Il metodo SORA (Specific Operations Risk Assessment) rappresenta un’applicazione concreta dell’idea di una valutazione qualitativa del rischio, mirata a quantificare il rischio complessivo per terzi derivante dall’operazione di un sistema aereo senza pilota (UAS). Il fulcro di questa valutazione è l’analisi dell’evento critico “perdita del controllo operativo” attraverso un modello ad “arco di cerchio” (bow-tie), che permette di considerare sia le cause sia le conseguenze di tale evento.

La valutazione del rischio si articola su due aspetti principali: il rischio a terra e il rischio aereo. Il rischio a terra riguarda il potenziale danno causato da un velivolo che si schianta sull’ambiente terrestre, inclusi persone e infrastrutture critiche. Qui, la dimensione e il peso del velivolo, assieme alla densità di popolazione dell’area sorvolata, assumono un ruolo decisivo per la classificazione del rischio. Il rischio aereo invece dipende fortemente dalla struttura dello spazio aereo in cui il drone opera, tenendo conto della presenza o meno di traffico aereo abituale.

Questi due aspetti di rischio sono suddivisi in classi, la cui combinazione produce una misura complessiva denominata SAIL (Safety Assurance and Integrity Level), che definisce il livello di sicurezza e integrità richiesto. In base al SAIL determinato, vengono specificate le misure necessarie a garantire un’operazione sicura, denominate obiettivi di sicurezza operativa, la cui robustezza cresce in funzione del livello di rischio.

Un caso di studio particolarmente interessante è l’operazione di un velivolo relativamente grande in un ambiente a basso rischio, come il volo a bassa quota sopra aree scarsamente popolate e al di sotto del traffico aereo regolare. Qui, la potenziale incidenza di una perdita di controllo è ridotta al minimo. In questo scenario, il concetto di sicurezza si discosta da quello tradizionale dell’aviazione con pilota: mentre in quest’ultima ogni misura è finalizzata a prevenire il crash, con la necessità di dimostrare tale impegno, nel progetto SORA il termine consapevole del volo è considerato una misura di mitigazione del rischio adeguata. L’operazione a bassa quota riduce la probabilità di incontrare altri velivoli e minimizza i rischi per persone e infrastrutture nel caso di un atterraggio di emergenza precauzionale.

Questa diversa concezione di sicurezza sposta il focus dalla necessità di dimostrare un’affidabilità assoluta del velivolo verso la dimostrazione di una bassa probabilità che persone o infrastrutture siano danneggiate, anche in caso di emergenza. Tuttavia, l’affidabilità del drone mantiene una forte rilevanza anche in termini economici e ambientali.

La complessità e i costi legati allo sviluppo di sistemi di sicurezza secondo standard aeronautici tradizionali (come ARP4754 e DO-178b/c) sono elevatissimi, soprattutto per quanto riguarda hardware e software critici. Questi processi sono maturati in decenni di aviazione, ma risultano difficilmente adattabili a nuove tecnologie, ad esempio l’intelligenza artificiale e l’apprendimento automatico, aprendo la necessità di ricerche per ridurre i costi e sviluppare approcci alternativi alla certificazione.

L’approccio basato su SORA mira proprio a questo, offrendo un quadro per valutare il rischio operativo e proporre soluzioni di sicurezza commisurate al livello di rischio. A partire da qui emergono numerose domande fondamentali: quali architetture di sistema sono necessarie per garantire la sicurezza? Come integrare l’uso di UAS nello spazio aereo basso, favorendo la convivenza con velivoli con pilota? Quali caratteristiche devono avere i componenti di sistema, dai collegamenti dati alle stazioni di controllo e ai sistemi di propulsione, per supportare un’operazione sicura? La configurazione dell’aeromobile è centrale, poiché le caratteristiche di sicurezza delle diverse soluzioni influiscono direttamente sul rischio operativo e sulle modalità di terminazione sicura del volo.

Questo modello di rischio offre anche una nuova prospettiva sul monitoraggio durante il volo: il monitoraggio operativo sicuro (SOM) che può ridurre la necessità di un’assicurazione software estesa, osservando in tempo reale la sicurezza rispetto all’analisi SORA.

È cruciale comprendere che la valutazione del rischio non è mai un atto isolato ma una parte integrante di un sistema complesso che coinvolge tecnologia, regolamentazione, ambiente e accettazione sociale. La fiducia nell’operazione di droni dipende non solo dalla validità tecnica del modello di rischio e delle misure adottate, ma anche dalla percezione pubblica e dall’impatto ambientale, aspetti che richiedono indagini approfondite e continue.

La sfida non è solo tecnica, ma sistemica: una corretta integrazione dello UAS nel tessuto sociale e aereo richiede un equilibrio tra innovazione, sicurezza e sostenibilità. L’analisi del rischio, pertanto, deve essere vista come una disciplina dinamica, in evoluzione insieme alle tecnologie e ai contesti operativi, capace di adattarsi alle specificità di ogni scenario senza perdere di vista l’obiettivo ultimo: garantire la sicurezza di tutti, in aria come a terra.

Quali configurazioni di velivoli sono più adatte per il trasporto aereo autonomo a bassa quota?

L’idea di un sistema di trasporto aereo autonomo a bassa quota pone sfide complesse nella scelta e progettazione delle configurazioni dei velivoli da utilizzare. Un aspetto cruciale è garantire la sicurezza intrinseca e la possibilità di terminare il volo in modo passivo, proteggendo così persone e oggetti sia a terra sia in aria. La selezione di un velivolo non può limitarsi a un solo tipo: la molteplicità delle esigenze imposte dal compito di trasporto autonomo porta a considerare diversi modelli, ciascuno con vantaggi specifici. L’analisi non si basa soltanto sulle prestazioni di volo, ma anche su altri fattori come l’accessibilità dello spazio cargo, la semplicità tecnica, la compattezza e la necessità di infrastrutture aggiuntive.

Nel progetto ALAADy, la scelta degli aeromobili è orientata da requisiti di carattere commerciale e operativo, privilegiando un velivolo di dimensioni contenute, capace di operare con il minimo supporto infrastrutturale. Questo è fondamentale per garantire flessibilità operativa, decollo e atterraggio su brevi distanze e facile accesso allo spazio per il carico. Le specifiche chiave prevedono una capacità di carico di una tonnellata metrica, spazio sufficiente per due pallet Euro, un’autonomia di 600 km, una velocità di crociera di 200 km/h e distanze massime di decollo e atterraggio di 400 metri.

Il processo di selezione inizia con una pre-selezione qualitativa dei tipi di velivoli basata su criteri che includono: brevi distanze di decollo e atterraggio, alta efficienza aerodinamica in crociera, basso peso strutturale, operatività senza necessità di estensioni infrastrutturali, basse emissioni di rumore e inquinanti, stabilità dinamica e bassa sensibilità alle turbolenze, bassa complessità tecnica, facile accesso e manutenzione, compattezza, sicurezza intrinseca e possibilità di terminazione del volo.

Tra le configurazioni più promettenti, emergono i velivoli a fusoliera tubolare con ali tradizionali (“tube-and-wing”) e i velivoli “blended wing body” (BWB). I primi sono da decenni pilastri dell’aviazione, con comprovata esperienza progettuale che consente manovrabilità e stabilità adeguate, costi relativamente contenuti e buona efficienza aerodinamica alle alte velocità. Tuttavia, soffrono di performance di decollo e atterraggio limitate e di emissioni sonore più elevate, dovute alla mancanza di barriere tra motori e terreno.

I velivoli BWB si distinguono per una maggiore efficienza aerodinamica: la fusoliera piatta genera portanza, riducendo le dimensioni alari e la resistenza parassita. Questa configurazione permette inoltre un’installazione motori sopra la fusoliera, con potenziale riduzione del rumore. La distribuzione uniforme della portanza riduce il momento flettente sull’ala, consentendo strutture più leggere. Poiché il volo si svolge a basse altitudini, i problemi tipici di pressurizzazione della cabina non si applicano, riducendo ulteriormente il peso strutturale. Tuttavia, l’assenza di piani di coda orizzontali complica il controllo del beccheggio, influenzando negativamente le performance di decollo e atterraggio.

La valutazione delle configurazioni non può essere isolata; essa dipende dall’interazione tra velivolo, segmenti a terra, pianificazione dei percorsi e altri elementi del sistema automatizzato. Per questo motivo, non si sceglie un solo velivolo, ma si identificano almeno tre configurazioni promettenti, da esaminare in dettaglio per valutarne vantaggi e svantaggi nell’ambito dell’intero sistema.

Accanto alle prestazioni di volo, assumono rilievo aspetti quali il consumo di carburante, la semplicità e compattezza del velivolo, le caratteristiche di sicurezza intrinseca e la facilità di accesso al carico. Tutti questi fattori contribuiscono alla sostenibilità economica e operativa del sistema.

È importante considerare che l’efficacia complessiva del trasporto aereo autonomo dipende dall’equilibrio e dall’integrazione di molteplici elementi: non solo la scelta del velivolo, ma anche l’organizzazione dei segmenti a terra, la gestione dei percorsi, la manutenzione e la sicurezza operativa. Solo una visione sistemica permette di definire quale configurazione rappresenti la soluzione ottimale. La selezione deve quindi tenere conto delle sinergie tra questi fattori, ponendo attenzione anche agli aspetti pratici di operatività quotidiana, come la facilità di carico e scarico, la rapidità di turnaround e la riduzione delle emissioni acustiche e ambientali, fondamentali per l’accettazione sociale e normativa del sistema.

Quali sono le differenze tra i processi di gestione a terra manuali, semi-automatici e completamente automatici?

Nel contesto della gestione a terra, la distinzione tra processi manuali, semi-automatici e completamente automatici risulta fondamentale per comprendere le sfide e i vantaggi associati a ciascun livello di automazione. Questi processi si riferiscono alla manipolazione del carico, al controllo dei sistemi di volo e a tutte le operazioni che si svolgono prima e dopo il decollo e l’atterraggio di un aereo. Ogni livello di automazione introduce differenze non solo nelle modalità operative, ma anche nell’efficienza e nei costi associati.

Nel processo manuale di gestione a terra, tipicamente un solo operatore è incaricato di completare tutte le operazioni necessarie. Sebbene in alcuni casi si possa avere più di una persona sul posto, il fatto che le fasi siano svolte una dopo l’altra, senza possibilità di parallele, rende questo sistema altamente dipendente dalla presenza fisica dell’operatore. In un processo manuale, la sicurezza del carico, il controllo dei sistemi informatici e il rilascio del sistema di ancoraggio (UCA) vengono svolti separatamente e sequentialmente, con una forte interdipendenza tra le fasi.

Nel processo semi-automatico, alcune fasi possono essere eseguite simultaneamente grazie alla parziale automazione. Ad esempio, il controllo di sicurezza e l’accesso al sistema informatico possono essere gestiti in parallelo, mentre altre operazioni, come il carico e il fissaggio del carico, richiedono ancora l’intervento umano. Sebbene il carico venga caricato automaticamente, l'operatore è comunque necessario per garantire la corretta esecuzione di alcune fasi del processo, come il rilascio del carico dal sistema di ancoraggio o la gestione delle operazioni in caso di necessità di rifornimento o defuelling.

Nel caso del processo completamente automatico, le operazioni sono completamente gestite dai sistemi automatizzati, con pochi interventi umani necessari per la supervisione o per rispondere a emergenze. Ogni fase del processo, dal controllo di sicurezza al carico del carico, fino alla chiusura della porta di carico e alla gestione del sistema di volo, avviene senza interruzioni. I sistemi automatici permettono la gestione parallela di più fasi, riducendo drasticamente la necessità di personale e migliorando l’efficienza operativa. Tuttavia, i costi di acquisizione della tecnologia per il sistema completamente automatizzato sono significativamente più alti rispetto a quelli dei sistemi manuali o semi-automatici.

Nel confronto tra i processi di partenza e di arrivo, le differenze nei livelli di automazione emergono chiaramente. Durante la partenza, i processi completamente automatici gestiscono automaticamente il carico, l’approvvigionamento energetico, il controllo pre-volo e la verifica del sistema di volo. Nella modalità semi-automatica, alcune di queste fasi richiedono l'intervento dell'operatore, come il rilascio del sistema di ancoraggio dopo il carico, mentre nella modalità manuale tutte le operazioni devono essere svolte manualmente, una per volta.

L’arrivo segue un pattern simile, ma con alcune differenze chiave. Mentre nelle modalità completamente automatica e semi-automatica, il carico viene scaricato automaticamente e la porta del carico viene chiusa senza l’intervento umano, nel processo manuale tutte le operazioni devono essere eseguite in sequenza, a partire dall’apertura della porta del carico, fino al rifornimento, spegnimento del sistema di volo e ispezioni post-volo. In entrambi i casi, l’automazione riduce la necessità di personale operativo, ma nei sistemi manuali la capacità di eseguire operazioni parallele è notevolmente limitata.

Per quanto riguarda i costi, la gestione completamente automatizzata, pur richiedendo un investimento iniziale molto alto, riduce al minimo i costi operativi, mentre il sistema manuale, pur avendo costi iniziali molto bassi, comporta spese maggiori per il personale. I costi di manutenzione in tutti i sistemi tendono a essere simili, ma i benefici della piena automazione risiedono nella semplificazione delle operazioni quotidiane e nella riduzione dell'intervento umano.

L’efficienza dei processi automatizzati non si limita solo a una riduzione del carico di lavoro umano, ma influisce anche sulla velocità e sulla precisione delle operazioni. Tuttavia, l'introduzione di sistemi completamente automatizzati implica non solo un notevole aumento dell'infrastruttura tecnologica, ma anche una maggiore complessità nella gestione delle emergenze e nell’assistenza al sistema, che richiede personale altamente specializzato.

In definitiva, la scelta tra un sistema manuale, semi-automatico o completamente automatizzato dipende dalle esigenze specifiche dell'operazione, dai costi sostenibili e dalle risorse disponibili. Tuttavia, l'integrazione progressiva dell'automazione sembra inevitabile per ridurre i costi operativi e migliorare l'efficienza complessiva della gestione a terra.

Quali tecnologie di collegamento dati sono adatte per il controllo e comando di velivoli senza pilota a bassa quota e lunga distanza?

Il controllo e comando (C2) degli aeromobili senza pilota (UA) richiede intrinsecamente un collegamento dati digitale bidirezionale, fondamentale per interfacciare il velivolo con il pilota remoto. Questo collegamento deve garantire l’invio di comandi dal pilota all’UA per la guida, soprattutto nei casi di automazione bassa, e la trasmissione di informazioni sullo stato del velivolo e dell’ambiente circostante dal velivolo al pilota, elemento essenziale per operazioni beyond visual line of sight (BVLOS). Attualmente, le reti cellulari e satellitari rappresentano le soluzioni più diffuse per il C2 di UA civili a bassa quota su lunghe distanze, anche di centinaia di chilometri. Già dal 2016, alcuni operatori satellitari, come Inmarsat, hanno iniziato a offrire servizi dedicati ai velivoli civili. Parallelamente, le reti cellulari, in particolare quelle basate sullo standard LTE, si sono dimostrate promettenti per operazioni urbane, anche se restano dubbi sulla copertura e affidabilità in aree rurali, caratterizzate da buchi di segnale.

L’analisi approfondita si concentra sulle esigenze specifiche derivanti dalle caratteristiche operative degli UA cargo a lunga distanza e dai criteri di valutazione del rischio operativo (SORA). Si definiscono requisiti stringenti relativi all’altitudine massima (150 m dal suolo), alla velocità (fino a 200 km/h) e alla capacità del collegamento di fornire una trasmissione dati a bassa latenza, necessaria per gestire in tempo reale le fasi di volo: rullaggio, decollo, crociera e atterraggio. I dati trasmessi comprendono comandi di missione (coordinate 4D, limiti di velocità, modalità di volo, comandi avionici) e informazioni di stato e posizione per la supervisione continua del velivolo.

Il panorama delle tecnologie di collegamento si è arricchito di studi e standardizzazioni, con enti come la RTCA che hanno definito requisiti minimi di performance per sistemi terrestri in banda L e C, e con gruppi di ricerca come il DLR che sviluppano soluzioni avanzate quali il C-band Digital Aeronautical Communications System (CDACS). Tuttavia, non esiste ancora uno standard universalmente adottato né una rete dedicata esclusivamente agli UA, in parte per i costi proibitivi associati a una copertura ubiquitaria.

Pertanto, la comunità scientifica e industriale ha rivolto attenzione all’impiego delle reti commerciali LTE, già consolidate, per abbreviare i tempi di integrazione degli UA nello spazio aereo nazionale e contenere i costi. Trial condotti da Qualcomm e 3GPP nel 2017 hanno confermato che le reti LTE possono fornire una connettività di base senza necessità di modifiche, almeno in contesti urbani, mentre permangono incertezze sulla performance in zone rurali estese, critiche per i voli cargo a lunga distanza. Studi condotti dall’Università di Aalborg hanno dimostrato, attraverso misure e simulazioni, la capacità di LTE di garantire un throughput minimo (60 kbps) per operazioni BVLOS anche in contesti rurali, sebbene su aree di dimensioni inferiori a quelle necessarie per il nostro scenario di riferimento. Interessante è la conferma che la connettività simultanea a più reti LTE indipendenti incrementa l’affidabilità complessiva senza richiedere modifiche infrastrutturali.

L’architettura del concetto di collegamento dati proposto si basa su queste considerazioni, mirando a soddisfare i requisiti di sicurezza operativa derivanti da valutazioni SORA e TLAR. Le simulazioni, focalizzate esclusivamente sulle reti LTE in ambienti tedeschi a bassa quota, confermano una buona copertura e capacità di throughput generale, pur evidenziando interruzioni di segnale di alcuni secondi in aree caratterizzate da rilievi e valli scarsamente servite.

Risulta cruciale comprendere che il successo dell’integrazione degli UA nei corridoi aerei dipende dalla sinergia tra tecnologia di comunicazione, normative di sicurezza e caratteristiche geografiche dell’area di operazione. Sebbene le reti LTE rappresentino una soluzione promettente e economicamente sostenibile, è indispensabile considerare la variabilità della copertura in relazione al territorio, nonché l’opportunità di strategie di mitigazione quali la multi-connessione. Inoltre, la latenza e la larghezza di banda devono essere costantemente monitorate e adattate alle esigenze dinamiche della missione per garantire il controllo sicuro e affidabile del velivolo.

Va inoltre sottolineato che la resilienza del collegamento dati non dipende solo dalla tecnologia di rete utilizzata, ma anche dall’efficienza degli algoritmi di controllo e gestione delle connessioni e dalla robustezza delle procedure di monitoraggio e intervento remoto. La futura standardizzazione dovrà tenere conto di questi aspetti, così come della necessità di integrazione con altri sistemi aeronautici e terrestri, affinché il volo autonomo o remotamente pilotato possa diventare una realtà stabile e sicura.

Come si impone la forza e la strategia nell’epopea del selvaggio West?
Come il Fenomeno di Will Rogers Influenza le Decisioni in Settori Cruciali
Come Kant e Althusius definiscono la federazione e la sovranità politica: una riflessione sul cosmopolitismo e il federalismo