Com o crescimento contínuo na utilização da aviação como meio de transporte de pessoas e carga, o sistema de gerenciamento de tráfego aéreo (ATM) está no limite de sua capacidade. Para lidar com esse problema, a Organização de Aviação Civil Internacional (OACI), junto com diversos países membros, desenvolveu um novo conceito de ATM chamado CNS/ATM, composto de uma série de melhorias tecnológicas para melhorar a capacidade e desempenho do sistema, onde muitas dessas melhorias são automatizações de tarefas de operadores humanos, pilotos e controladores de tráfego aéreo (ATCo). Com o tempo percebeu-se que apenas avanços tecnológicos não seriam o suficiente, que era necessário uma integração maior entre todos os sistemas ATM, que garantisse uma interoperabilidade entre os sistemas. Portanto, o conceito CNS/ATM evoluiu para o conceito ATM Global, onde o planejamento de modernização se dará de forma integrada e global, incluindo muitas das melhorias previstas no conceito CNS/ATM. Essa mudança de paradigma faz surgir diversas questões de como essas mudanças impactarão no atual sistema, do ponto de vista econômico, ambiental, desempenho e segurança. Para entender os perigos envolvidos na execução dessas novas tarefas, utilizam-se diversas técnicas e modelos clássicas como a Análise de Árvores de Falhas (FTA) ou a Análise de Árvore de Erros (ETA). Essas técnicas tradicionais consideram que acidentes são causados por uma sequência de eventos de falha, todos com uma relação de causa e efeito. Essa suposição não é considerada mais suficiente para entender como acidentes acontecem nos sistemas mais atuais, onde cada vez mais eles se tornam mais complexos e mais dependentes da interação com softwares. Para lidar com essa dificuldade foram criados alguns modelos para entender acidentes utilizando a teoria de sistemas, como exemplo o Systems-Theoretic Accident Model and Proccesses (STAMP). Diversos estudo mostram que esses modelos ou métodos são capazes de representar problemas na estrutura de controle que as técnicas mais tradicionais não conseguem, inclusive incluindo fatores organizacionais na sua representação. Considerando todos esses fatos, este trabalho de investigação científica propõe uma metodologia de análise de impacto em segurança crítica da automação das tarefas dos ATCo de uma torre de comando de aeródromo (TWR). A metodologia consiste na modelagem dos perigos e acidentes envolvidas nas tarefas do ATCo da TWR utilizando o modelo sistêmico STAMP) depois na análise subsequente dos cenários antes da automação e depois da automação utilizando a técnica Systems-Theoretic Proccess Analysis (STPA), criada a partir do STAMP, para levantar os fatores causais de perigos e seus requisitos de segurança em cada cenário, de forma a ser possível obter uma comparação do que foi modificado com a automação proposta das tarefas. Para validar a metodologia, foi analisada uma tarefa do ATCo da TWR como exemplo. Espera-se obter com a metodologia proposta uma forma mais objetiva e sistêmica de obter o possível impacto em termos de segurança crítica da automação de uma tarefa específica, sendo possível então determinar qual a melhor forma de se pensar essa automação no contexto do ATCo, podendo assim contribuir para a modernização segura do sistema ATM.

With the increasing growth of aviation as mode of transportation for people and cargo, the Air Traffic Management (ATM) system is on its limits. In order to cope with that, the International Civil Aviation Organization (ICAO), together with country members, developed a new ATM concept called CNS/ATM, bearing several technological improvements with the objective of enhancing capacity and performance of the system, where many of these improvements are automated tasks of human operators, pilots and air traffic controllers (ATCo). In time, it was seen that technological improvements were not enough it was necessary a greater integration between all ATM systems, which would guarantee an interoperability between them. Therefore, the CNS/ATM concept evolved to a Global ATM concept, in which the modernization plan would occur globally and integrated, including many of the improvements of the CNS/ATM concept. This paradigm shift raised several questions on how these changes would affect in the actual system from an economic, environmental, performance and safety points of view. To understand the hazards of the new tasks, several traditional techniques and models are used, like Fault Tree Analysis (FTA) and Error Tree Analysis (ETA). These traditional techniques see accidents because of a chain of failure events, all with an effect-cause relation. This assumption is no longer considered enough in order to understand how accidents occur in actual systems, which became more complexes and more software dependents. To cope with this difficulty, other models were created to understand accidents using systems theory, for example the Systems-Theoretic Accident Model and Processes (STAMP). Several studies show that these models or methods are capable of finding more problems in control structure that the traditional techniques, including organizational factors. Considering all the facts, this scientific investigation propose a methodology for analysis of the impact on safety for the automation of ATCo from Control Tower (TWR) tasks. This methodology consists in modeling the accidents and hazards of the TWR ATCo tasks using STAMP. Then the Systems-Theoretic Process Analysis (STPA) technique, created for STAMP, is used to gather all causal factors for hazards and its safety requirements in each scenario, in order to compare what changed with the automation of tasks. The objective of proposed methodology is to obtain a systemic and objective way of finding the possible impact on safety from the automation of a specific task, enabling the possibility of determining the best way of designing the automation in the context of ATCo, contributing to the safe modernization of ATM system.