Надежность систем штурвального управления

7.7.1 Резервирование в системе управления (Общие соображения)

Современные магистральные самолеты, эксплуатирующиеся в широком диапазоне режимов полета, имеют сложные автоматизированные системы управления. В соответствии с требованиями к надежности управления и безопасности полета вероятность полного отказа таких систем должна быть, по крайней мере, не более 10“8-г1(Г9 за час полета. Оценки показывают, что при существующем уровне надежности элементов выполнить это требование возможно только на основе резервирования.

Резервирование—способ повышения надежности элемента (системы), главным образом, введением резервных (избыточных) элементов (систем) сверх минимально необходимых для выполнения

системой заданных функций.

Резервирование может быть раздельным (поэлементным), общим и смешанным. При раздельном резервировании—резервируются отдельные элементы системы. При общем—резервируется система в целом. Смешанное резервирование есть совмещение раздельного и общего резервирования. Возможны еще и другие виды резервирования, но не связанные с введением в систему избыточных элементов (например, функциональное, временное, нагрузочное и др.).

Из теории надежности известно, что надежность системы при раздельном резервировании выше, чем при общем. Однако при практической реализации раздельного резервирования для обеспечения работоспособности резервированной системы при отказах требуется, в частности, применение дополнительно к резервным элементам устройств контроля и переключения, которые существенно усложняют систему и снижают преимущества раздельного резервирования. Кроме того, при таком резервировании между резервируемыми элементами в тракте передачи сигнала образуются так называемые общие цепи (точки) (см. рис.7.66). Попадание ложного сигнала в общую цепь или обрыв ее может быть причиной полного отказа резервированной системы.

jQEtHUe ТОЧКИ СВК^-встроенная система КОНТРОЛЯ aj. — элемент системы Рис.7.66. Схема поэлементного резервирования

В связи с этим в системах управления самолетов большее предпочтение отдается общему резервированию, которое проще при реализации и позволяет практически полностью избежать образования общих цепей (точек). При этом раздельное резервирование чаще используется в электронных цепях. Системы управления самолетов обычно содержат электрические (электронные), гидравлические и механические элементы и устройства, для повышения надежности которых применяется как раздельное, так и общее резервирование. Поэтому более правильно такие системы управления отнести к системам со смешанным резервированием. Однако и в этом случае общее резервирование играет в них определяющую роль.

В зависимости от способа включения в работу резервных элементов (систем) различают:

—раздельное и общее резервирование с замещением отказавшего элемента (системы) резервным элементом (системой);

—раздельное и общее резервирование с постоянным включением резервных элементов (систем).

Характерной особенностью систем, использующих резервирование с замещением, является неизменность их характеристик после отказа, так как отказавшая система (элемент) замещается такой же исправной системой (элементом). Однако этому способу резервирования, как уже упоминалось, свойственен один существенный недостаток, который связан с необходимостью выполнения операции переключения. Эта операция должна выполняться весьма быстро и, главное, надежно, в противном случае возможна потеря работоспособности системы. Кроме того, в процессе замещения на выходе системы может создаваться возмущение, которое будет тем больше, чем больше рассогласование между основной и резервной системами и чем больше время запаздывания в операции переключения. На величину возмущения также оказывают влияние разные условия работы основной и резервных систем. Основная система, как известно, в процессе выполнения функций подвергается воздействию нагрузки, тогда как на резервные системы она не действует. В полете устройства переключения являются практически неконтролируемыми. Поэтому существует опасность, что

в момент замещения устройство переключения может оказаться неисправным.

В связи с этим обычно этот вид резервирования должен применяться с большой осторожностью, особенно в силовых системах, работающих в условиях воздействия больших нагрузок. Например, на ЛА“Спейс Шаттл” для управления элевонами используются однокамерные рулевые, приводы, питание которых осуществляется от 3-х гидравлических систем через переключатель гидросистем (рис.7. 67). При отказе работающей на привод гидросистемы производится переключение на резервную гидросистему в соответствии с заданной программой. При этом риск, связанный с применением такой схемы резервирования, обусловлен следующим:

—нарушение герметичности камеры цилиндра(например, в результате разрушения цилиндра, уплотнений и др.)является отказом топа общей точки. В этом случае на ЛА произойдет потеря всех 3-х гидросистем;

—в момент переключения гидросистем на привод действуют значительные нагрузки, которые в случае задержки в переключении приведут к просадке руля, которая может привести к потере управления ЛА;

пщлсмстемы Рис.7.67. Схема резервированной гидросистемы с переключателями гидросистем

—характер отказа гидросистемы может быть очень сложным и сопровождаться колебаниями давления в гидросистеме, которые затрудняют переход с отказавшей гидросистемы на исправную. Поэтому обычно для повышения эффективности переключения требуется применение дополнительных мер;

—отсутствие контроля исправности переключателя в полете. Надежность резервированных систем с постоянно включенными резервными элементами (системами) в меньшей степени зависит от надежности операций переключения. Это в значительной мере определило более широкое применение в авиации резервирования с постоянно включенными резервными элементами(системами). Например, практически во всех необратимых бустерных системах управления рулями самолетов, без перехода на непосредственно ручное управление, используется этот принцип резервирования.

При практической реализации этого вида резервирования необходимо выполнение ряда важных условий, к которым прежде всего относятся: обеспечение приемлемых характеристик

резервированной системы при совместном функционировании элементов (систем), имеющих разброс характеристик в пределах установленных допусков; исключение возможности полного отказа резервированной системы при отказе любого элемента; сохранение определенного уровня характеристик системы при заданном числе последовательных отказов. Наряду с этим также практически исключаются чрезмерные возмущения на выходе системы в момент отказа какого-либо элемента.

Для выполнения этих условий структура такой резервированной системы обычно строится на основе следующих принципов—это: полное разделение систем от входа до выхода; обеспечение “пересиливания”отказавшей системы исправными системами с последующим ее отключением; исключение чрезмерного рассогласования между выходными сигналами систем в том числе с помощью специальной системы синхронизации; применение автоматических устройств обнаружения и изоляции отказов.

В качестве примера на рис.7.68 показана принципиальная схема резервированной электрической системы дистанционного управления,

построенной на основе изложенных выше принципов. Система состоит из 3-х одинаковых независимых цепей. Каждая цепь содержит на выходе необходимый состав устройств, обеспечивающих преобразование электрического входного сигнала в механическое перемещение выходного сигнала. Обычно эту цепь называют каналом(или подканалом), а саму систему—многоканальной. Исполнительные устройства каждого канала (сервоприводы, рулевые приводы) могут непосредственно управлять отдельной поверхностью управления (например, секцией), если это допустимо с точки зрения надежности, или объединяться с помощью механических или гидромеханических связей на общем выходном элементе, которым

Рис.7.68. Схема резервированной электрической дистанционной системы управления

может быть траверса, силовой шток привода или непосредственно орган управления. В рассматриваемом примере усилия исполнительных устройств каждого канала суммируются на общем выходном механическом элементе-траверсе. Связь выходного элемента каждого канала с траверсой может быть жесткой или податливой, начиная с некоторого усилия (типа пружины или гидромуфты с предварительным усилием). Применение элементов связей типа гидромуфты с предварительным усилием дает возможность весьма просто произвести выбор среднего выходного сигнала (по величине), как наиболее правильного, и осуществить контроль и изоляцию неисправного канала по величине обжатия этого элемента. В этом случае обеспечивается так называемое гидромеханическое кворумирование выходных сигналов (см. рис.7.69). В электрических цепях выбор среднего по величине сигнала осуществляется с помощью специальных электронных устройств—кворум—элементов или селекторов сигналов. Применение кворум—элементов позволяет, в частности: синхронизировать сигналы различных каналов; обнаружить и изолировать отказавший канал; сохранить работоспособность системы при большем числе разнотипных отказов; согласовать системы с различным числом каналов (например, 3-х канальную с 4-х канальной). Ввиду того, что кворумирование построено на использовании межканальных связей, требуются специальные меры для исключения возможности распространения отказа какого-либо канала на другие каналы.

ВЮАЧМе Рис.7.69. Характеристика кворумированного выходного сигнала При рассогласовании выходного сигнала какого-либо канала относительно среднего на величину более допустимой в данной системе производится выключение неисправного канала. Система будет продолжать функционировать с двумя исправными каналами. Если при двух работающих каналах рас­согласование между ними станет больше допустимого, производи­тся выключение всей системы, так как для определения отказав­шего канала из двух оставшихся необходимы более сложные методы контроля. Таким образом, данная система сохраняет работоспособность после первого отказа и выключается после второго. Соответственно четырехканальная система подобной структуры может сохранять

работоспособность после двух последовательных отказов и выключаться после третьего.

В идеальном случае желательно иметь структуру системы управления, состоящей из самокбнтролируемых каналов. В такой системе исключается возможность распространения любого отказа на всю систему. Практическая реализация самоконтролируемого канала сводится фактически к созданию тракта управления, состоящего из управляющего и контролирующего (модельного) подканалов. Учитывая последние достижения в области микроэлектроники (малый вес элементов, их высокая надежность), обычно цепи управления в обоих подканалах до сервоприводов выполняются практически из идентичных элементов и только сервопривод, как наиболее тяжелое энергоемкое и дорогое устройство, оказывающее существенное влияние на вес контролирующего подканала, заменяется его электронной моделью. При расхождении выходных сигналов управляющего и контролирующего подканалов более заданного значения (порога) оба подканала выключаются. В связи с тем, что в контролирующем подканале вместо реального сервопривода применена его электронная модель, для функционирования такого самоконтролируемого канала не требуется увеличение числа гидросистем.

В системах управления могут возникать различные отказы (электрические, механические, гидравлические), которые могут оказывать различное влияние на работоспособность системы. Поэтому для сохранения работоспособности системы при рассматриваемых отказах требуется, наряду с применением специальных методов резервирования, также применение специальных устройств, предотвращающих отказ всей резервированной системы, особенно при отказах типа заклинения (упругие звенья, клапаны перепуска, устройства расцепки проводок и т. д.).

Особенно следует отметить важное значение для обеспечения высокой надежности системы управления применение секционирования рулей (или аэродинамического резервирования). Это одно из мощных средств обеспечения высокой надежности не только исполнительной части, но и всей системы в целом.

Применение секционирования дает возможность осуществить полную независимость каналов резервированной системы на всем тракте передачи управляющего сигнала (датчик, вычислитель, привод, орган управления, системы энергопитания), т. е. реализовать резервированную систему без так называемых общих точек, которые, как известно, могут быть причиной полного отказа резервированной системы.

Таким образом, осуществление полной независимости каналов резервированной системы от датчиков сигналов до секций рулей позволяет:

—сохранить работоспособность системы управления при любом отказе одной или более секций в результате электрических, гидравлических и механических отказов,

—обеспечить в случае необходимости разнородное резервирование на основе совместного использования электродистанционного (СДУ)и механического(МСУ)управления без непосредственного взаимодействия между этими системами, имеющими, как правило, различные алгоритмы управления;

—применить схемы управления секциями, реализация которых при несекционированном органе управления является решением с повышенным риском с точки зрения безопасности полета. Например, для управления секцией могут быть применены приводы по схеме резервирования с замещением. В случае отказа одного из управляющих приводов и невозможности перехода с отказавшего на исправный управление может быть обеспечено остальными секциями и стабилизатором.

Секционирование рулей дает также ряд конструктивных преимуществ, которые здесь не рассматриваются.

В зависимости от характера отказов система может принимать различные состояния, характеризуемые уровнем изменения ее выходных характеристик. Экипажу обычно выдается необходимая информация о состоянии системы, на основании которой экипаж принимает решение о продолжении полета, или быстрейшем завершении полета в ближайшем аэропорте.

Резервированные системы, обладающие комплексом указанных

выше свойств, часто называют практически безотказными системами.

Следует отметить, что, как показал опыт эксплуатации самолетов со сложными системами управления, обеспечение безопасности полета только путем повышения надежности системы управления является недостаточным. Система управления должна удовлетворять также требованиям живучести. В соответствии с этим требованием система управления должна сохранять свои характеристики в условиях воздействия экстремальных внешних факторов (напр., обусловленных освобождением энергии в результате разрушения двигателя, ВСУ, отрыва лопасти воздушного винта, разрушения балонов сжатого газа, разрушения трубопроводов высокого давления и др.).

В общих чертах повышение живучести или выживаемости системы достигается прежде всего применением резервирования, но при этом необходимо:

—разнесение (или рассредоточение) управляющих каналов, гидравлических и электрических линий передачи мощности как можно дальше друг от друга, насколько это позволяет компоновка;

—применение нескольких органов управления со своими приводами, когда повреждение любого из них не нарушает функционирования системы управления;

—прокладку проводов и элементов системы осуществлять в зонах самолета, где их повреждение маловероятно;

—применение защиты жизненно важных элементов системы управления от возможных источников поражения. При этом в качестве средств защиты, “прикрытия”может быть использовано оборудование самолета, повреждение которого допустимо по условиям безопасности;

—для исключения потери всех гидросистем самолета в результате повреждения или отрыва поверхности управления (секции) гидравлическое питание приводов любой из секций не должно производиться от всех гидросистем;

—исключение возникновения флаттера любой поверхности управления при любом одном повреждении, в том числе приводящем к вытеканию жидкости из цилиндра привода.

Надежность систем штурвального управления и взаимодействующих с ними систем может быть достигнута принципиально двумя путями:

—увеличением надежности элементов систем; исторически это первый, самый начальный этап работ по надежности управления;

—резервированием элементов, подсистем, систем; это последующий этап—основное направление работ по обеспечению практической безотказности управления.

Возможность обеспечения надежности системы путем увеличения надежности составляющих ее конструктивных элементов практически весьма ограничена из-за роста количества элементов систем, вызванного непрерывным усложнением систем. На рис.7.70 для иллюстрации этого показана степень снижения надежности системы Qcy> составленной из п последовательно соединенных элементов с надежностью каждого элемента <7эл., когда отказ хотя-бы одного из элементов приводит к отказу всей системы в целом [23] .

Поэтому, если конструктивные, производственно­технологические и эксплуатационные меры по повышению надежности элементов системы не обеспечивают потребной ее надежности, необходимо резервирование. Оно позволяет радикально увеличивать надёжность системы, вплоть до принципиальной возможности получить систему с более высокой степенью надежности. Для иллюстрации этого на рис.7.70 показана степень повышения надежности резервированной системы, составленной из тех же п элементов, но соединенных параллельно, когда полный отказ системы возможен только при отказе всех элементов системы.

Как показывает отечественная и зарубежная практика, при

среднестатистической интенсивности отказов элементов систем

управления pi не может быть обеспечена необходимая величина %

надежности Р не только в одноканальных, но и в дублированных [6]

системах. Так, например, по данным зарубежной статистики при А ~ 10 4 "г 10 6 на 1 час полета одноканальные электронные системы автоматического управления ряда зарубежных фирм(например, Сперри, Сименс, Бендикс, Смит, 19401955 г. г.)имели вероятность отказа канала (1,9-т-6)10“5 на 1 час полета; дублированные системы(Эллиот, Смит, Сперри, Бендикс, Сфена,1965-1970г. г.)имели всего лишь />дубл.~(1,1т-1,5)10_6 на 1 час полета. Видимо, в определенной степени это и может быть объяснено непрерывным ростом числа элементов САУ в связи с расширением по годам количества функций САУ С6].

Рис7.70. Надежность системы <?<-•>. состоящей из п элементов

Вопрос о необходимости использования больших степеней резервирования для обеспечения высокой надежности систем штурвального управления еще более остро стоит сейчас.

Главным способом получения заданной надежности системы штурвального управления и взаимодействующих с ней систем является обеспечение практической безотказности, которая достигается суммарно следующими мерами:

—резервированием независимых каналов(подканалов, элементов), обеспечивающим крайне малую вероятность отказа системы штурвального управления при всех видах(и количестве) отказов (возможных в эксплуатации системы штурвального управления и взаимодействующих с ней систем);

—высокой надежностью элементов системы, подтверждаемой опытом многолетней массовой эксплуатации самолетов, особенно тех элементов, которые образуют в самолете “общие точки”;

—исключением возможности возникновения при отказах в системе штурвального управления возмущений на выходе системы, которые могут вызывать превышение самолетом установленных эксплуатационных ограничений и не могут быть парированы летчиком(экипажем)при своевременном вмешательстве последних в управление самолетом (обеспечение отказобезопасности);

—способностью системы выполнить заданные функции после отказа канала (подканала, элемента);

—индикацией летчику(экипажу) фактов отказов в системе управления, если при отказе требуются определенные действия летчика(экипажа) по парированию отказа и для принятия решения о продолжении или прекращении полета.

Практически в соответствии с отечественным и зарубежным опытом для систем штурвального управления и взаимодействующих с ними систем, особенно для систем энергопитания, резервирование наиболее надежно осуществляется параллельным соединением однотипных, полностью автономных, одновременно работающих каналов (подканалов) системы—принцип т. н. общего резервирования. В качестве примера такого резервирования на рис.7.71 показана структура резервированного четырехканального электрогидра — влического сервопривода автоматизированных систем штурвального управления отечественных самолетов(Ту-154, Ту-144, Ил-86, Ан-124, Ан-225, Ил-96-300, Ил-96М). Полная автономия

электрогидравлических каналов сервопривода в сочетании с системой встроенного контроля, построенной на электрогидромеханических кворум-элементах и работающей на принципе "голосования большинством”, обеспечивают работоспособность сервопривода после отказов двух его каналов и индикацию летчику фактов отказов, что позволяет при необходимости принять решение о безопасном завершении полета.

Рис.7.71. Пример структуры резервированного четырехканального электрогидравлического сервопривода автоматики

На рис.7.72 даны иллюстрании тенденций изменения характеристик вероятностей Ррез отказов в общерезервированных системах (типа показанной на рис.7.71)в зависимости от вероятности отказа pi подканала системы. Рассматриваются случаи:

—первого отказа, характеризующего эксплуатационную надежность резервированной системы, определяющую объём ее эксплуатационного обслуживания;

—максимального числа отказов, при которых резервированная система полностью выходит из строя, характеризующего безопасность полета.

Максимальное число отказов, при которых резервированная система полностью выходит из строя, определяется в зависимости от возможности индикацнии факта отказа—наличия критерия отказа. Так, характеристики рис.7.72 построены с учетом обнаружения только
активных отказов подканалов обеспесчиваемой системой* контроля, показанной на рис.7.71; при этом полный выход системы иЗ* строя происходит при последовательных отказах: в трехканальной системе — двух подканалов, в четырехканальной системе-трех подканалов.

Рис.7.72. Изменение вероятностей отказов в резервированных системах />рез в зависимости от вероятности отказа подканала А

Численные значения вероятностей />рез. отказов в общерезервированной системе в зависимости от степени ее резервирования (количества т резервирующих подканалов) и числа отказов /подканалов в резервированной системе показаны в табл.1. Здесь для практических расчетов принято, что р рез. =а>р{.

(l — pl)m~f, где ’Значения вероятностей рез

определены с учетом возможности индикации как активных, так и пассивных отказов; в последнем случае имеются в виду, например, пассивные отказы типа пропадания напряжения в электросистемах, давления в гидросистемах подканалов.

Таблица 1 Вероятности отказов в резервированных системах в зависимости от стетпени t резервирования и числа отказов в системе число отказов степень резервирования еиетемы^^ 1 2 3 4 одноканальная двухканальная трехканальная четырехканальная і • 1(Г3 ( 1 ) 2 • 1(Г3 3 • 1СГ3 4 • 1<Г3 1 • ю-6 3 • кг6 6 • 1(Г6 1 • 10“^ (2) 4 • 1(Г9 1 • КГ1*

(1)—граница полного выхода резервированной системы из строя при активных отказах(система с «голосованием большинством»), (2)—граница полного выхода резервированной системы из строя при пассивных отказах

Табл. 1 показывает для каждой из резервированных систем количество / отказов ее подканалов и отвечающее им значение р рез.. при которых имеет место:

—полный отказ резервированной системы при активных отка — зах(граница (1) в таблице);

—полный отказ резервированной системы при пассивных отказах(граница (2) в таблице).

Характеристики рис.7.72 и значения вероятностей полного выхода общерезервированной системы из строя, приведенные в табл. 1, позволяют сделать следующие выводы.

Выполнение требований надежности системы управления и безопасности полета, отвечающих условию практической безотказности управления, как вероятности катастрофического исхода с Р рез. ^ 1(Г9 на 1 час полета при активных и пассивных отказах, возможно при трех и четырех канальном резервировании системы даже при вероятности отказа Рреэ подканала, равной всего лишь 1(Г3 на 1 час полета.

Чем выше степень резервирования, тем выше уровень бозопасности полета, определяемый вероятностью полного выхода резервированной системы из строя.

Однако, при этом следует иметь в виду, что чем выше степень резервирования, тем больше вероятность появления неисправностей в
резервированной системе и соответствующего числа ремонтных замен, т. е. тем больше объем эксплуатационного обслуживания системы управления.

Кроме того, с увеличением степени резервирования увеличиваются вес системы управления, объемы самолета, необходимые для ее размещения, энергопотребление системы управления. Все это, по существу, плата за высокую надежность управления и безопасность ^гщеуа, обеспечиваемые резервированной системой штурвального управления.

Возможно дополнительное увеличение надежности резервированной системы управления в сравнении с приведенными на рис.7.72 характери­стиками. Оно может быть получено в случае применения т. н. раздельного резервирования —по элементам, как это показано на рис. 7.736 (в отличие от схемы общего резервирования рис.7.73а). В этом случае при отказе п элементов (по одному из ш элементов в каждой группе) резервированная система далека от полного отказа. Вероятность отказа раздельно резервированной системы Ррр — рор/пт~х, где Pop—вероятность отказа системы имеющей общее резервирование; ш —кратность резервирования; п—число элементов в одном канале системы. Степень уменьшения вероятностп отказа раздельно-резервированной системы, в сравнении с общерезервированной системой, пт~1 в зависимости от т и п показана на рис.7.73в. Можно выдеть, что уже при п~ 10 и яю = 3 вероятность полного отказа раздельно—резервированной системы в 100 раз меньше, чем в

общерезервированной системе.

Однако следует заметить, что, например, осуществление раздельного резервирования для гидравлической части системы штурвального управления оказывается на практике сложным. Принципиальное условие возможности раздельного резервирования, согласно которому выход из строя какого-либо из элементов не должен сказываться на работе остальных, для гидравлической бустерной системы означает, что во всех резервирующих элементах категорически недопустим отказ, например, вида внешней или внутренней негерметичности агрегатов. Надежность трубопроводов, соединяющих резервированные агрегаты, должна быть несравненно выше надежности самих агрегатов и т. д. Поэтому для повышения надежности бустерных систем используют в основном общее резервирование, дополняемое раздельным резервированием главных по надежности элементов в каждой гидросистеме (например, гидронасосов).

Все вышесказанное означает необходимость обоснованного определения потребной степени резервирования, исходя из минимально необходимой для обеспечения заданного уровня надежности системы штурвального управления и обеспечиваемой ею безопасности полета.