CC BY
61
АВИОНИКА, АВИАЦИОННЫЕ ЭЛЕКТРОСИСТЕМЫ, ПИЛОТАЖНО-НАВИГАЦИОННЫЕ КОМПЛЕКСЫ И МЕТОДЫ ИХ ЭКСПЛУАТАЦИИ
УДК 681.518.3 ББК 39.89
ПРЕДВАРИТЕЛЬНАЯ ОЦЕНКА БЕЗОПАСНОСТИ ФУНКЦИИ ОТСЛЕЖИВАНИЯ АКТИВНЫМИ ОРГАНАМИ УПРАВЛЕНИЯ ЗАДАННЫХ СИГНАЛОВ ОТ СИСТЕМЫ АВТОМАТИЧЕСКОГО УПРАВЛЕНИЯ ГРАЖДАНСКОГО САМОЛЕТА
Артем Сергеевич Савельев aспирант1, очное отделение, 2 курс, М7О-206А-18, инженер-конструктор 2 категории2 Федеральное государственное бюджетное образовательное учреждение высшего образования «Московский авиационный институт
(национальный исследовательский университет)»;
ПАО «Корпорация «Иркут» Москва, Россия
artemsaveliev@inbox.ru
1 2
Евгений Сергеевич Неретин кандидат технических наук, доцент Федеральное государственное бюджетное образовательное учреждение высшего образования «Московский авиационный институт
(национальный исследовательский университет)»; Филиал ПАО «Корпорация «Иркут» «Центр комплексирования»
Москва, Россия e.s.neretin@mai.ru
Основной целью гражданской авиации является экономичное, надежное и безопасное совершение полетов. Одними из важнейших систем в самолете являются комплексная система управления (fly-by-wire) и системы автопилотов. Комплексная система управления включает в себя, в том числе, органы управления в кабине экипажа - штурвалы (Boeing) и сайдстики (Airbus, Irkut, Sukhoi). Сайдстики на текущий момент являются более приоритетным направлением развития органов управления в кабине экипажа в связи с увеличением экономичности по сравнению со штурвалами. Жестко связанные штурвалы обеспечивают тактильную обратную связь пилотам при работе автопилота и при управлении в ручном режиме. Использование сайдстиков приводит к отсутствию тактильной обратной связи пилотам в связи с отсутствием механической связи. Данная проблема негативно сказывается на безопасности полета. На текущий момент основным способом решения данной проблемы является разработка и внедрение активных сайдстиков. Активные сайдстики не сертифицированы ни на одном из больших гражданских самолетов. Целью данной работы является предварительная оценка безопасности функции отслеживания активной ручкой сигналов от автопилота в соответствии с рекомендациями SAE ARP 4761 и SAE ARP 4764A.
Ключевые слова: активные органы управления, системы управления, безопасность полетов, анализ дерева отказов, оценка функциональных опасностей.
PRELIMINARY ASSESSMENT OF TRACKING THE AUTOPILOT SIGNALS BY THE ACTIVE CONTROLS ON A CIVIL AIRCRAFT
Artem Sergeevich Savelev
2nd year postgraduate student \ M70-206A-18,
2
engineer
1 Moscow Aviation Institute (National Research University);
2 Limited liability company «UAC-Integration Center»
Moscow, Russia
artemsaveliev@inbox.ru
1 2
Evgeny Sergeevich Neretin Candidate of Technical Sciences, Associate Professor 1 Moscow Aviation Institute (National Research University) 2 Limited liability company «UAC-Integration Center»
Moscow, Russia e.s.neretin@mai.ru
The main purpose of civil aviation is to provide economical, reliable and safe flying. The integrated (fly-by-wire) control system and autopilot system are among the most important aircraft systems. The fly-by-wire control system includes, among other things, controls in the cockpit - yokes (Boeing) and side sticks (Airbus, Irkut, Sukhoi). The side sticks are nowadays a priority in cockpit controls development due to increase of cost-effectiveness compared to the yokes. The rigidly connected yokes provide force feedback for the pilots both in automatic and in manual control modes. When using the side sticks the pilot has no force feedback because there are no mechanical connections. This has a negative influence on flight safety. To solve the problem active side sticks are being developed and implemented nowadays. The active side sticks are not certified for any large civil airplanes. The aim of the paper is to give a preliminary assessment of safety of tracking the autopilot signals by the active stick in accordance with SAE ARP 4761 and SAE ARP 4764A recommendations.
Key words: active controls, control systems, flight safety, fault tree analysis, assessment of functional hazards.
Введение
Основной целью разработки современной гражданской авиационной техники является обеспечение безопасности полетов. Автоматизация
процесса управления самолетом не исключает важной роли летного экипажа. Принятие решений на особо опасных участках полета (таких, как взлет и посадка) остается за экипажем.
Изменение пространственного положения самолета осуществляется с использованием органов управления - ручки управления или штурвалы (служат для управления по тангажу и крену), а также педальные посты управления (служат для управления по курсу). В современном мире процесс эволюции органов управления в погоне за массогабаритными характеристиками вытесняет штурвалы при проектировании современных магистральных самолетов [Шумилов, 2013, с. 111]. Дальнейшее развитие систем управления следует ожидать в использовании активных боковых ручек управления, что обеспечит тактильное взаимодействие пилотов и позволит реализовать на ручках функции предупреждения и ограничения [Алёшин, 2013, с. 16]. Использование активных органов управления (рукояток управления основными аэродинамическим поверхностями, рычагов управления двигателем) позволит пилоту быть в контуре непосредственно и вмешаться в управление при отказах автопилота в случае экстренной необходимости, не создавая опасных эволюций динамики самолета.
Реализация на реальных гражданских самолетах взаимодействия активных органов управления с системой автоматического управления (САУ) влечет за собой внедрение новой функции - «Отслеживание активной ручкой заданных сигналов от САУ». Помимо новых функциональных требований к программно-аппаратному обеспечению, требующих комплекс мер в соответствии с нормативными документами DO-178, DO-254, также должен быть проведен процесс анализа и оценки безопасности внедряемой функции в соответствии с РЦ 25.1309 [НП «САП», 2015] и Р-4761 [Руководство и методы реализации процесса оценки, 2009].
Целью исследования является предварительная оценка безопасности (ПОБ) функции «Отслеживание активной ручкой заданных сигналов от
САУ». Данная оценка включает в себя оценку функциональных опасностей (ОФО) и анализ дерева отказов (АДО). Результатами ПОБ становятся требования по безопасности - уровни гарантии разработки функции (УГР/FDAL - Function Development Assurance Level), УГР компонентов, выполняющих функцию (IDAL - Item Development Assurance Level) и количественные требования к вероятности возникновения функциональных отказов, распределенные бюджетированием на отказы комплектующих изделий.
Оценка функциональных опасностей функции «Отслеживание активной ручкой заданных сигналов от САУ»
Первым шагом в проектировании новых функций в функциональных самолетных системах в процессе оценки безопасности является ОФО. ОФО определяется как упорядоченное всестороннее исследование функций для выявления и классификации их отказных состояний в соответствии со степенью опасности [Руководство и методы реализации процесса оценки, 2009, с. 13]. В ОФО рассматривается влияние отказных ситуаций на самолет, экипаж и пассажиров.
Для рассматриваемой функции «Отслеживание активной ручкой заданных сигналов от САУ» можно принять допущение, что не требуется оценка последствий для пассажиров, т.к. отсутствует непосредственное взаимодействие органов в кабине экипажа с пассажирами.
Оценка нарушений функции «Отслеживание активной ручкой заданных сигналов от САУ» представлена в таблице 1.
Таблица 1 - Оценка опасностей функции «Отслеживание активной ручкой заданных сигналов от САУ»
Функция Нарушени е функции Влияние на: 1. Самолет; 2. Экипаж Критичность Требуемая вероятность на час полета
Отслежив ание активной ручкой Потеря функции отслеживан ия 1. Отсутствует влияние на самолет (в гражданской авиации на текущий момент не сертифицирована данная УУП (усложнение условий полета, УУП классифицируется как незначительная
Функция Нарушени Влияние на: Критичность Требуемая
е функции 1. Самолет; вероятность на
2. Экипаж час полета
заданных активной функция ни на одном из вызвано особая ситуация.
сигналов ручкой магистральных самолетов). потерей части
от САУ заданных информации) Допустимая
сигналов 2. Экипаж теряет часть вероятность
от САУ информации об управлении (качественная
самолетом. Продолжение оценка):
полета осуществляется по вероятное
имеющимся исправными событие.
пилотажно-навигационным
приборам. Безопасное Допустимая
продолжение полета и вероятность
посадка. (количественная
оценка): <10-3
Ложное 1А. При вмешательстве А. КС КС
выполнени экипажа в управление (катастрофиче классифицируется
е функции может возникнуть ская как
отслеживан значительная эволюция ситуация, катастрофическая
ия динамики самолета, вызвано особая ситуация.
активной возможно столкновение с практической
ручкой землей на посадке в невозможност Допустимая
заданных условиях тумана; ью вероятность
сигналов невозможно безопасное предотвращен (качественная
от САУ продолжение полета и ия гибели оценка):
посадка. людей); практически
1Б. При игнорировании невероятное
экипажем некорректного Б. УУП событие.
поведения ручки (вызвано
управления нет влияния на вводящим в Допустимая
безопасность самолета; заблуждение вероятность
безопасное продолжение поведением (количественная
полета и посадка. ручки оценка): <10-9
управления,
2А. Экипаж вмешивается на которую
в управление самолетом, экипаж
создавая значительное перестает
управляющее воздействие обращать
от некорректно внимание).
отклоненной ручки
управления.
2Б. Экипаж игнорирует
некорректное поведение
ручки управления. При
возникновении
необходимости и
возможности берет
управление на себя или
отключает данную
функцию.
Оценка опасности функции «Отслеживание активной ручкой заданных сигналов от САУ» показывает, что ее нарушение является КС. Из этого следует, что ей соответствует ББЛЬ «А», который требует определенной независимости в процессах проектирования (валидация, разработка, верификация).
Анализ дерева отказов функции «Отслеживание активной ручкой заданных сигналов от САУ»
Основной целью анализа дерева отказов на этапе формирования требований по безопасности служит оценка предполагаемой архитектуры функции и задействованных компонентов «сверху-вниз».
Для формирования требований по безопасности к функции «Ошибочное отслеживание активной ручкой сигналов от САУ» в рамках настоящего исследования принято допущение, что будет рассмотрено только нарушение, приводящее к катастрофической ситуации (КС).
Анализ дерева отказов этапа формирования требований по безопасности представлен на рисунках 1-3.
Ложное выполнение функции отслеживания активной ручкой заданных сигналов от САУ (FDAL Л) <10-9
Формирование ложных сигналов отклонения на активную ручку управления от вычислительной части САУ
(ТЮЛЬ Л) <5*10-10
Формирования ложных сигналов блоком управления ручки
(ЕБЛЬ Л) <2.5*10-10
Самопроизвольное ложное отклонение активной ручки
(ЕБЛЬ Л) <5*10-10
Произвольное отклонение исполнительного механизма (ЕБЛЬ Л)
<2,5*10-10
Рисунок 1 - Анализ дерева отказов «Ложное выполнение функции отслеживания активной
ручкой сигналов от САУ» (часть 1)
Формирования ложных
сигналов блоком
управления ручки
(ТОЛЬ А)
<2,5*10"10
Блок управления ручки формирует ложный сигнал (ТЭАЬ А) <1.58*10"5
Блок контроля в САУ не определяет сигнал,
отличающийся от заданного (БЭЛЬ С) <1.58*10"5
Рисунок 2 - Анализ дерева отказов «Ложное выполнение функции отслеживания активной ручкой сигналов от САУ» (часть 2)
Произвольное отклонение исполнительного механизма (ББАЬ А) _<2,5*10"10_
Механизм произвольно отклоняется (ТОЛЬ А) <1.58*10"
Контроль ручки не определяет отказ (ББАЬ С) <1.58*10"5
Блок контроля в ручке не определяет сигнал,
отличающийся от заданного (РЭАЬ С) <3.97*10"'
Блок контроля в САУ не определяет сигнал,
отличающийся от заданного (БЭЛЬ С) <3.97*10"
Рисунок 3 - Анализ дерева отказов «Ложное выполнение функции отслеживания активной ручкой сигналов от САУ» (часть 3)
Анализ дерева отказов «Ошибочное отслеживание активной ручкой сигналов от САУ» позволяет сформулировать требования по безопасности к функции «Отслеживание активной ручкой сигналов от САУ», представленные в Таблице 2.
Таблица 2 - Требования по безопасности к функции «Отслеживание активной ручкой сигналов от САУ» из Анализа дерева отказов
Компонент Требование
Вычислительная часть САУ Вычислительная часть САУ должна быть спроектирована по уровню гарантии разработки компонента (ГОАЬ) «А»;
Вычислительная часть САУ Вид отказа «Формирование ложных сигналов отклонения на активную ручку управления» должен иметь вероятность на час полета <5*10"10;
Блок контроля в САУ Блок контроля в САУ должен быть спроектирован по уровню гарантии разработки компонента (ГОАЬ) не ниже «С»;
Блок контроля в САУ Вид отказа «Блок контроля в САУ не определяет сигнал, отличающийся от заданного», должен иметь вероятность на час полета <1.58*10"5
Блок управления ручки Блок управления ручки должен быть спроектирован по уровню гарантии разработки компонента (ГОАЬ) «А»
Блок управления ручки Вид отказа «Блок управления ручки формирует ложный сигнал» должен иметь вероятность на час полета <1.58*10"5
Исполнительный механизм ручки Исполнительный механизм ручки должен быть спроектирован по уровню гарантии разработки компонента (ГОАЬ) «А»
Исполнительный механизм ручки Вид отказа «Механизм произвольно отклоняется» должен иметь вероятность на час полета <1.58*10"5
В зависимости от конкретных архитектур требования могут меняться и уточняться.
Выводы
В рамках исследования была проведена ПОБ функции «Отслеживание активной ручкой заданных сигналов от САУ». По результатам ОФО выявлено, что требуемый FDAL для данной функции - «А». В соответствии с нарушением функции «Ошибочное отслеживание активной ручкой заданных сигналов от САУ», приводящим к КС, проведен предварительный анализ дерева отказов. Его результатом стали требования IDAL для блоков, участвующих в функции - вычислительная часть САУ, блок контроля в САУ, блок управления ручки, исполнительный механизм ручки.
Библиографический список
1. Алёшин Б. С. Системы дистанционного управления магистральных самолетов /
С. Г. Баженов, Ю. И. Диденко [и др.]. М.: Наука, 2013. 292 с.
2. Шумилов И. С. Возможные пути снижения массы систем управления рулями самолёта // Наука и образование. 2013. № 2. С. 111-147.
3. НП «САП». Рекомендательный циркуляр РЦ25.1309. Конструкция и анализ систем. Проект, 2015. 43 с.
4. Руководство и методы реализации процесса оценки безопасности бортовых систем и оборудования гражданских самолетов Р-4761. М.: ФГУП «НИИСУ», 2009. 301с.
References
1. Aljoshin B. S. (2013) Fly-by-wire control systems of long-range airplanes / S. G. Bazhenov, Ju. I. Didenko [et al.]. М.: Nauka, 2013. 292 p. (in Russian)
2. Shumilov I. S. (2013) Possible ways to reduce the weight of airplane controls // Science and education. 2013. № 2. P. 111-147. (in Russian)
3. The Union of aviation industrialists. Advisory circular RC25.1309. Systems design and analysis. Project, 2015. 43 p. (in Russian)
4. Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment R-4761. М.: Fеderal state unitary enterprise scientific research institute of standardization and unification, 2009. 301p. (in Russian)
