Диссертация (785901), страница 38

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 38)

Так, в пунктах 4.8-4.10 АП-25 [14]требуется, чтобы Руководство по летной эксплуатации содержало рекомендации,позволяющие экипажу принять все возможные меры для предотвращенияразвития особой ситуации по негативному сценарию. Эти меры должны бытьподтверждены результатами моделирования на пилотажном стенде, результатамирасчетных исследований и, по возможности, проверены в летных испытаниях.В разделе «Оборудование, системы и установки» присутствует важныйпункт, который определяет требования к построению системы и ее функциям дляобеспечения выполнения вышеперечисленных норм АП-25.29325.1309 Оборудование, системы и установки.(a)Оборудование,системыиустановки,назначениекоторыхсоответствует требованиям настоящих Норм, должны быть сконструированытаким образом, чтобы обеспечить надежное выполнение ими намеченныхфункций во всех ожидаемых условиях эксплуатации.(b)Системы самолета и связанные с ними элементы, рассматриваемыеотдельно и в сочетании с другими системами, должны быть спроектированытаким образом, чтобы:(1) Возникновение любых отказных состояний, которые могли бывоспрепятствовать безопасному продолжению полета и посадкесамолета, было бы практически невероятным, и(2) Возникновение любых других отказных состояний, которые могли быуменьшить способность самолета или возможность экипажасправляться с неблагоприятными условиями эксплуатации, было быредким (невероятным).(c)Должна быть предусмотрена предупреждающая сигнализация,которая бы информировала экипаж об опасных условиях работы систем ипозволяла ему предпринять соответствующие меры для исправления положения.Системы, органы управления и соответствующие устройства контроля исигнализации должны иметь такую конструкцию, чтобы свести к минимумуошибки экипажа, способные привести к дополнительным опасностям.(d)Соответствие требованиям пункта (b) данного параграфа должнобыть показано анализом, а там, где это необходимо, - соответствующиминаземными и летными испытаниями или испытаниями на моделирующейустановке.

При анализе должны быть рассмотрены:(1) Возможные виды отказа, в том числе неправильные срабатывания иповреждения от внешних источников;(2) Вероятность множественных отказов и скрытых отказов;(3) Результирующее воздействие на самолет и лиц, находящихся на егоборту, с учетом режима полета и эксплуатационных условий, и294(4) Предупреждения экипажу, необходимые действия по исправлениюположения и возможность обнаружения отказов.В настоящее время действуют руководства по разработке и сертификациисложных бортовых систем и оценке их безопасности и надежности, позволяющиеобеспечить выполнение требований пункта 25.1309 [17-22].Соответствие указанным требованиям АП-25 должно доказываться путеманализа и расчета вероятностей возможных видов отказов функциональныхсистем и оценки влияния этих видов отказов на безопасность полета самолета.Такая оценка должна проводиться для каждой системы и во взаимосвязи сдругими системами и (при необходимости) подкрепляться наземными и(или)летными испытаниями, испытаниями на пилотажном стенде или другими видамистендовых испытаний, расчетами или моделированием.Анализ должен включать возможные виды отказов (в том числе сочетаниявидов отказов в различных системах), оценку вероятностей этих видов отказов,последствия для самолета и находящихся на борту людей с учетом этапа полета,условийэксплуатацииивнезапностидляэкипажавозникновениясоответствующего отказного состояния, требуемые действия по парированию,возможностьобнаруженияотказа,процедурыконтролясостоянияиобслуживания самолета.

Разработчик самолета может по своему усмотрениюужесточить требования по надежности. Кроме вероятностных требований навозникновение той или иной особой ситуации разработчик самолета вправевключить в техническое задание на систему управления требования сохраненияработоспособности после отказов различной природы.Помимотребованийвероятностногохарактера,регламентируемыхАвиационными правилами, существуют эксплуатационные требования, которыеопределяютчастотутехническогообслуживания.Очевидно,чтосделаврезервирование избыточным, можно добиться высоких значений надежности (покрайней мере, формально). Однако в системе с переразмеренным уровнемрезервированиячастотавыходаизстрояотдельныхэлементов,т. е.неисправности системы, будет очень высокой.

Данные события характеризуютсятакими характеристиками, как наработка на неисправность (Mean Time Before295Failure – MTBF) и наработка до замены до запланированных регламентных работ(Mean Time Before Unscheduled Replace – MTBUR). Кроме того, типичнымиявляются требования к ресурсу и сроку службы системы управления самолета.Пример таких требований приведен ниже:«Система управления самолетом должна иметь следующие ресурсыагрегатов и блоков:–ресурс: 70000 летных часов,–60000 взлето-посадок,–срок службы: 25 лет,–cредняя наработка на отказ (MTBF): не менее 1250 летных часов сцелью последующего доведения до 1700 летных часов к концу третьего годаэксплуатации».С другой стороны, использование избыточного резервирования приводит ктому, что даже при наличии одного или нескольких отказов (это касается, преждевсего, информационно-вычислительной части) надежность системы оказываетсядостаточной для того, чтобы разрешить вылет и продолжать эксплуатациюсамолета.

Это позволяет снизить расходы на техническое обслуживание самолета,что в свою очередь снижает прямые эксплуатационные расходы. В идеаленеобходимо строить систему управления таким образом, чтобы ремонт и заменаотказавших элементов производились только во время запланированныхрегламентных работ, периодичность которых также имеет тенденцию кувеличению. В настоящее время требование продолжения эксплуатации самолетаприналичииотказовстановитсяопределяющимпривыбореуровнярезервирования системы управления вместо требований по вероятности полногоили частичного отказа. Например, самолет Boeing 777 имеет три вычислителяосновного управления PFC, каждый из которых содержит три канала,разнородных по аппаратной и программной частям. Таким образом, в системеимеется девять вычислителей трех типов и три версии программногообеспечения.

Даже при наличии одной программной ошибки и двух-трех отказоваппаратурынадежностьсистемыостаетсядостаточнойдлябезопаснойэксплуатации. Допустимость вылета с наличием тех или иных отказов296определяется перечнем минимального оборудования, с которым разрешен вылет(Minimum Equipment List – MEL). Составление этого перечня является достаточноважной и трудоемкой работой на ранних стадиях разработки системы управления.Определяющимдляобоснованиятребованийявляетсявероятностьнарушения расписания в зависимости от продолжительности эксплуатации безтехнического обслуживания, что особенно важно для военно-транспортныхсамолетов.

В качестве примеров таких требований можно привести следующие:«Наработка на отказ, приводящий к невыполнению типового полетногозадания, должна быть не менее 600 часов»;«Вероятность функционального отказа системы управления самолетом,приводящего к задержке вылета по расписанию более 15 мин, должна быть неболее 3,0 10–4».Чрезвычайно важными и тесно связанными с требованиями к надежностисистемы управления являются требования к системе контроля, посколькурезервирование оказывает влияние на надежность системы лишь в том случае,если обеспечивается обнаружение, локализация и изоляция отказа.

Главную рольздесь играют требования к глубине контроля, вероятности ложного срабатыванияи несрабатывания системы контроля. В частности, примеры требований к системеконтроля приведены ниже.Пример 1.«1. Любой единичный отказ или комбинация отказов СДУ, которые нельзяотнести к событиям практически невероятным, должны автоматическиобнаруживаться и нейтрализоваться до того, как они окажут неприемлемоевлияние на устойчивость, управляемость, балансировку, траекторию полета илиугловое положение самолета. Изменение параметров движения самолета при всехотказах должно соответствовать требованиям сертификационного базиса.2.

Вероятность возникновения скрытого отказа или комбинации отказовСДУ, приводящих к КАТАСТРОФИЧЕСКОЙ ситуации, не должна превышать10–10 за один час полета и должна обеспечиваться резервированием оборудованияСДУ и устройств встроенного контроля».297Пример 2.«ТРЕБОВАНИЯ ПО КОНТРОЛЕПРИГОДНОСТИ.1. Работоспособностьсистемыуправления(FCS)должнаконтролироваться бортовыми автоматизированными средствами контроля ииметь в своем составе систему встроенного контроля (BITE) по ARINC-604.2. Должна обеспечиваться возможность выполнения следующих видовавтоматизированного контроля FCS:− контроль работоспособности при подготовке к полету;− контроль работоспособности системы в полете;− контроль при выполнении регламентных работ на формах техническогообслуживания (ТО);3. Контроль работоспособности FCS в полете и на земле долженосуществляться с помощью встроенных средств контроля с выдачей информацииэкипажу о наличии отказа, а при техническом обслуживании – обеспечиватьлокализацию места отказа с глубиной до конструктивно-сменной единицы дляпоследующей замены с целью восстановления работоспособности FCS.4.

Полетный контроль должен включаться автоматически после подачиэлектропитания на FCS и выполняться постоянно, если не задействованы другиевиды контроля.5. Полнота контроля функциональных отказов, препятствующих вылету иприводящих к ОС в полете, должна быть 1,0. Полнота контроля всех отказов спомощью встроенных средств контроля должна быть не менее 0,98. Глубинапоиска места отказа должна быть до уровня конструктивно-съемного элемента(LRU) с вероятностью не менее 0,99.6. Уровень достоверности контроля должен соответствовать следующимтребованиям:− вероятностьложногоотключениясредствамиВСКисправногооборудования СДУ в полете и при оперативных видах техническогообслуживания не должна превышать 0,01 от вероятности появленияотказов в системе;298− вероятность необнаружения отказа оборудования FCS в полете и наоперативных видах технического обслуживания должна быть не более10–10 на один час полета;7.

Встроенные средства контроля FCS должны:− формировать и выдавать информацию о результатах контроля дляформирования кадра состояния системы, а также для документированияинформации об отказах;− обеспечивать выявление отказов системы, в том числе пассивных, во всемдиапазоне режимов полета.При формировании требований к системе контроля следует помнить, чтоподтверждение заявленных требований является большой проблемой, особенноесли это связано с количественными показателями вероятности или показателямиполноты контроля.

Характеристики

Список файлов диссертации