Динамическое моделирование сценариев возникновения рисковых событий при полетах воздушных судов в режиме «Ухода на второй круг» Текст научной статьи по специальности «Электротехника, электронная техника, информационные технологии»

2014

НАУЧНЫЙ ВЕСТНИК МГТУ ГА

№ 210

УДК 629.7.058

ДИНАМИЧЕСКОЕ МОДЕЛИРОВАНИЕ СЦЕНАРИЕВ ВОЗНИКНОВЕНИЯ РИСКОВЫХ СОБЫТИЙ ПРИ ПОЛЕТАХ ВОЗДУШНЫХ СУДОВ В РЕЖИМЕ «УХОДА НА ВТОРОЙ КРУГ»

Е.А. КУКЛЕВ, Ю.Ю. МИХАЛЬЧЕВСКИЙ, М.Ю. СМУРОВ

Представлены способы построения разветвленных процессов смены дискретных состояний системы «Экипаж-ВС-Среда-УВД» при моделировании технологии управления воздушным судном (ВС) после принятия экипажем решения «ухода на посадку на втором круге» по рекомендациям диспетчера системы управления воздушным движением (УВД).

Ключевые слова: опасное состояние, угроза, рисковое событие, риск.

Технологии управления полетом ВС при «уходе на второй круг» на посадку отработаны для разных типов воздушных судов и регламентированы в эксплуатационных документах. Тем не мене уровень безопасности полетов, оцениваемый в терминах рисков по ИКАО [1], недостаточно высокий.

Можно выделить две из 4-х главных категории групп опасных факторов, выявляемых в системах при идентификации опасностей с помощью МДМ - для ситуаций классов LOC/CFIT: 1) отклонение от схем в виде невыполнения команд и возникновения временных задержек в процедурах; 2) непрофессионализм, ошибки УВД.

На основе РЛЭ может быть разработана схема последовательности смены дискретных состояний системы с множеством модулей для ВС типа «В-737» и в системе в целом «Экипаж-ВС-Внешняя среда-УВД» с расшифровкой содержания рабочих операций при технологиях управления ВС с использованием процедур и команд из модулей с номерами 1-8 и УВД-2, УВД-3 и т.д. - команды диспетчера. Наиболее важный модуль №4 определяет виды управления ВС с использованием кортежа инструментов следующего вида: (aj - автопилот №1; ^ - автопилот №2; Р - ручное пилотирование) .

Вся цепочка указанных модулей 1 -8 задает допустимые безопасные сценарии полета ВС по штатной технологии. Однако возможно возникновение отклонений от требований типовых процедур, которые могут возникнуть при неисполнении штатных процедур схемы. Эта цепь представляет последовательное соединение некоторых физических функциональных элементов ei е E системы,

взятых из ограниченного множества Е, которое является четким. Оно может быть принято за универсальное множество физических функциональных элементов системы со своими четкими предикатами. Каждому ej е E сопоставляется дискретное состояние qj (i)е Q с четкой логикой определения сущностей состояний через значения логических переменных вида "0" - "норма" (функциональность), "1" - "функциональный отказ" в форме ei е E ^ qj (i) е Q ^ {bk Hk, где - «следствие»; L - цепь состояний в МДМ; Hk - ущерб (или цена риска), принята по ТН инверсная схема обозначения инициирующих условий аварий. Цепи состояний Lk находятся по FMEA с учетом возможных отказов отдельных технических или функциональных элементов из состава указанных выше модулей типа ei е E .

При идентификации опасностей по ECAST [3] с помощью МДМ предлагается принять пре-диктивный метод Annex-19 для определения в сценариях критичности отдельных путей, ведущих к катастрофе или к аварии. Понятие безопасности предлагается принять по Annex-19 (РУБП-9859) в виде состояния с приемлемым риском возникновения опасностей. Очевидно, что вероятности возникновения редких рисковых событий в одиночных катастрофах неизвестны. Однако это не имеет значения, т.к. цена риска определяется через величину ущерба с помощью матрицы риска по NASA (ICAO) в нечетких множествах Fuzzy Sets для критических состояний \q; *} с индексом (*) из Q.

Проведем определение уровня функциональности системы.

Из постановки задачи вытекает, что необходимо искать цепи событий, образующих пути к критическим состояниям системы. На основании сказанного выше принимается, что предик-тивный физический результат типа аварии с серьезными последствиями зависит только от последовательности (порядка и номеров) сменяющихся событий. Поэтому мера возможности возникновения таких событий в высоконадежных системах совершено не имеет значения в одиночных опытах по испытанию высоконадежных систем.

Надежность систем и уровень функциональности не являются эквивалентными по смыслу, поскольку уровень надежности существенно зависит от степени резервирования. Однако качество функционирования не зависит от числа дублирующих каналов связи.

В каждом модуле в^ е Е имеются свои внутренние связи и элементы надежности, которые можно рассматривать как физические ключи, пропускающие или не пропускающие сигналы в состояниях qJ (/) е Q. Можно ввести оператор функциональности Ф в виде функции алгебры логики

(ФАЛ) Ф (д; 1, qj 2, •••, q!■m\ ^о )= V л qir 1/ г 2), где Е0 - условия, при которых начинается и

г 2 ]Т 1 j \ /

успешно завершается процедура «второго круга»; V - дизъюнкция конъюнкций; л - конъюнкция

г2 ]г 1

признаков состояний, характеризующих цепь функционирования элементов. Всегда может быть определено и минимальное сечение отказов (МСО). Отказ в любом звене типовой процедуры управления ВС обозначает прерывание технологической цепочки из РЛЭ. Поэтому и полет с отклонениями в режиме «второго круга» должен прекращаться в любой нерасчетной точке с уходом вполне определенным способом в резервный режим, чтобы не допустить аварии.

Указаны критические элементы - это в4 ] ), в5 (д5), в6 ^6 ) и др. При этом в4 и q4 ^ обозначают управление полетом ВС с помощью автопилота или ручного пилотирования (режим РП). Только тогда происходит переход в состояние в5 и q5, в6 и q6 и т.д. В этих состояниях также возможно возникновение представленного в РЛЭ допустимого, но опасного отклонения процесса от "нормы". Именно с учетом этого обстоятельства могут быть найдены разветвления процесса в схеме рассматриваемой технологии полета в режиме «второго круга». Здесь могут возникнуть альтернативные пути, ведущие либо к «штатному приземлению», либо «к катастрофе».

Выше было показано, что по РЛЭ на ВС «В-737» имеются 2 автопилота и резервный режим (РП) управления штурвалом. На этом основании критический элемент № 4 может быть представлен в четкой логической форме в виде ФАЛ для выходного результата с помощью логической переменной У, задающей функцию алгебры логики через состояния qj (/) е Q :

qо = а! ла2 лР; ql = ^ ла2 лР; д2 = ах ла2 лР; д3 = а ла2 лР ; q4 =а,ла2лР ; q5 =а1 ла2 лр ; q6 = аг ла2 лР ; q7 =а1 ла2 л Р . (1)

ФАЛ У - для альтернатив (1) будет у = Ф(vqi) = Ф(а1 ла2 лР)V(а1 ла2 лР)V..., где знак (•••) - отрицание свойства функциональности элемента.

Теперь можно построить типовую по ТН структурно-сложную схему соединения элементов надежности в модуле в4 с избыточностью из кортежа. Всего будет 8 комбинаций с учетом развёрнутой схемы этого модуля, представленной на рис. 1, где У - символ связи ФАЛ с комбинацией (1). Однако представленная (выявленная) избыточность никакого отношения не имеет к показателю безопасности, т.к. любой показатель безопасности всегда определяется по ИКАО через последствия отказов: здесь - это полная потеря "функции" модулем 4. Такая схема, как известно, определяет значе-

Динамическое моделирование сценариев возникновения рисковых событий.

133

ние вероятностного показателя надежности, но в предлагаемом методе это совершенно не требуется, поскольку необходимо исследовать только условия потери функций.

Избыточность такого типа повышает надежность, но не влияет на уровень функциональности или качества функционирования. Поэтому из рис. 1а следует, что («рано или поздно») может возникнуть отказ всего модуля е4 . Из постановки задачи вытекает, что значение вероятности подобного события не имеет никакого смысла, т.к. суть главной проблемы заключается в том, чтобы проактивно определить в конкретной системе физический результат только одного вида: имеет здесь место «отказ» или «неотказ» функций модуля 4 на рис. 1б (как это было в ситуации с ВС в Казанской авиакомпании). Поэтому надо рассматривать всего 2 варианта функционирования типа: «сигнал проходит» (неотказ), «сигнал не проходит» (отказ). При этом выходной результат (рис. 1а) в виде выходной логической переменной у модуля 4 может быть задан всего лишь через два логических значения функции алгебры логики "у " в форме: "функция есть - сигнал проходит" или "не проходит". Оператор ФАЛ от элементов модуля 4 на рис. 1 будет иметь вид:

у = ла2) V (а1 ла2) V (а ла2) vр^у = 0 = у(0) ("отказа нет"),

у = (а ла2)лр ^ у = 1 = у "полный функциональный отказ е4 ", а поэтому избыточную

структуру рис. 1а для модуля £4 можно упростить. Согласно теореме де Моргана схема функциональности на рис. 1а может быть преобразована с помощью ФАЛ в схему из 2-х линий вместо 8. С учетом свойства идемпотентности логических элементов £, qj () согласно теореме де Моргана

получим у = (у(0), у(1)) : у(0) = 0 - «норма», у(1) = 1 - «отказ».

В результате модуль 4 в форме рис. 1а с учетом и некоторых других модулей эквивалентно преобразуется в разветвленную схему на рис. 1 б.

Рис.1. Схема модуля: а - схема соединения элементов надежности в модуле 4; б - эквивалентная «нештатная» схема управления ВС с разветвлениями в модуле 4 (вариант непредвиденного РП в ситуации с ВС «а/к Казань» - гипотетически по Internet)

Физически у(1) = 1 в отсутствие пилотирования на ВС, т.е. несрабатывание (на рис. 1б) модуля № 4 из схемы рис. 1а, т.е. найдена точка непредвиденного разветвления процесса. Это уже системная ошибка штатной технологии, которая нарушается по причине негативного последствия от проявления человеческого фактора (ЧФ) в виде "отказа" КВС перейти к РП: к р - по правилам рис. 1а. Фактическая схема управления ВС получилась в виде, представленном на рис. 1б с учётом разветвлений, где показан путь к катастрофе через модуль 4.

Полученные результаты показывают, что снизить риски возникновения аварий невозможно без вмешательства служб системы УВД в процессы контроля полета ВС по новой вспомогательной ли-

нии связи УВД-4 (рис. 1б). Так, возможное проактивное по ИКАО (NASA) управляющее воздействие (в модуль 4) может быть найдено по коду состояния этого модуля.

Предиктивное управление U4, состоит в том, чтобы прервать первичную регламентируемую процедуру «ухода ВС на второй круг» и перевести неконтролируемый опасный полет ВС в резервный безопасный режим. Этот режим должен быть предусмотрен (системно сконструирован) заранее в схеме на рис. 1а. Необходимое управление U4 будет заключаться в модификации

всей технологии управления ВС заранее путем создания функций модуля e4 по «коду

d (/(1)) », который автоматически формируется на борту ВС при заданной типовой технологии, согласно РЛЭ, для передачи по каналу УВД-4 на рис. 1.

В статье разработана новая схема оценивания безопасности полетов в рамках методологии нечетких множеств (Fuzzy Sets) на основе анализа физических возможностей существования в системах функциональных свойств всех процедур из штатных технологий управления полетом ВС. Для этого не требуется применение вероятностного анализа и показателей свойств безотказности отдельных элементов. Это отражает идеологию управления рисками, являющимися мерой оценки опасности в системах с редкими рисковыми событиями.

Рекомендации Annex-19 о применении нового подхода к управлению рисками по способам «проактивных» и «предиктивных» процедур следует признать достаточно эффективными, поскольку без применения вероятностного анализа безопасности удается четко, без какой-либо неопределенности выявить ключевые критические элементы в технологиях управления полетом, построенных в рамках четкой логики. Именно поэтому безопасность полетов достигается не возрастом «Боингов» и других ВС, а системными ошибками, заложенными в конструкцию еще на этапах проектирования.

ЛИТЕРАТУРА

1. Смуров М.Ю., Куклев Е.А., Евдокимов В.Г., Гипич Г.Н. Безопасность полетов воздушных судов гражданской авиации с учетом рисков возникновения негативных событий // Транспорт Российской Федерации. - 2012.

- №1(38). - С. 54-58.

2. Гипич Г.Н., Евдокимов В.Г., Куклев Е.А., Шапкин В.С. Риски и безопасность авиационных систем: монография. - М.: ИНСОФТ, 2013.

3. Руководство по летной эксплуатации для ВС «B-737». [Электронный ресурс]. URL: http://arhangelsk-nord.ucoz.ru/_ld/0/46_Boeing737-300-4.pdf.

DINAMIC SIMULATION METHOD FOR ANALYSIS THE RISK EVENTS AND DANGER SCENARIO OF AIRCRAFT LANDING BY «GO AROUND»

Kuklev E.A., Mihalchevskiy Yu.Yu., Smurov M.Yu.

The article shows the ways of creating divertified processes of variations in discreet states of the "Crew-Aircraft-ATC" system when modeling the technology of aircraft control after the crew has decided "to go around" being recommended by the controller of ATC system.

Keywords: danger technical states of aircraft, hazard, risk events, risk.

Сведения об авторах

Куклев Евгений Алексеевич, 1934 г.р., окончил КАИ (1958), профессор, доктор технических наук, заведующий кафедрой механики СПбГУГА, автор более 250 научных работ, область научных интересов

- риски и управление безопасностью систем, динамика полетов ВС.

Михальчевский Юрий Юрьевич, 1961 г.р., окончил ОЛАГА (1984), кандидат технических наук, проректор СПбГУГА, заведующий кафедрой управления воздушным движением СПбГУГА, автор 18 научных трудов, область научных интересов - ОрВД, летные тренажеры.

Смуров Михаил Юрьевич, 1951 г.р., окончил Механический институт (1973), профессор, доктор технических наук, ректор СПбГУГА, заведующий кафедрой бизнеса и финансов СПбГУГА, автор более 100 научных работ, область научных интересов - эксплуатация воздушного транспорта, безопасность полетов.