УДК 629.7.017.1
К ВОПРОСУ О КОНТРОЛЕ ОТКАЗОБЕЗОПАСНОСТИ ФУНКЦИОНАЛЬНЫХ СИСТЕМ ВОЗДУШНЫХ СУДОВ В ПРОЦЕССЕ ЭКСПЛУАТАЦИИ
С.А. КРОТОВ
Статья представлена доктором технических наук, профессором Смирновым Н.Н.
Рассматриваются аспекты надёжности и безопасности функционирования систем воздушных судов. Сделан обзор существующих методов определения перечня функциональных отказов систем. Приводятся основные процессы оценки безопасности функционирования систем и предпосылки к созданию концепции эксплуатационной модели отказобезопасности.
Ключевые слова: надежность, отказобезопасность, методы, анализ функциональных отказов.
В современных условиях эксплуатации воздушных судов при бурном росте пассажиропотока на рынке авиаперевозок актуальность обеспечения безопасности функционирования технических систем не требует доказательств. Процесс эксплуатации самолетов сопровождается изменениями характеристик надежности как планера, так и функциональных систем. Интенсивность этого изменения определяется большим числом факторов, многие из которых прямо связаны с авиакомпанией-эксплуатантом. Говоря об отказобезопасности систем, следует понимать, что это свойство технической системы при отказе некоторых её частей переходить в режим работы, не представляющий опасности для людей, окружающей среды или материальных ценностей, а также позволяющее безопасно завершить полет. Функциональные системы самолетов состоят из большого числа агрегатов и комплектующих изделий, имеющих частичное или полное резервирование. Их влияние на безопасность полетов весьма значительно. Вопросы резервирования и перехода системы в случае отказа к дублирующим агрегатам неизменно связаны с двумя главными аспектами - надёжностью агрегатов и анализом функциональных отказов, о которых в дальнейшем пойдет речь. Глубокий анализ опыта эксплуатации отечественных и зарубежных самолетов является одним из направлений по обеспечению требуемых характеристик надёжности и безопасности полета самолета. Такой анализ начал выполняться у нас и за рубежом в 60-70-х гг. Целью анализа являлось обеспечение на этапе проектирования характеристик надёжности и безопасности полета разрабатываемых воздушных судов. В дальнейшем появилось понимание, что такой анализ необходим для многих работ, выполняемых на всех этапах жизненного цикла ВС.
Надёжность самолетов гражданской авиации является непременным условием обеспечения безопасности полетов. Она обеспечивается разработчиком и изготовителем в соответствии с Нормами летной годности самолетов (НЛГС) [1]. В НЛГС выражены минимальные требования государства к надежности авиационной техники. Они определены в виде вероятности возникновения в течение 1 часа полета особых (неблагоприятных) ситуаций, вызванных отказами авиационной техники. В эксплуатационных подразделениях, в соответствии с отраслевыми документами, для контроля за надёжностью авиационной техники используются отличные от НЛГС показатели. Это, прежде всего, средняя наработка на отказ либо неисправность и К1000 -количество отказов на 1000 часов полета. Анализ динамики этих показателей, безусловно, обеспечивает возможность контроля надёжности авиационной техники и планирования мер по ее поддержанию. Так, в настоящее время существует методика управления надёжностью изделий функциональных систем [2]. Особенность данной методики заключается в том, что она позволяет гибко определять спектр управляющих воздействий для поддержания летной годности и экономичности эксплуатации в условиях использования действующего парка ВС. Мето-
дика рассматривает номенклатуру изделий функционирования систем (ФС), эксплуатируемых различными методами (до отработки ресурса, по состоянию), а также при корректировке этих методов эксплуатации. Предусмотрено рассмотрение двух групп изделий, отказы которых обуславливают летную годность (ЛГ) и обуславливают только экономичность эксплуатации. Методика позволяет выделить две категории авиакомпаний по принципу представления ими объема и состава информации (численность парка ВС, налет, номенклатура отказавших изделий). Предлагаемый алгоритм надёжности позволяет использовать следующие методы управления надёжностью: управление надёжностью изделий функциональных систем расчетно-статистическим методом, управление на основе анализа динамики безотказности изделий, а также статистическое регулирование надёжности изделий ФС. При этом средняя наработка на отказ и К1000 применительно к НЛГС являются косвенными оценками надёжности. Интегрирование гражданской авиации в международное авиационное сообщество сопряжено с гармонизацией отечественной нормативной базы ГА с нормами ИКАО и использованием рекомендуемых практик [3].
На сегодняшний день, в век информационных технологий, дали развитие различные программные продукты. Для создания высококачественных изделий авиационной техники (АТ) в условиях растущей конкуренции на рынке жизненно важно эффективно обеспечивать надёжность на протяжении всего жизненного цикла. Одним из важнейших средств обеспечения надёжности является система FRACAS (Failure Reporting, Analysis and Corrective Action System - система регистрации отказов, анализа и корректирующих действий), позволяющая постоянно выявлять, отслеживать и устранять причины отказов и неисправностей, возникающих на этапе производства и эксплуатации. Программные процессы системы FRACAS предоставляют дополнительные преимущества встроенных аналитических возможностей, позволяя организациям отслеживать основные показатели системы, включая частоту отказов, СВМО (среднее время между отказами), СВР (среднее время ремонта), доступность, стоимость, а также выполнять определяемые пользователями расчеты. Встроенные функции создания отчетов и построения графиков позволяют использовать полученные показатели для вычисления динамики развития по времени, серьезности и прочим параметрам. Кроме того, эффективность работы самой системы FRACAS можно отслеживать по степени общего улучшения показателей работы системы в результате ее применения. Абсолютное большинство иностранных авиационных предприятий используют системы FRACAS. Необходимость применения и преимущества таких систем являются очевидными.
Одним из методов, позволяющим на ранних этапах проектирования обеспечивать требуемый уровень надёжности и безопасности, является расчетно-аналитический метод прогнозирования всех возможных потенциальных отказов с оценкой частоты их появления, определением возможных последствий. Следует отметить, что исторически первым методом проведения анализа надёжности и безопасности был экспертный. Экспертный метод получения перечня функциональных отказов (ФО) сводится к следующей технологии. На основании имеющейся в распоряжении технической документации эксперт определяет перечень функций рассматриваемой системы. Для каждой функции эксперт устанавливает виды возможных их нарушений, которые образуют перечень исходных ФО. Затем также экспертно определяются причины установленных ФО. В качестве причин рассматриваются виды отказов элементов анализируемой системы. После выявления причин исходных ФО определяется возможность совместного возникновения двух и более исходных ФО и формируется результирующий перечень ФО. Для этого причины ФО желательно записывать в форме логического уравнения (булевой функции). Для определения вероятности ФО логические уравнения преобразуются в вероятностные. Описанный процесс является достаточно трудоемким и требует высокой квалификации экспертов.
Позже был предложен метод приведения [4; 5]. Главным отличием и достоинством метода приведения по сравнению с экспертным методом является то, что перечни функций и функциональных отказов системы однозначно определяются конструкцией системы, т.е. являются объ-
ективным свойством системы. В данном методе рассматриваются понятия функциональной системы, функции системы, функционального отказа. Для каждого агрегата системы определяется модель технического состояния (МТС). МТС агрегатов описывает нормальные входные и выходные сигналы агрегата (модель нормального функционирования) и нарушенные входные и выходные сигналы агрегата (модель нарушения функционирования). Модель нормального функционирования включает: элементы связи агрегата; входные и выходные сигналы; параметры входных и выходных сигналов; характерные значения параметров входных и выходных сигналов. Модель нарушенного функционирования дополнительно включает виды нарушений значений параметров входных и выходных сигналов и их причины. В качестве элементов связи рассматриваются все элементы агрегата, воспринимающие или передающие рассматриваемые для агрегата входные и выходные сигналы и воздействия. Параметры входных и выходных сигналов в рамках МТС классифицированы в соответствии со стандартными формализованными типами. Типы параметров агрегатов играют важную роль при определении полного перечня функциональных отказов системы.
В совокупности модели нормального и нарушенного функционирования образуют МТС. В рамках МТС каждый параметр входных и выходных сигналов, характерные значения параметров, а также виды их нарушений имеют стандартную модель. В качестве вида отказа агрегата рассматривается конкретное нарушение работоспособности агрегата в целом или его элементов.
Источником информации о видах отказов служат испытания и опыт эксплуатации агрегата и его аналогов. Возникновение вида отказа агрегата должно обязательно приводить к нарушению хотя бы одного выходного сигнала агрегата.
Полный перечень функциональных отказов системы однозначно определяется моделями состояний агрегатов системы, т.е. определяется перечнем агрегатов системы. Соединение агрегатов в системе не влияет на перечень исходных ФО системы, а определяет наличие общих причин возникновения исходных ФО и, следовательно, определяет наличие общих причин возникновения двух и более исходных ФО. Кроме того, от соединения агрегатов зависят последствия ФО для системы и самолета в целом.
На отечественном рынке хорошо представлен программный продукт для проведения анализа надёжности и безопасности полета самолета. Авторами метода приведения на основе вышеописанной теории был разработан программно-технологический комплекс (ПТК) ФАНАТ, который охватил многолетний методический и практический опыт АК им. С.В. Ильюшина. Данный комплекс включил в себя следующие отличительные свойства:
1. Ключевым понятием является модель функционирования каждого элемента анализируемой системы. Эта модель не зависит от использования элемента в конкретной конструкции и включает описание входных и выходных сигналов и их нарушений. Частью модели элемента являются и традиционные виды отказов.
2. С помощью моделей элементов и их соединений в конкретной конструкции моделируется анализируемая система в целом.
3. Нарушения функционирования системы алгоритмически связаны с нарушениями функционирования составляющих систему элементов.
Функционально система состоит из двух независимых частей: модуля единого каталога агрегатов (ЕКА) и модуля анализа функциональных отказов (АФО). Группы моделей объединяют модели по видам входных и выходных сигналов. Входные и выходные сигналы могут быть электрическими, механическими, гидравлическими, звуковыми, речевыми, видео, фото и т.д. Типы моделей объединяют модели по характеру преобразования входных сигналов в выходные. Рассматриваются следующие типы моделей:
- соединитель - входной сигнал без преобразования (или преобразованием пренебрегаем) передается на выход;
- переключатель - входной сигнал без преобразования (или преобразованием пренебрегаем) передается на выход при определенных условиях;
- преобразователь - в агрегате происходит любого вида преобразование входных сигналов в выходные. Для каждого типа модели определены стандартные типы входных и выходных сигналов (типы сигналов определяют назначение сигнала, например, управление, сигнализация, тест и т.д.). Модели одной группы и одного типа отличаются количеством входных и выходных сигналов одного типа. Таким образом, МТС содержит следующие атрибуты:
1. Количество входных и выходных сигналов каждого вида и типа.
2. Параметры каждого сигнала.
3. Возможные характерные значения параметров.
4. Возможные типовые нарушения значений параметров входных и выходных сигналов.
5. Возможные виды отказов агрегатов и диапазон значений их интенсивностей.
6. Причины нарушений параметров выходных сигналов. В качестве причин рассматриваются виды отказов и нарушения параметров входных сигналов.
Порядок проведения АФО излагается исходя из предположения, что единый каталог агрегатов сформирован, т.е. для каждого комплектующего изделия (КИ) определена его модель технического состояния. При проведении АФО формируются:
1. Перечни функциональных систем (в дальнейшем - «систем») ВС.
2. Спецификации систем ВС.
3. Каталоги систем ВС.
4. Перечни выходных агрегатов систем ВС.
5. Перечни функциональных отказов ВС.
6. Анализ взаимовлияния систем.
7. Анализ взаимосвязи систем.
Программа имеет несколько основных модулей. Дополнительно каждый из модулей имеет свои функции и свои атрибуты. Так, например, для модуля "АФО" выделяются следующие функции:
1. Определение полного перечня функциональных отказов систем изделия с учетом объединений и сочетаний ФО, этапов и режимов полета, режимов работы системы.
2. Определение информации, предоставляемой экипажу о ФО.
3. Определение последствий ФО.
4. Определение действий экипажа.
5. Определение логического уравнения ФО.
6. Определение вероятности возникновения ФО.
7. Определение степени опасности ФО.
Благодаря вышеописанным действиям программный комплекс позволяет формировать доказательную документацию по отказобезопасности в соответствии с рядом отечественных и зарубежных авиационных правил. Стоит отметить, что для обеспечения соответствия нового самолета гражданской авиации требованиям по надежности и отказобезопасности необходимо проводить анализ безопасности систем и оборудования воздушного судна на всех этапах жизненного цикла. Процесс анализа и методы оценки безопасности систем и оборудования ВС определяются руководством Р4761 (ARP4761) [6].
К основным процессам оценки безопасности относятся:
• Оценка функциональных опасностей — ОФО (Functional Hazard Assessment — FHA). В ходе FHA рассматриваются функции ВС и его систем с целью определения их возможных отказов, а также проводится классификация опасностей, связанных с ними отказных состояний.
• Предварительная оценка безопасности системы (Preliminary System Safety Assessment -PSSA). Результаты FHA используются как исходные данные для проведения PSSA, в ходе которой устанавливаются конкретные требования к безопасности системы и составляющих ее изделий, а также дается первоначальное подтверждение того, что предполагаемая архитектура
системы сможет удовлетворить эти требования. Предварительная оценка безопасности уточняется в процессе проектирования системы.
PSSA может выполняться в форме:
> анализа дерева неисправности (FTA);
> анализа логической схемы (DD);
> марковского анализа (МА).
• Оценка безопасности систем (System Safety Assessment - SSA). В ходе SSA собираются, анализируются и документируются доказательства того, что реализованная система удовлетворяет количественным и качественным требованиям безопасности, установленным в процессах FHA и PSSA. SSA объединяет результаты различных анализов для проверки безопасности системы в целом с учетом охвата всех конкретных особенностей обеспечения безопасности, определенных в PSSA. Процесс документирования SSA при необходимости включает доказательства и результаты уместных анализов.
• Анализ общих причин отказов (Common Cause Analysis - CCA). Для удовлетворения требований по безопасности может потребоваться обеспечение независимости между функциями, системами или оборудованием комплекса бортового оборудования (КБО). Следовательно, требуются гарантии, что такая независимость существует, или, что риск, связанный с наличием зависимости, считается приемлемым. Анализ CCA предлагает методы для проверки такой независимости и/или для выявления конкретных зависимостей. В ходе анализа CCA устанавливаются и оцениваются требования по физическому и функциональному разделению и изоляции комплектующих КБО, а также проверяется, как эти требования выполняются.
Из вышеизложенного следует, что вопросам отказобезопасности функциональных систем основное внимание уделяется на этапах проектирования и сертификации. Однако стоит понимать, что в процессе эксплуатации самолет попадает под воздействие множества факторов авиационно-транспортной системы (АТС). В связи с этим необходимо развить и выделить эксплуатационный контроль отказобезопасности. Такой контроль необходимо осуществлять на уровне агрегата, функциональной системы и самолета в целом [5]. Для этого необходимы:
- организация сбора данных о факторах опасности и риска, создающих угрозу безопасности полетов;
- оценка эксплуатационной надёжности агрегатов и систем с учетом наработки (летные часы, посадки, срок службы) парка и отдельного самолета;
- информация об отказах и неисправностях авиационной техники по парку самолетов данного типа;
- анализ инцидентов с самолетом в эксплуатации с учетом наработки парка и отдельного самолета;
- информация о времени и сроках выполнения форм ТО в привязке к каждому самолету, а также календарные сроки выполнения доработок по бюллетеням для каждого борта;
- разработка структуры и методов оценки технического состояния систем самолета при различных видах подготовки самолета к полетам.
Вышеперечисленные компоненты необходимо заложить в концепцию эксплуатационной модели отказобезопасности.
В том числе не стоит забывать про человеческий фактор. Отказобезопасность системы неизменно связана с состояниями самой системы и переходами между этими состояниями. Выявление признаков перехода системы ложится на летный и инженерно-технический состав. При этом стоит понимать, что если экипаж имеет дело с отказом j-й системы в целом, то техник контролирует состояние каждого i-го элемента (агрегата) этой системы. Таким образом, появляется необходимость расчета вероятности невыявления инженерно-техническим составом функционального отказа i-го элемента j-й ФС, т.е. вероятность ошибочной оценки инженерно-техническим составом состояния i-го элемента j-й ФС. В рамках АТС необходимо разработать
модель "ФС - ИТС - анализ состояния ФС". В случае успешной реализации вышеупомянутых критериев возможно рассмотрение использования концепции эксплуатационной модели отказобезопасности в рамках системы управления безопасностью полетов эксплуатанта.
ЛИТЕРАТУРА
1. АП-25. Авиационные правила // Нормы летной годности. - М.: Межгос. авиац. комитет, 1989.
2. Методика управления надёжностью изделий функциональных систем с целью поддержания уровня летной годности и экономичности эксплуатации ВС. - М.: ГосНИИ ГА, 2005.
3. Руководство по летной годности // Организация и процедуры. Doc. 9760. ICAO.
4. Метод приведения - метод определения полного перечня функциональных отказов технической системы // По материалам Второго Международного семинара по АНИ.
5. Новожилов Г.В., Неймарк М.С., Цесарский Л.Г. Безопасность полета самолета // Концепция и технология. - М.: Машиностроение, 2003.
6. Руководство по методам оценки безопасности систем и бортового оборудования воздушных судов гражданской авиации: Руководство Р-4761. АР МАК, 2010.
ON AIRCRAFT FUNCTIONAL SYSTEMS FAIL SAFE FEATURES INSPECTION DURING OPERATION
Krotov S.A.
Aircraft functional systems reliability and safe operation aspects are considered in the paper. Represented the review of methods of systems functional failures list definition. Describes the basic system safety assessment processes and approaches to operation fail safe model conception.
Key words: reliability, fail safe feature, method, functional failure analysis.
Сведения об авторе
Кротов Станислав Александрович, 1989 г.р., окончил МГТУ ГА (2011), инженер ЗАО "ПП Взлет", область научных интересов - эксплуатация воздушного транспорта, поддержание летной годности воздушных судов.