Диссертация (785901), страница 40
Текст из файла (страница 40)
При этомлюбой отказ в аппаратной и программной части БУКов, включая отказы по общейпричине, будет обнаружен, отказавший БУК (или БУКи одного типа) будетотключен и управление будет передано другому БУКу (или БУКам другого типа).Потери функций управления не происходит.Вопросы обеспечения отказобезопасности СДУ и эффективной работысистемы контроля играют важнейшую роль на этапе отработки элементов СДУ настендах, при интеграции и отработке всего комплекса бортового оборудования настендах «железная/электронная птица» и особенно при летных испытаниях.Поскольку алгоритмы и аппаратура СДУ на первом вылете и начальном этапелетных испытаний являются «сырыми», то они дорабатываются в процесселетных испытаний. При этом система контроля также является недоработанной,что приводит к ошибкам в ее функционировании, т.
е. ложным срабатываниям инесрабатываниям.Система контроля с алгоритмами и параметрами, выбранными порезультатам математического моделирования и стендовой отработки с модельнымиусловиями работы аппаратуры, может оказаться очень жесткой для условийреальных полетов (внешний эллипс на рис. П2.4, что приводит к большому числуложных срабатываний системы контроля СДУ на этапе наземных и летныхиспытаний, т. е. к частым переходам на резервную систему. Это может быть такжеследствием того, что разработчик больше опасается несрабатывания системыконтроля ввиду классификации этой особой ситуации как катастрофической. Влюбомслучае,надежныйрезервныйконтурСДУявляетсясовершеннонеобходимым, поскольку в силу большого числа ложных срабатываний системыконтроля основной системы на этапе наземных и летных испытаний, резервнаясистема приобретает роль основной.
То же самое можно сказать о резервнойэлектродистанционной системе. При отсутствии достаточного опыта при отработке307дистанционной резервной системы совершенно необходима установка резервногомеханического контура. В процессе наземных и летных испытаний системаконтроля и алгоритмы СДУ доводятся до кондиционного состояния, так чтобыобласть отказов и область срабатываний системы контроля были близки(рис. П2.4), что является весьма трудоемким и дорогостоящим процессом. Однойиз задач, поставленной при разработке самолета А350, было значительноеснижение трудоемкости отработки СДУ на этапе летных испытаний и уменьшениеколичества промежуточных версий программного обеспечения СДУ с цельюсокращения времени и стоимости разработки СДУ и самолета в целом.Оценка надежности системы управления.
Для оценки количественныххарактеристик надежности системы управления, согласно рекомендациямдокумента SAE ARP-4761 – руководства по методам оценки безопасности системи бортового оборудования самолетов гражданской авиации, могут бытьиспользованы следующие методы:− анализ дерева отказов (Fault Tree Analysis – FTA);− анализ логических схем (Dependency Diagram – DD);− метод цепей Маркова (Markov Analysis – MA).Анализ дерева отказов – это дедуктивный анализ отказной ситуации, прикотором основное внимание сосредотачивается на одном нежелательном событииверхнего уровня (корень дерева) и на определении причин, приводящих к этомусобытию, которые являются событиями более низкого уровня, т.
е. ветвямидерева. Построение заканчивается определением терминальных событий (листьядерева)–совокупностиотказовотдельныхэлементов,приводящихканализируемому событию. Главным достоинством данного метода являетсяграфическое представление дерева отказов, которое делает результаты анализанадежности и безопасности наглядными и понятными как для разработчиковсистем, так и для авиационных властей. Для системы управления рулем высотыпример дерева отказов (без механических отказов типа рассоединения изаклинения) приведен на рис.
П2.5. Как правило, после каждого ключевогособытия на дереве отказов приводят значение вероятности этого события, для308того чтобы можно было верифицировать результаты расчетов надежности, т. е.проверить правильность вычислений.Рисунок П2.5 – Пример дерева отказов для системы управления рулем высоты309Анализлогическихсхем(илидиаграммзависимости)являетсяальтернативным методом представления результатов анализа надежности ибезопасности(рис. П2.6).Онобеспечиваетальтернативноеграфическоепредставление комбинаций отказов для проведения вероятностных расчетов. Приэтомкаждаялогическаясхема представляет собойотказноесостояние(нежелательное событие) верхнего уровня.
Она строится с использованиемпрямоугольных блоков, которые представляют собой отказные события нижнегоуровня, совокупность которых приводит к анализируемому событию верхнегоуровня. Эти прямоугольники располагаются параллельно, что соответствуетлогическому «И», или последовательно, что соответствует логическому «ИЛИ».Рисунок П2.6 – Пример диаграммы зависимости для системы управленияруля высотыМетоды дерева отказов и логических схем по сути одинаковы, т.
е. этопредставление события верхнего уровня в виде совокупности событий болеенизких уровней, связанных логическими соотношениями «И» и «ИЛИ», нографическое представление результатов разное. С помощью этих методоврассчитывается основная часть характеристик надежности – вероятность полнойпотери системы управления или какой-либо ее функции за полет и на час полета.Метод цепей Маркова является гораздо более сложным и мощнымматематическим методом исследования надежности и безопасности.
Согласноосновным положениям теории цепей Маркова, система может находиться в одном310из своих многочисленных состояний i = 1,..,N с вероятностями P1,…PN. Данныевероятности описываются по времени и описываются дифференциальнымиdPi fi ( P1,...PN , t ),dtили разностными уравнениями:Pi (n 1) fi ( P1(n),...PN (n), n).Задав начальные условия и интегрируя уравнения по полету, можноопределить вероятность появления того или иного отказного состояния системы кконцу полета или этапа полета.Методы цепей Маркова применяются в тех случаях, когда методы дереваотказов или логических схем неприменимы.
Это может быть в случае, когдаважна последовательность отказов, т. е. когда одни и те же отказы, происходящиев разной последовательности, приводят к разным состояниям системы. ТакжецепиМарковавосстановления,принимаетсявоприменяются,т. е.еслиучитываютсявниманиеработавсистемепроисходятпроцедурыперезапускаалгоритмовконтроляпроцессыподсистем,свременемподтверждения, анализируются процедуры технического обслуживания. Примериспользования цепей Маркова для вероятностного анализа алгоритмов контроля сиспользованием времени подтверждения приведен в главе 5.В настоящее время существуют развитые сертифицированные программныепакеты для расчета надежности, которые позволяют строить деревья отказов ипроизводить вычисления для систем управления, включающих достаточнобольшое количество элементов, связанных логическими отношениями.Проблемой расчетов надежности является комбинаторный рост требуемыхвычислительных ресурсов при увеличении размерности задачи.
Это приводит, вчастности, к тому, что деревья отказов становятся чрезвычайно громоздкими итеряют наглядность. Для количественных расчетов можно пользоваться другимиметодами.Один из методов расчета надежности, реализованный в программномобеспечении RelCal (Reliability Calculation), приведен на рис. П2.7.
В его основуположен следующий подход. Пусть в системе управления имеется N терминальных311элементов, т. е. состояние каждого из них не зависит от состояния другихэлементов. Состояние может быть либо 1 – исправность, либо 0 – отказ.Наступление отказа происходит с интенсивностью i, i = 1,…,N. Кроме того, всистеме существует множество элементов, состояния которых определяютсясостоянием терминальных элементов и для описания которых используютсялогические отношения. Также имеются выходные сигналы, значения которыхопределяют наступление или отсутствие анализируемых событий.Рисунок П2.7 – Расчет надежности с помощью дискретного метода Монте-КарлоОчевидно, что количество состояний всей системы – 2N, что для большогочисла элементов в системе (~ 50-60) приводит к значительному объемувычислений при расчете надежности.
Однако можно значительно сократитьобъем вычислений, приняв во внимание ряд соображений. События, вероятностькоторых ниже 10–14–10–15 можно исключить из рассмотрения. В силу этого нетсмысла рассматривать события, возникающие при совокупности 4-5 отказов иболее, поскольку такие события имеют вероятность ~ 10–16 и ниже.
Поэтомуможно анализированть не 2N вариантов, а CN3 CN4 , что значительно меньше.312После перебора CN3 CN4 вариантов, те М сочетаний отказов, которые приводят кнаступлению анализируемых событий, образуют множество отказов: i11, i21 ,..., i1N ; i12 , i22 ,..., iN2 ;..., i1M , i2M ,..., iNM .Это множество запоминается и используется затем для выполненияколичественных расчетов и построения дерева отказов. В частности, длявычисления вероятности события, которое наступает в результате множестваотказов , справедливо выражение:P() MN| (inm nTn ) |,m 1n 1inm .Именно такой принцип заложен в системе RelCal.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
