

[5] Introduction of a regulatory framework for the operation of drones.

[6] Introduction of a regulatory framework for the operation of drones.

[7] ISO 26262-3 - Road vehicles-Functional Safety.

[8] ISO 26262-9 - Road vehicles-Functional Safety.

[9] PIA TS-135 Performance standards for personnel parachute assemblies and components.

[10] UNE-EN 12491 - Equipo para la práctica del parapente.

[11] Plan estratégico para el desarrollo del sector civil de los drones en España.

[12] (2017) Los drones de amazon podrían deshacerse en el aire para evitar accidentes. [Online]. Available:https://es.digitaltrends.com/drones/drones-amazon-desintegracion/

[13] (2015) Amazon tiene una solución para el tráfico de drones civiles. [Online]. Available:https://hipertextual.com/2015/07/amazon-drones

[14] (2017) Intel drones light up lady gaga performance during pepsi zero sugar super bowl lihalftime. [Online]. Available: https://newsroom.intel.com/news-releases/intel-drones-light-lady-gaga-performance-pepsi-zero-sugar-super-bowl-li-halftime/

[15] JARUS guidelines on Specific Operations Risk Assessment (SORA).

[16] “U-space blueprint.”

[17] (2018) La ue llega a un primera acuerdo en normativa sobre uav. [Online]. Available:http://www.infodron.es/id/2017/12/05/noticia-llega-primer-acuerdo-normativa-sobre.html

[18] Real Decreto 1036/2017.

[19] Boletín Oficial del Estado del viernes 17 de octubre de 2014.

[20] (-) Selecting a tt platform. [Online]. Available: https://www.safetty.net/safetty-solutions/design-example-iec-61508-sil2

[21] K. G. S. Dr David Smith, Safety Critical Systems Handbook.

71

https://es.digitaltrends.com/drones/drones-amazon-desintegracion/

https://hipertextual.com/2015/07/amazon-drones

https://newsroom.intel.com/news-releases/intel-drones-light-lady-gaga-performance-pepsi-zero-sugar-super-bowl-li-halftime/

https://newsroom.intel.com/news-releases/intel-drones-light-lady-gaga-performance-pepsi-zero-sugar-super-bowl-li-halftime/

http://www.infodron.es/id/2017/12/05/noticia-llega-primer-acuerdo-normativa-sobre.html

https://www.safetty.net/safetty-solutions/design-example-iec-61508-sil2

https://www.safetty.net/safetty-solutions/design-example-iec-61508-sil2

72 Bibliografía

[22] Software de dispositivos médicos.

[23] P. Wigger, “Experience with safety integrity level (s)(i)(l) allocation in railway applications.”

[24] J. R. M. Santos, La nueva directiva de máquinas.

[25] AENOR, Seguridad de las máquinas.

[26] (2018) Dji agras mg-1. [Online]. Available: https://www.dji.com/es/mg-1/info#specs

[27] (2018) Dji agras mg-1. control de cultivos. [Online]. Available: http://www.proinsaca.com/page/control-de-cultivos

[28] (2018) Dji spreading wings s1000+. [Online]. Available: https://www.dji.com/es/spreading-wings-s1000-plus/info#specs

[29] (F)(A)(A), Parachute Rigger Handbock.

[30] TSO-C23 - Personnel Parachute Assemblies and Components.

[31] (-) Equipamiento fada-catec. plataformas de uavs. [Online]. Available: http://www.catec.aero/plataforma-de-uavs/equipamiento.htm

https://www.dji.com/es/mg-1/info#specs

http://www.proinsaca.com/page/control-de-cultivos

http://www.proinsaca.com/page/control-de-cultivos

https://www.dji.com/es/spreading-wings-s1000-plus/info#specs

https://www.dji.com/es/spreading-wings-s1000-plus/info#specs

http://www.catec.aero/plataforma-de-uavs/equipamiento.htm

http://www.catec.aero/plataforma-de-uavs/equipamiento.htm

HFWR )LQ GH &DUUHUD ,QJHQLHUtD GH...

Documents

Transcript of HFWR )LQ GH &DUUHUD ,QJHQLHUtD GH...