ОПРЕДЕЛЕНИЕ СТЕПЕНИ ОПАСНОСТИ ФУНКЦИОНАЛЬНЫХ ОТКАЗОВ. МЕТОД "ДОСТРАИВАНИЯ СОБЫТИЙ"
При определении последствий ФО необходимо исходить из того, что при этом определяются параметры модели отказобезопасности самолета. Из этого следует, что цель любых исследований по определению последствий ФО должна определяться моделью отказобезопасности, т. е. анализом. Классификация по степени опасности ситуаций, которые могут возникнуть из-за ФО, занимает важное место при разработке функциональных систем самолета и при создании сертификационной доказательной документации о соответствии разработанного самолета требованиям норм летной годности в отношении отказобезопасности.
В настоящее время классификация по степени опасности ситуаций, вызванных ФО, происходит на основании опыта эксплуатации предшествующего парка самолетов экспертной оценкой по следующей общей схеме. Группа специалистов различного профиля рассматривает все материалы, относящиеся к оцениваемому ФО, и после всестороннего анализа и обсуждения его возможных последствий выносит свое определение степени опасности ситуации. В группу экспертов входят высококвалифицированные специалисты по надежности, аэродинамике, динамики полета, прочности, создатели конструкций функциональных систем. Материалы, рассматриваемые группой экспертов, в общем случае включают расчеты (динамики движения самолета на земле и в воздухе, прочности отдельных агрегатов и узлов, аэродинамических характеристик, характеристик надежности и т. д.), результаты моделирования, стендовых, летных испытаний, а также летную оценку последствий имитируемых отказов с точки зрения своевременного их обнаружения и возможности парирования или локализации.
Вся работа проводится с учетом опыта расследования инцидентов и летных происшествий как отечественной, так и зарубежной авиатехники.
В зависимости от вида ФО при анализе материалов учитываются такие факторы, как параметры возмущенного движения самолета, характеристики устойчивости и управляемости, величины и скорости изменения температур, давление в гермокабине и т. д., а также наличие и характер информации об отказе (стрелочные указатели, световые табло, средства электронной индикации, речевая и звуковая информация), наличие и эффективность средств парирования отказа, располагаемое время. Для систем, не имеющих непосредственного "выхода на самолет", например, систем электроснабжения и гидравлики, сначала определялись потребители энергии, выходящие из строя при данном ФО системы, а затем устанавливались его последствия для самолета в целом.
Конкретный состав специалистов в группе экспертов определяется в зависимости от вида ФО системы и его возможных последствий, а конкретный характер и объем рассматриваемых материалов зависит от этапа создания самолета.
Изложенная схема определения степени опасности ситуаций, вызываемых ФО, обладает рядом недостатков. Прежде всего, для этого необходима высокая квалификация и большой опыт экспертов именно в данной специфичной области инженерных знаний. Здесь недостаточно только глубоких знаний специалистов в области аэродинамики, динамики полета, прочности, необходимо уметь рассматривать проблему с позиции методов и практики отказобезопасности, на которых основаны общие требования к летной годности самолета. При этом эксперты в своих оценках неизбежно руководствуются своим собственным опытом. Поэтому в условиях отсутствия строгой методики оценки степени опасности результат часто отражает субъективный подход эксперта. Все это приводит к необходимости поставить на объективную основу работу по оценке степени опасности ФО. В методическое и практическое решение этой проблемы большой вклад внесли В. И. Бочаров, В. М. Бакаев, В. А. Полтавец, И. К. Мулкиджанов, Р. А. Теймуразов, А. Г. Круглов, М. И. Мазурский, Г. А. Меерович, С. П. Великанов, С. Н. Чуркин, М. М. Павлов и другие специалисты.
Один из подходов изучения степени опасности ситуаций заключался в использовании определенных значений некоторых параметров движения самолета ("критериальный подход") в качестве критериев возникновения особых ситуаций [3]. Недостаточная эффективность этого подхода заключается в том, что он не соответствует идеям, заложенным в понятие "степень опасности особой ситуации", который зависит от "степени удаленности" возникшей ситуации от катастрофы. Анализ показывает, что в общем случае достижение того или иного значения параметра само по себе не определяет степень опасности, хотя для отдельных ФО с определенными допущениями можно использовать критериальный подход (правда, только для оценки катастрофической ситуации).
Более продуктивной представляется идея использования в качестве критерия степени опасности условной вероятности перехода рассматриваемой ситуации в катастрофическую (метод "коэффициентов опасности") [4]. При этом искомые вероятности ("коэффициенты опасности") должны определяться статистическим путем по материалам эксплуатации или с помощью имитационного моделирования. Методические проблемы, трудоемкость и затраты, связанные с этой работой, очень велики. При этом полученные результаты могут быть использованы только для данного типа самолета и для рассмотренных ФО, для каждого нового самолета и других ФО работу пришлось бы практически полностью повторять. Реализовать этот подход в условиях реального проектирования крайне трудно.
Метод оценки степени опасности ситуации (не обязательно из-за ФО), который назовем методом "достраивания событий", заключается в том, что рассматриваются всевозможные пути перехода из рассматриваемого состояния, например возникшего в результате ФО, в состояние, признанное катастрофическим событием. Другими словами исходное событие нужно "достроить" до получения какого-либо катастрофического события. Процесс достраивания заключается в том, что к исходному событию (здесь мы будем говорить о ФО) добавляются определенные события. Добавление событий проводится до возникновения катастрофической ситуации. Дополнительные события выбираются из следующих множеств событий:
• функциональных отказов (обозначим Ф) систем самолета (без рассматриваемого ФО);
• возможных значений параметров ОУЭ (обозначим У);
• возможных ошибочных действий экипажа по выполению предписанных функций (обозначим Э).
Могут быть рассмотрены и другие множества событий, влияющих на возникновение особых ситуаций, например ошибочные действия службы управления воздушным движением (УВД), ошибочные действия наземного персонала при выполнении ТО.
Метод достраивания событий базируется на следующих основных положениях.
• Степень опасности ФО определяется возможностью развития катастрофической ситуации.
• Катастрофа определяется возникновением определенных событий, ("катастрофические события"), связанных с состоянием самолета и его систем. Множество этих событий является ограниченным и может быть определено заранее, независимо от типа самолета.
• Множества ФО систем самолета, возможных ошибочных действий экипажа, службы УВД, наземного персонала, множества возможных значений параметров ОУЭ являются конечными и могут быть определены полные перечни этих событий.
Процесс "достраивания" можно выразить в виде логического уравнения:
Ф„пХпу = Kj, (4.3)
где Фп — событие рассматриваемого ФО; К-. — катастрофическое событие j из множества К катастрофических событий; Хпу — цепь событий і (сочетание дополнительных событий), "достраивающая" событие Фп до события Кр
Хну = ФгіцП УпуПЭиу, (4.4)
где Фпу, Упу, Эпу — события из множеств Ф, У, Э соответственно, т. е. ФО или их сочетания, значения параметров ОУЭ, ошибки экипажа, которые совместно с Фп приводят к Кпу. Аналогично могут быть учтены ошибки службы УВД, ошибки при наземном ТО и др. Для полноты охвата всех возможных вариантов введем фиктивные события 0 и 1. Если событие Ку непосредственно получается из Фп без добавления событий из множеств Ф, У, Э, то Xriy = 1. Если к получению события Kj из Фп не приводит ни одно из событий множеств Ф, У, Э, то Xriy — 0. Степень опасности ФО определяется значением вероятности события Хпу, т. е. величиной Р(Хпу), которая определяется выражением
Р(Хп.) = Р{Фщ)Р{Ущ)Р{Эщ). (4.5)
При этом Р(Хпу) = 1 при Хпу — 1 и Р(Хпу) = 0 при Хпу = 0.
Нормами летной годности установлены следующие допустимые вероятности возникновения ФО, приводящих к особым ситуациям:
![Подпись:](/img/1313/image022_4.gif "ОПРЕДЕЛЕНИЕ СТЕПЕНИ ОПАСНОСТИ ФУНКЦИОНАЛЬНЫХ ОТКАЗОВ. МЕТОД "ДОСТРАИВАНИЯ СОБЫТИЙ&quot")
![Подпись:](/img/1313/image023_3.gif "ОПРЕДЕЛЕНИЕ СТЕПЕНИ ОПАСНОСТИ ФУНКЦИОНАЛЬНЫХ ОТКАЗОВ. МЕТОД "ДОСТРАИВАНИЯ СОБЫТИЙ&quot"){kind=small}
КС — практически невероятное событие АС — крайне маловероятное событие..
СС — маловероятное событие…………….
УПП — менее, чем частое событие……..
Отсюда следуют рекомендации по нормированию величины Р(Хпу). Катастрофическая ситуация (КС) — это особая ситуация, для которой принимается, что при ее возникновении предотвращение гибели людей оказывается практически невозможным.
![ОПРЕДЕЛЕНИЕ СТЕПЕНИ ОПАСНОСТИ ФУНКЦИОНАЛЬНЫХ ОТКАЗОВ. МЕТОД "ДОСТРАИВАНИЯ СОБЫТИЙ&quot](/img/1313/image024_3.gif "ОПРЕДЕЛЕНИЕ СТЕПЕНИ ОПАСНОСТИ ФУНКЦИОНАЛЬНЫХ ОТКАЗОВ. МЕТОД "ДОСТРАИВАНИЯ СОБЫТИЙ&quot"){kind=small} |
 |
Таким образом, для КС: Р(Хпфкс = 1.
Таким образом, порядок определения степени опасности функционального отказа Фп следующий. Определяются все возможные цепи событий Хп-ф т. е. определяются все возможные пути і из Фп во все возможные Kj через события Фпу, УПф ЭПф Этот анализ может проводиться с учетом границы рассмотрения величины Р(Фп)Р(Хпф, что позволит не включать в анализ часть цепей и тем самым сократить объем работы. Далее определяется цепь Хпу, имеющая максимальное значение величины Р(Хпу). После чего по нормативным значениям Р(Хпф определяется степень опасности ФО.
В соответствии с основными положениями метода "достраивания" событий изложим подход к определению множеств К, Ф, У, Э.
Определение множества катастрофических событий. Если рассматривать самолет как целое, то для него в соответствии с методом приведения можно определить модели нормального и нарушенного функционирования. В этом случае множество катастрофических событий будет представлять собой множество нарушений параметров выходных сигналов, последствия которых оцениваются как катастрофические, а соответствующая модель состояния является универсальной, т. е. полученный на ее основе перечень катастрофических событий может быть использован для любого самолета. Принимая во внимание большое количество параметров, описывающих поведение самолета, необходимость учета их взаимовлияния (при формулировке катастрофических состояний), а также опираясь на опыт, свидетельствующий о небольшом общем числе таких состояний, считаем разумным, опираясь на понятие модели состояния, экспертно создать перечень катастрофических событий. При таком подходе этот перечень может претерпевать изменения (с накоплением опыта), но эти изменения будут незначительны. Перечень катастрофических событий можно разделить на события, связанные со следующими последствиями:
0 для самолета, как летательного аппарата (на всех этапах полета);
* связанные с навигацией и организацией самолета;
• для жизнедеятельности пассажиров и экипажа.
Для примера приведем полученный нами перечень катастрофических событий для самолета, как летательного аппарата, на воздушном участке полета. Еще раз подчеркнем, что эти события учитывают не только ФО,
но и действия экипажа, ОУЭ и другие подлежащие учету факторы, влияющие на развитие последствий ФО.
• Невозможность управления по тангажу.
• Невозможность продольной балансировки.
• Невозможность управления по боковому каналу.
• Невозможность балансировки по боковому каналу.
• Разрушение основных силовых частей конструкции при статическом нагружении.
• Разрушение основных силовых частей конструкции при динамическом нагружении.
• Возникновение недопустимых видов автоколебаний конструкции.
• Касание (непреднамеренное) земли (в том числе зданий, деревьев и т. д.).
• Полная потеря тяги над неблагоприятной местностью.
»Непотушенный пожар.
• Касание земли до начала ВПП при посадке.
• Касание ВПП с недопустимой вертикальной скоростью при посадке.
Этот перечень может, конечно, уточняться, но в таком виде его уже
можно использовать для оценки степени опасности ФО.
Определение полного перечня ФО и значений параметров ОУЭ (см. разд. 4.3). Значения параметров ОУЭ приводятся в соответствующей самолетной документации. Сложнее обстоит дело с вероятностями этих значений, хотя для ряда параметров ОУЭ в настоящее время такие вероятности определены. Ниже покажем, что отсутствие таких вероятностей не препятствует применению метода достраивания событий.
Определение перечня возможных ошибочных действий экипажа (ОДЭ) осуществляется на основании метода приведения и модели состояния. При этом экипаж рассматривается как функциональная система самолета, входными сигналами для которой служит информация (параметры и сигналы) системы отображения информации, а выходными — функциональные действия по управлению самолетом и его системами. Нарушения функциональных действий представляют собой возможные ошибочные действия экипажа, которые являются аналогом ФО для самолетной системы. В соответствии с этим разработана модель состояния для экипажа, на основании которой может быть определен полный перечень возможных ошибочных действий. Подробное описание этой модели требует отдельного рассмотрения, здесь же коротко остановимся на вопросе определения вероятности ошибочных действий.
Для определения искомых вероятностей можно использовать анализ результатов эксплуатации, летных и стендовых испытаний, математическое моделирование, материалы различных справочников. Важно не
превращать числовое значение в самоцель, помнить, что для нашей задачи вполне устраивает точность в пределах одного, а часто и двух порядков. Кроме того, анализ имеющихся материалов позволяет сделать вывод, подтверждаемый опытом эксплуатации, что значения вероятностей различного рода ошибочных действий экипажа в особой ситуации в основном лежат в диапазоне 1(Г2..ЛСГ4.
Отметим некоторые достоинства метода достраивания.
1. Работа по определению степени опасности ФО становится логически полной, т. е. определяются все возможные (наиболее вероятные) пути перерастания ФО в событие, признанное катастрофическим. Работа экспертов становится целенаправленной: отбор катастрофических событий и анализ цепей событий (ФО, внешние условия, ошибочные действия) из фиксированных перечней событий, приводящих рассматриваемый ФО к катастрофическому событию.
2. Метод позволяет определить наиболее опасные (критические) цепи для данного ФО, а не ограничиться просто установлением степени его опасности.
3. Метод позволяет управлять процессом обеспечения безопасности полета на этапе проектирования путем разработки мероприятий, влияющих на критические пути.
4. Метод позволяет определять степень опасности любого нового ФО, отсутствовавшего на предыдущих самолетах.
5. Отказная программа испытаний, выводы по ее результатам, летная оценка, рекомендации и ограничения РЛЭ при возникновении ФО могут быть построены на анализе выбранной цепи событий.
6. Метод позволяет совершенствовать методологию расследования летных происшествий и инцидентов по всему эксплуатируемому парку воздушных судов и совершенствовать структуру базы данных для таких расследований.
В заключение приведем небольшой пример, иллюстрирующий метод "достраивания" событий. В этом примере для самолета типа Ил-96-300 определяется степень опасности для ФО "Отказ одного из 4 двигателей на глиссаде". Для определения степени опасности ФО строится таблица (табл. 4.2) совместных событий, содержащая все возможные цепи событий, достраивающих ФО до какого-либо катастрофического события из множества ІС, со значениями вероятностей их возникновения; в графе "Примечание" указано катастрофическое событие, возникающее при данном стечении обстоятельств, значение вероятности данного события, полученное по формуле (4.5), и степень опасности рассматриваемого ФО. Эта таблица содержит следующие множества.
Совместные события по методу достраивания для ФО "Отказ одного
из 4 двигателей на глиссаде"
|
№ цепи |
Э1 |
Э2 |
ЭЗ |
Э4 |
Э5 |
Э6 |
Э7 |
Э8 |
У1 |
У2 |
УЗ |
Примечание |
|
1 |
КГ2 |
Отключение двигателя с опозданием не приведет к КС, степень опасности отказа — БС |
||||||||||
|
2 |
1(Г[1] |
10“3 |
Отключение не того двигателя при парировании крена с опозданием приведет к КС (К2), вероятность Р = = КГ6, степень опасности — УУП |
|||||||||
|
3 |
1(Г3 |
ю-4 |
Отключение не того двигателя при парировании высоты с опозданием приведет к КС (К2), вероятность Р = 10-7, степень опасности — БС |
|||||||||
|
4 |
КГ3 |
КГ3 |
Отключение не того двигателя при ошибке с принятием решения приведет к КС (К1), вероятность Р = = КГ6, степень опасности — УУП |
|||||||||
|
5 |
КГ3 |
КГ3 |
Отключение не того двигателя при опоздании с принятием решения приведет к КС (К2), вероятность Р = КГ6, степень опасности — УУП |
|
№ цепи |
Э1 |
Э2 |
Э 3 |
Э4 |
Э5 |
Э6 |
Э7 |
Э8 |
У1 |
У2 |
УЗ |
Примечание |
|
6 |
КГ3 |
1(Г2 |
Отключение не того двигателя при ошибке с установкой скорости четвертого разворота приведет к КС (7П), вероятность Р = = КГ5, степень опасности — УУП |
|||||||||
|
7 |
КГ3 |
1(Г3 |
Отключение не того двигателя при ошибочной установке высоты входа в глиссаду приведет к КС (К2), вероятность Р = 10~б, степень опасности — УУП |
|||||||||
|
8 |
КГ3 |
КГ3 |
Парирование крена с опозданием при принятии ошибочного решения приведет к КС (7П), вероятность Р = = КГ6, степень опасности — УУП |
|||||||||
|
9 |
ю-4 |
КГ3 |
Парирование высоты с опозданием при принятии ошибочного решения приведет к КС (К2), вероятность Р = = КП7, степень опасности — БС |
|||||||||
|
10 |
КГ3 |
КГ3 |
Парирование крена с опозданием при опоздании с принятием решения приведет к КС (К1), вероятность Р = = КГ6, степень опасности — УУП |
|
№ цепи |
Э1 |
Э2 |
ЭЗ |
Э4 |
Э5 |
Э6 |
Э7 |
Э8 |
У1 |
У2 |
УЗ |
Примечание |
|
11 |
КГ4 |
КГ3 |
Парирование высоты с опозданием при опоздании с принятием решения приведет к КС (Л7), вероятность Р = = 10-7, степень опасности — БС |
|||||||||
|
12 |
КГ3 |
10-2 |
10"2 |
Парирование крена с опозданием при ошибке с установкой скорости 4-го разворота и при боковом ветре 10 м/с приведет к КС (КТ), вероятность Р = 10-7, степень опасности — БС |
||||||||
|
13 |
1(Г4 |
10*2 |
10-2 |
Парирование высоты с опозданием при ошибке с установкой скорости 4-го разворота и при боковом ветре 10 м/с приведет к КС (КТ), вероятность Р = 10-8, степень опасности — БС |
||||||||
|
14 |
ю-4 |
10“3 |
10~2 |
Парирование высоты с опозданием при ошибочной установке высоты входа в глиссаду и при боковом ветре 10 м/с приведет к КС (КТ), вероятность Р = = 10-9, степень опасности — БС |
1. Множество Э возможных ошибочных действий экипажа, составленное по модели ОДЭ. До момента отказа двигателя экипаж мог допустить
другие ошибки в действиях, которые сами по себе не привели бы к возникновению катастрофической ситуации, а при наслаивании ошибок во время отключения двигателя являются "достраивающими" возникший ФО до катастрофы. Поэтому в качестве примера множество возможных ошибочных действий экипажа дополним ошибкой экипажа при установке скорости четвертого разворота и ошибочной высотой входа в глиссаду.
2. Множество У возможных значений параметров окружающей среды.
3. Множество Э, содержащее следующие элементы:
31 — выключение двигателя с опозданием, приравненное к его невыключению;
32 — отключен не тот двигатель;
33 — парирование крена с опозданием;
34 — парирование высоты с опозданием;
35 — неправильное решение (решение о посадке / уход на второй круг);
36 — опоздание с принятием решения;
37 — ошибка с определением скорости;
38 — ошибка с определением высоты.
4. Множество У, содержащее следующие возможные значения скорости бокового ветра при посадке: У1 — скорость бокового ветра Wz — = 0; У2- W2 = 10 м/с; УЗ — Wz = 15 м/с.
Для определения вероятностей ошибок экипажа при установке скорости и высоты входа в глиссаду использованы справочные материалы, где приведены данные, характеризующие интенсивность отказов, возникших в результате работы оператора с органами управления самолета и индикаторами. В графе "Примечание" катастрофическое событие К1 означает невозможность балансировки по боковому каналу, К2 — касание земли до начала ВПП при посадке.
Из табл. 4.2 видно, что максимальное значение величины вероятностей дополнительных событий, достраивающих отказ одного двигателя до катастрофического события, составляет КГ5, т. е. данный ФО, имеет степень опасности УУП.