o Uso de Autômatos Híbridos para Modelageme Verificação Formal de Planos de Vôo de

Aeronaves Não-TripuladasConrado Werner Seibel!Jean-Marie Farines?

lGyron Sistemas Autônomos Ltda .Rua Lauro Linhar es, 589

88036-002 Florianópolis - SC , Br azilconrado@gyron .acate .com.br

2Laboratório de Cont role e MicroinformáticaUniversidade Federal de Santa Cat arin a88040-900 Florianópolis - SC , Brasil

farines@lcmi.ufsc.br

Abstract. This papel' desc ribes the use of linear hyb rid automata for modelling and formalverificat ion of flight plans for unmanned aerial vehicles. The model can represent t he a ircraftwhich is used to perform a given mission, the flight plan that will be executed by that airc raft ,the region where the flight will be performed and the meteorological conditions expected atth e time of the flight . T he resultin g model can be formally verified with respect to previouslyestablished safety requi rements, 0 1' be used to instan t iate values in a par amet erized flight plano

R esumo. Este doc umento descreve o uso de autômatos híb ridos lineares par a a modelagem everificação formal de planos de vôo para aeronaves não-tripulad as. O modelo permite representara aeronave usada par a executar uma missão, seu plano de vôo , o terreno a ser sobrevoado e ascondições met eorológicas prevalescentes no momento da execução do vôo . O modelo resultantepode ser formalmente verificado quan to à satis fação de requisitos de seguranç a previamenteestabelecidos ou ser usado para dimensionar um plano de vôo parametrizado.

1 Introdução

Aeronaves não-tripuladas (UAV s-Unmanned Ae-rial Vehicles ) tem sido usadas por forças milita-res par a fins de reconhecimento há mais de trintaanos. Mais recentemente , as vantagens inerent es aeste tipo de aeronave, principalmente ausência derisco para vidas humanas e baixo custo operacio-nal , atraíram a atenção de usuári os civis. As apli-cações desenvolvidas vão desde operações de segu-rança pública à pesquisa científica em alta alt itude.

Um dos maiores problemas assoc iados a este t i-po de aeronave são os acidentes causados por errospor parte do operador. A dificuldade de harmoni-za r os objetivos da missão com os recursos limita-dos existentes a bordo de um UAV é ilustrada porestat íst icas das forças armadas nor te-americanasque apont am o esgotamento de combust ível duran-te a realização de uma missão como a segunda cau-sa mais freqüente de acidente s envolvendo aerona-ves não-tripul ad as.

A verificação formal de planos de vôo par aUAVs pode aumentar significativament e a seguran-

Ç<L operacional destas aeronaves, além de reduziro custo de operação das mesmas ao exigir meno-res invest imentos no t reinamento e qualificação deoperadore s.

Neste trabalho, descrever-se-á a utilização deautômatos híb ridos lineares par a o modelamento deaeronaves não-tripuladas e seu ambiente de ope -rações. O modelo desenvolvido pode ser form al-mente verificado quanto à sat isfação de requisitosde segurança previamente estabelecidos , tais comonão-esgotamento .de combust ível ou manutenção dedist ânci as mínimas ao solo durante todas as fasesda missão. Além disto , o mod elo permite o dimen-sionamento de planos de vôo parametrizados como obje tivo de otimizar a utiliz ação da aeronave.

A organização do restante deste trab alho é des-crita a seguir.

A seção 2 introduz conceitos bási cos e descreveos aspectos de planejamento de missões de aerona-ves não-t ripuladas relevantes par a este trabalho.

Uma breve introdução aos autômatos híbridosé apresentada na seção 3, seguida da apresentação

235

um multigrafo et iquet ado (11, E) , sendo o conju ntodas derivad as primeiras de X denotado por ,Y. OSarcos E represent am ações discretas e s ão et ique-tados com restri ções sobre os valores de X antese após a execução das ações correspondentes. Osvértices 11 represent am at ividades cont ínuas e sãoetiquetados com restrições sobre os valores de X eX durante a realização das atividades associadas .Desta form a, o estado de um autômato híbrido émodificado tanto por ações discret as e instan tâneascomo pelo passar do tempo.

Formalmente, um autômato híbrido H = (X ,11, E , syn, act , inv) é const it uído por seis compo-nentes:

Variáveis Um conjunto finito X = (Xl , X2, . . . , x ll )de variáveis contendo valores reais. O tama-nho n de X é a dimensão de H . Uma ava-liação de H é um pon to s = (Xj = a j , X2 =a2 , . . . , Xn = a n ) no espaço n-dimensionalreal R" e representa o estado das variáveiscontínuas do autômato. Denot a-se por 5 oconjunto das avaliações possíveis do autômatoH .

Lugares Um conj unto finito V de vér tices chama-dos lugares de controle.Um estado do autômato H é um par (v , s)const ituído de um lugar v E 11 e de uma ava-liação s E H" , O termo reqiiio é usado paradenotar um conjunto de estados. As avaliaçõesassociadas com um lugar v em uma região T,Vsão as avaliações s tais que (v , s ) E T,V.

Transições Um conjunto finito E de arcos chama-dos de transições. Cada t ransição e = (v ,a , J-l ,VI ) é cons t it uída por um lugar de origem v E11, um lugar de destino VI E 11, um rótulo desincronização a E syn e uma relação de tran-sição J-l ç. 52.A transição e é dita habilitada em um estado(v , s ) se para alguma avaliação SI E 5 , (s , SI) Eu , O estado (VI , SI) é dito um sucessor transi-tivo do estado (v , s).

Etiquetas de sincronização Um conjunto finitosuti de etiquetas de sincronização, usad as par adefinir a composição paralela de dois autôm a-tos: se dois autômatos partilham a et iqueta 0' ,então cada a -t ransição de um dos autômatosé acompanhada de uma a -transição do outroautômato.

Atividades Uma função act que at ribui a cadalugar v E 11 um conjunto de atividades. Cad aatividade é uma função do conjunto de reaisnão-negativos R?o par a 5 . O modelo exigeque as atividades de cad a lugar sejam inva-riantes no tempo: para todos os lugares v E 11,

at ividades f E act(v ), e reais não negativostE u» , também (J + t ) E act(v ), onde (J +t)(t l ) = f (t + tI) para todo t' E R ?o.

Invariantes Uma função inv que atribui a cad alugar v E 11 um invariante inv (v ) ç 5 . Oau tômat o pode permanecer no estado v apenasenquanto o invar iante do lugar for verdadei-ro. Invar ian tes podem ser usados para forçara evolução de um autômato.

Um sistema hiurido é descr ito por uma coleçãode autôma tos híb ridos , um par a cada componentedo sist ema, operando de forma concorre nte e co-ordenada . A comunicação ent re os diferentes au-tôm atos constit uintes se dá por meio de variáveiscompartilhadas e etiquetas de sincronização.

3.2 Modelagem de planos de vôo por autô-matos híbridos lineares

Os algoritmos hoj e existente s permit em a verifi-cação simbólica de sist emas hibridos lin eares , istoé, sistemas onde a evolução das variáveis durant ea fase cont ínua é descr ita por equações diferenciaisde pr imeira ord em .

A modelagem de um UAV, sua dinâm ica e seuuniverso de operações por um conjunto de autôma-tos híbrid os linear es torna-se possível at ravés dasseguintes hipóteses [SF97]:

• Ut ilização de um sistema de coordenadas pla-no tangente par a descr ever a posição e asvelocidades da aeronave. O sistema de co-ordenadas plano tangent e é um sistema car-tesiano com origem coincidente com o pon-t.o de lançamento/recolhimento da aeronavee que permite resolver os problemas de na-vegação ut ilizando a geometria do plano aoinvés da geomet ria esférica. O erro int rodu-zido pela aproximação da superfície ter rest repor um plano tangent e à mesma no pont.o delançamento/recolhimento da aeronave é negli-genciável par a o raio operacional dos UAVshoje existentes.

• Ope ração da aeronave apenas a velocidadespré-det erm inadas (velocidade mais eficien-te, velocidade mais econômica, velocidademáx ima e vôo pairado), o que permite quesua dinâmi ca seja desc rita por equações dife-renciais de pr imeir a ordem .

• Desconsideração dos per íodos de transição en-tre uma etapa e outra, visto ser sua duraçãomuito inferior à duração das etapas propr ia-mente ditas .

• Aproximação das regiões de cobertura do en-lace de comunicação, das zonas de exclusão e

236

das hipóteses que permitem sua aplicação para atarefa aqui propost a .

A seção 4 apresenta um exemplo da utilizaçãode autômatos híbridos linear es para mod elagem deum plano de vôo. A satisfação do requisito de não-esgotamento de combustível é verificada, bem comoo valor mínimo de combustível necessári o à exe-cução do plano de vôo proposto é det erminada.

Finalmente, conclusões são apresentadas na se-ção 5.

2 Planejamento de Missões para AeronavesN âo-Tripuladas

O termo missão é usado para descrever a ope-ração de uma aeronave não-tripulada em umacert a região durante um período restrito de temp ocom um obje t ivo espec ífico, chamado objetivo damissão. Do cumprimento do obj eti vo da missãoresult a um benefício par a o operador . A utilizaçãode uma aeronave não-tripulada par a executar umamissão também implica em um custo , sendo pre cisoconsiderar além do custo operacional da aeronave,também o custo de sua eventual perd a durante aexecução da missão.

O plan ejamento de missões para aeronavesnão-tripuladas objetiva produzir um plano de vôocapaz de permit ir o cumprimento dos objetivosda missão . Tal plano de vôo, que representa aseqüência de manobras a ser efetuada pela ae-ronave durante a realização da missão , precisaconsiderar um conjunto de requisitos de segurançae levar em conta as caracte ríst icas da aeronaveutiliz ada , a região a ser sobrevoada e as condiçõesmeteorológicas esperadas quando da realização damissão .

Um plano de vôo é constituído de várias eta-pas . Cada etapa é especificada pelas coordenadasdos pontos inicial e final e pela velocidade a ser de-senvol vida pela aeronave du rante esta etapa. Op-cionalmente, um a etapa pode inclui r ainda a espe-cificação de sua duração . Uma etapa é consideradaexecutada quando o ponto final especificado é atin-gido ou, par a etapas cuja duração é espec ificada, olimite de tempo asso ciado se esgota.

A execução de um plano de vôo por uma ae-ronave não-tripulada implica na utilização de umaséri e de recursos. Os recursos necessários variamcom as caracte r íst icas específicas da aeronave utili-zada, mas tipicamente incluem combust ível, ener-gia elét rica e comunicação com a estação de con-trole em terr a.

Além do mais , um plano de vôo precisa levarem consideração as caracterís ticas da região sobre-voada , ou seja, as elevações do terreno e a existênciade eventuais zonas de exclusão onde a operação daaeronave não é permitida ou soment e o é durantecertos períodos de tempo.

Um plano de vôo também precisa levar emconsideração as condicões meteorológicas espera-das quando da realização da missão. Condiçõesmeteorológicas que excedem aquelas especificadaspelo envelope operacional da aeronave impedem aexecução da missão. Além disso, a dinâmica daaeronave é influenciada pela intensidade, direção etipo de vento (constante ou em rajadas) prevales-cente . Esta influência é mais evidente em UAVs dedimensões reduzidas que utilizam motores poucopotentes.

Finalmente, um plano de vôo precisa satisfazera um conjunto de requisitos de segurança. A não-satisfação de requisitos de segurança obrigatórios,como o não-esgotamento do combustível, causa aperda da aeronave. A segurança durante a execu-ção da missão pode ser aumentada se o plano devôo também satisfizer um conjunto de requisitosde seguran ça desejáve is, corn.o por exemplo, o pou-so com reserva de combustível ou a manutençãode distânci as mínimas em relação ao solo durantetodas as etapas da missão.

Neste trabalho, chamaremos de plano de vôoparametrizado um plano de vôo no qual pelo menosuma das manobras da aeronave é especificada emtermos de um parâmetro simbólico. Chamaremosde dimensionamento o processo pelo qual parâme-tr os simbóli cos são instanciados com valores paraos quais os requisitos de segurança são satisfeitos.

3 Modelagem e Verificação de Planos deVôo usando Autômatos Híbridos Linea-res

Os fatores a serem considerados no planejamen-te de missões de UAVs, tais como mencionadosna seção anterior, podem ser tratados no contextode sistem as hibridos, visto que UAVs são sistemasdin âmi cos resultantes da interação de componentescont ínuas e discretas.

No caso de planos de vôo para aeronaves não-tri puladas, a posi ção da aeronave, a quantidade decombustível restante a bordo da mesma e a car-ga do acumulador de emergência são exemplos decomponentes contínuas de um sistema híbrido. Astransições entre as diferentes etapas constituintesde um plano de vôo constituem componentes dis-cretas do mesmo sistema híbrido.

Em 1993, Alur et aI. [ACHH93] e Nicollin et aI.[NOSY93] independentemente desenvolveram ummodelo par a a descrição e análise de sistemas hí-bridos base ado em autômatos hibridos particular-mente adequado à verificação simbólica.

3.1 Autômatos híbridos

Informalment e, um autômato híbrido é constituídopor um conjunto finito de variáveis reais X e por

237

das eleva ções do te rre no pela uni ão das regiõcsdefinidas por um conjunto de des igualdades deprimeir a ordem.

• Lineariza çâo da função de consumo específicode combustível. O consumo especí fico de com-bustível é funç ão não apenas da velocidad e de-senvolvida pela ae ronave, mas também de su amassa; esta decr esce ao longo da missão na me-did a em que o combustível ó ro nsumido . Duasabordagens pod em ser usad as para tra tar anão-linearidade resul t ante:

1. Ignorar a diminuição de massa. Es ta éuma abordagem conse rvadora e condu-zirá a um a sub-uti lizacão da. aeronave,visto que o consumo específico de com-bustível decresce com o tempo.

2. Ut. ilizar conversão de taxa [Ho95] e con-sid erar a mass a mínima de combustívelut.ilizada na etapa ante rior. Esta abo rda -gem produz resul t ad os mais pr ecisos IIS

cust.as de um passo ad icional de model a-gemo

• Operação da aeronave a alt. it udes compa rati-vament.e haixas (geralmente a menos de 500met.ros do nível do solo), caractcrfstica de apli-cações civis . A op eração a baixas altitudespermite desprezar a vari ação do consumo es-pecífico de combust.ível com a al titude c a 1Iê10-linearidade associada com esta variaçã o. Para.op er ações fora desta faixa, torna-se necessári ointroduzir correções similares às consideradasno ít em anterior.

4 Exemplo de Modelagem e Verificação deum Plano de Vôo

Nesta seção ser á apresentado um exemplo com oobjetivo de demonstrar a utilização de autômatoshíbridos para modelagem e verifi cação de plan os devôo para uma aeronave não-tripulad a de asas rota-tivas que encont ra-se atualmente em fase final dedesenvolvimento (figura 1) . Um tratam ento maisextenso do exemplo é aprese ntado em [Sei96].

4.1 Definição do problema

Neste exemplo serão modelados apenas o consumode combustível e a dinâmica da aeronave e verificar-se-á ap enas a condição de segurança asso ciada àquantidade de combustível , ou seja, se a quantidadeinicial de combustível é suficien te para a realizaçãodo vôo proposto .

Para ilustrar o procedimento de verific ação ,considere-se o plano de vôo representado na figura2 e que compreende cin co etapas:

Figura. 1: UAV usado par a exemplificação

1. decolagem e ascensão.' à al ti tude de 300 ni ;

2. v ôo à velocidade mais eficien te, V I" = 15 ui]«até' um ponto locali zado 7500 III a lest e do pon-t.o de lan çam ento ;

3. vôo pairado por um perí od o de 1500 s:

-I. re torno ao ponto de lauç atucnto à velocidark-máxima , ';" = 25 ui]«:

J. doseida iI volocid udc de 6 iu ]« e pouso.

r ". = I) . :1111 / ...;

WPo ::;:; WP ·I -+y7500

F igura 2: Pl ano de v ôo usado para exem plifica ção

o vôo é executado na pr esenç a de um ven-to lest e com intensid ade variá vel ent re O.. . 5 ui]«.Assumam-se consumos específicos de combustívolpara o vôo pairado e par a as veloc idades mais efi-ciente e máxima iguais a s" = 4 g/ s, S I" = 2 g/s cs.; = 3 g/s , res pec tivamente. A qu an tidad e inici alde combust ível a bordo da aero nave é 10 = 8500 g.

1Obse rva r qu e no sist ema de coo rdenadas de x t ró geno ut.i-lizad o , a lt itu des acima da superfície do globo t.errest.rc sãorepresentad as por valores negativos ao !0I1go do eixo z ,

23R

4.2 Modelagem por autômatos híbridos

O plano de vôo proposto pode ser modelado pordois autômatos híbridos. O primeiro autômato,mostrado na figura 3, mod ela a dinâmica da ae-ronave durante a execução da missão. O autômatoé const ruído somando-se vetorialmente as veloci-dades da aero nave e do vento para cada etapa doplan o de vôo.

yf

m ax s peed

Figur a 3: Modelagem da din âmica da aeronave

Cada lugar de cont role do autômato corr es-ponde a uma das etapas do plano de vôo. A locaçãoEO, por exemplo, descreve a et apa de deslocamentoà velocidade mais eficiente para lest e. As at ivida-des do lugar EO , i = Oe iJ = [15,20], descrevem avelocidade da aeronave durante est a et apa. O in-variante y :S 7500 garante a evolução do autômatotão logo a aeronave atinja o ponto de destino.

As tr ansições do autômato representam as mu-danças de etapas do plano de vôo da aeronave. Porexemplo, a transição que descreve a mudança daetapa de vôo para leste (EO) par a o vôo pairado(El) é gua rdada por um teste sobr e a posição daaeronave, y = 7500, e resulta na inicialização deum cronômetro, th := O, responsável pela tempo-rização da etapa de vôo pairado. A et iquet a desincronização haver tem a finalid ade de sincronizaro autômato modelador da dinâmica da aeronave eo autômato modelador do consumo de combust ível.

O segundo autômato, apresentado na figura4, mod ela o consumo de combustível da aeronave.Observe-se que este autômato indep ende do planode vôo a ser executado e portanto inclui locações

para regimes de operação não usados no plano devôo exemplificado.

Figura 4: Modelagem do consumo de combustível

4. 3 R esultados e comentários

Os autômatos descritos na seção anterior podemser analisados com o auxílio de uma ferramentade análise de sistemas híbridos como, por exemplo,HYTECH [HHWT95].

Com HyT ECH é possível computar post*(I),a região alcançável pelo autômato resultante dacomposição paralela dos autômatos modeladoresda dinâmica da aeronave e do consumo de com-bustível a partir da região inicial I, A regiãoI = (TAKEOFF.HOVER,x = 0 1\ Y = 01\ z = OI\j = 8500 1\ t = O) representa a aeronave emvôo pai rado na origem do sistema de coordenadasplano tangente no momento da decolagem.

A figura 5 mostra um dos resultados do côm-puto de post*(I) , a evolução do combustível, j , abordo da aer onave durante o vôo. Como o tempode vôo é det erminado pela intensidade variável dovento durante a missão , a massa de combustível re-sultante situa-se na região delimitada pelas curvasda figura .

Usando post*(I), é possível verificar se a mis-são pode ser execut ada. Para tanto, basta verificarse a intersecção da região alcançável a partir doestado inicial I com a região que desc reve um aci-dente por falta de combustível, (f = 01\ z < O) , é

239

vazia, ou seja, é preciso computar

Figura 5: Evolução do combustível

post*(I) n (f = 0/\ z < O)

[ACHH93] R. Alur, C. Courcoubetis, T. Henzin-ger, and P. Ho. Hybrid automata: Analgorithmic approach to the specifica-tion and verification of hybrid systems.In A. P. Ravn R. L. Grossman, A. Ne-rode and H. Rischel, editors, HybridSystems, volume 736 of Lecture Notesin Computer Science, pages 209-229.Springer Verlag, 1993.

[HHWT95] T. Henzinger, P. Ho, and H. Wong-Toi . A user guide to HyTECH. In TA-CAS 95: Tools and Algorithms for theConstruction and Analysis of Systems.Springer Verlag, 1995.

[H095] Pei-Hsin Ho. Automatic Analysis ofHybrid Systems. PhD thesis, CornellUniversity, Department of ComputerScience, 1995.

[NOSY93] X. Nicollin, A. Olivero, J. Sifakis, andS. Yovine. An approach to the descrip-tion and analysis ofhybrid systems. InA. P. Rávn R. L. Grossman, A. Ne-rode and H. Rischel, editors, HybridSystems, volume 736 of Lecture Notesin Computer Science, pages 149-178.Springer Verlag, 1993.

[Sei96] C. Seibel. Uma metodologia baseadaem autômatos híbridos para o plane-jamento de missões de aeronaves não-tripuladas. Exame de qualificação pa-ra doutorado, EELjUFSC, Dezembro1996.

Referências

[SF97] C. Seibeland J .M. Farines. Formalverification and dimensioning of flightplans for rotary-wing unmanned aerialvehicles. In Proceedings of the 24th An-nual Technical Symposium and Exhibi-tion, Baltimore, MD, June 1997. AUV-SI. To be published.

de requisitos de segurança pode ser formalmenteverificada, bem como planos de vôos parametriza-dos podem ser dimensionados de forma a satisfazerestes requisitos.

Encontra-se atualmente em desenvolvimentoum editor gráfico de planos de vôo baseado nosmecanismos de modelagem, verificação e dimensio-namento descritos neste artigo . Tal editor deverápermitir a criação de planos de vôo cuja exeqüibi-lidade pode ser garantida a priori.

Para o futuro próximo pensa-se na generaliza-ção desta ferramenta de modo a permitir o planeja-mento de missões de outros veículos assemelhados.

240? F1240? F7240? F8365? FF? 7890

pre" (f = 0/\ z < O) n IF?O /\

V F> 240 /\V F ? 990 /\V F ? 6990 /\V 8565.? F /\

5 ConclusõesAutômatos híbridos lineares podem ser usados pa-ra modelar aeronaves não-tripuladas, seus planosde vôo e seu ambiente operacional. A satisfação

Como o objetivo é evitar acidentes por esgo-tamente de combustível, a região de interesse é ocomplemento da região acima, ou seja F > 8565.

É possível ainda utilizar as facilidades deanálise paramétrica de HyTECH para encontrarqual o valor mínimo de combustível, F, necessáriopara garantir a exeqüibilidade da missão. Paratanto, é preciso computar a intersecção da regiãoinicial I = (TAKEOFF.HOVER, x = O /\ Y =0/\ z = O/\ f = F /\ t = O) com a região a partirda qual \0 estado (f = 0/\ z < O) é alcançável einstanciar F.

HyTECH mostra que a região não é vazia, oque significa que a exeqüibilidade do vôo não podeser garantida.

240