Вертолёт, 2005 № 01

Как «обуздать» вероятность

Ка-226

Процессы и события, приводящие к отказам техники и нарушению безопасности полета, носят вероятностный характер. Вопрос в том, как «обуздать» вероятность, какими рамками ее ограничить, каково должно быть соотношение определенности и неопределенности в требованиях к безопасности полета.

Надежность конструкции и безопасность полета — две стороны одной медали с момента зарождения авиации. В октябре 1905 года братья Райт в письме известному историку авиации капитану Фердинанду Ферберу сообщали: «3 октября мы совершили полет длиной 24535 метров в течение 25 минут 5 секунд. Вынуждены были прекратить полет вследствие нагревания подшипников в передаче». В январе 1910 года произошла первая катастрофа из-за разрушения крыла, погиб пилот самолета «Блерио» Леон де Лагранж. В 1911 году президент Статистической подкомиссии аэроклуба Франции полковник Бутье отмечал в своем рапорте, что в 1910 году по причине конструктивных недостатков произошло 16 катастроф с самолетами.

Долгое время большая часть аварий и катастроф происходила вследствие прочностных разрушений. Не случайно первыми нормами летной годности становятся именно нормы прочности, которые устанавливают величину расчетной разрушающей нагрузки. В 20-е годы прошлого столетия в нормы прочности вводится коэффициент безопасности, регламентирующий максимальные эксплуатационные нагрузки (речь пока не идет о допустимом риске разрушения конструкции и тем более о нормировании уровня безопасности летательного аппарата в целом).

Попытки задать уровень безопасности полета вероятностью событий относятся к середине прошлого столетия, когда возник повышенный интерес к вероятностно-статистическим методам в авиастроении. В работах 1954–1959 гг. американец Б. Лундберг обосновывает допустимую вероятность прочностного катастрофического разрушения силовой конструкции самолета числом 10'9, а отдельных агрегатов — числом 10'10.

Во второй главе «Норм летной годности гражданских вертолетов СССР» (1971 г.) сформулированы общие требования к безопасности полета вертолета без использования вероятностных понятий. В Нормах летной годности гражданской авиации Великобритании (BCAR 1974, 1986 гг.) есть требования к значениям вероятности возникновения опасных отказов для отдельных систем вертолета.

В Нормах летной годности гражданских самолетов и вертолетов СССР НЛГС-3 (1984) и НЛГВ-2 (1987) вероятностные требования к уровню безопасности полета приобрели системный и всеобъемлющий характер. Центральный в этом плане параграф 2.2.4 НЛГВ-2 (аналогичный параграфу 2.2.4 НЛГС-3) содержит требования к цифровым значениям вероятностей возникновения различных по степени опасности ситуаций. Рекомендуется, например, чтобы любое отказное состояние, приводящее к катастрофической ситуации, могло возникнуть с вероятностью, не превышающей 10'8 на час полета (для самолетов требуется обеспечить вероятность менее 10'9).

Параграф 2.2.5 НЛГВ-2 содержит положения, относящиеся к методам доказательства соответствия вертолета требованиям по отказобезопасности. В частности, применительно к отказным состояниям, являющимся следствием разрушения, заклинивания или рассоединения механического элемента, указывается, что в качестве одного из методов доказательства следует использовать «статистическую оценку безотказности подобных конструкций за длительный период эксплуатации…».

Казалось бы, процедура установления требований к отказобезопасности конструкции вертолета посредством задания количественных значений вероятностей получила свое логическое завершение. Между тем в сравнительно недавно введенных Нормах летной годности винтокрылых аппаратов АП-29, гармонизированных с американскими нормами FAR-29, нет ни одной цифры, нормирующей вероятность какого- либо события. В параграфе 29.571 АП-29 (2000 г.), посвященном усталостной прочности конструкции, вероятностный термин исключен, и требование теперь звучит так: «Оценка прочности основных элементов… должна показать, что не будет катастрофического разрушения из-за усталости…».

Есть мнение, что отсутствие в АП-29 цифровых значений вероятностей отказных состояний и вызванных ими ситуаций — досадная случайность, ущербность, неполнота или недостаток норм, которые должны быть устранены, восполнены или компенсированы при помощи рекомендательных циркуляров или иных документов, имеющих обязательный характер. Так ли это?

Задание уровня безопасности в цифровом выражении привлекает своей четкостью. Получены, скажем, вероятности возникновения катастрофической ситуации, равные 0,9х10-8 и 1,1х10'8. В первом случае требования НЛГВ-2 выполняются, во втором — нет.

В то же время именно конкретность цифр наводит на «детские» вопросы. Откуда взялась сама норма 10-8? Почему для самолетов это число в 10 раз меньше — 10'9? Утверждается, что с учетом интенсивности эксплуатации эта норма практически исключает катастрофы самолетов и вертолетов. Однако такое же суждение справедливо и для норм 10'10, 10'11 и т. д. Где остановиться? Может быть, хватит 10'7? Кто это решает?

Существует и морально-этический аспект проблемы. Любая допустимая величина возникновения катастрофы может вызвать обоснованные возражения, поскольку речь идет, прежде всего, о человеке, о сохранении его жизни. Численная норма угрозы — это легализованная игра в рулетку, где ставка — человеческая жизнь.

Посмотрим на проблему с другой стороны. Строгость постановки задачи требует, очевидно, такой же строгости в ее решении. Однако математически строгих способов подтверждения вероятности порядка 10'8 …10'9 практически не существует.

Сегодня, как и на заре развития авиации, нарушение прочности конструкции — один из основных факторов возникновения аварийных и катастрофических ситуаций. Между тем в действующих нормах прочности самолетов и вертолетов даются только детерминистические способы регламентирования и расчетов. Так, методика расчета безопасного ресурса предусматривает использование нескольких коэффициентов надежности. Эти коэффициенты учитывают разброс параметров законов распределения нагрузок и прочности конструкции и определяются эмпирически с использованием вероятностно-статистических методов обработки результатов испытаний. По технико-экономическим ограничениям испытаниям на выносливость подвергаются не более чем несколько сотен стандартных образцов и несколько образцов реальной конструкции. Полученные значения вероятностей при этом лежат в диапазоне значений 10-1 … 10'3. Теоретически распространить полученные данные на значения вероятностей порядка 10'8 …10'9 возможно только при условии принятия ряда допущений. Такого рода допущения могут быть достаточно правдоподобны, но строгого доказательства их истинности не существует. В то же время надежность методики расчета безопасного ресурса подтверждается опытом: при всех расследованиях причин катастроф не было случая, когда бы эта методика ставилась под сомнение. Причины катастрофических разрушений конструкции достаточно банальны — брак в производстве, некачественный ремонт, неполный учет эксплуатационных нагрузок. По сути — это проявления того же «человеческого» фактора, который является основной причиной приведших к тяжелым последствиям нарушений правил эксплуатации.

Отход АП-29 от количественных требований в части отказобезопасности в определенной мере обусловлен и спецификой винтокрылого аппарата, особенностями его летных свойств и конструкции. Способность вертолета лететь на малой скорости и висеть, садиться на режиме авторотации при отказе двигателей устраняет характерную для самолета фатальную неизбежность катастрофы при целом ряде функциональных отказов. Пока вертолет сохраняет целостность силовых деталей, способны вращаться и управляемы несущий и рулевой винты, а при полетах в отсутствие видимости сохранена индикация пространственного положения — возможны безопасная посадка и благополучное завершение полета. Поэтому сердцевина проблемы безопасности полета вертолета — это специфичные вертолетные детали: втулки несущих винтов, автоматы перекоса, лонжероны лопастей, постоянно видоизменяющиеся и по виду, и по применяемым материалом, и по используемым технологиям производства.

Подтвердить вероятность 10'8 на час полета «статистической оценкой безотказности подобных конструкций за длительный период эксплуатации» нереально, если иметь в виду, что суммарный налет всего мирового парка вертолетов оценивается цифрой порядка 10'8 часов, а применительно к конкретной конструкции речь может идти не более чем о 10'5 часов налета. Математический аппарат, как бы он ни был совершенен, не даст результатов более достоверных, чем исходные данные — для того, чтобы приготовить вкусные котлеты, недостаточно иметь хорошую мясорубку.

Требования АП-29

В АП-29 нет ни одной цифры, «нормирующей» вероятность какого-либо события. Вместе с тем, требования к отказобезопасности конструкции, в основном детерминистические, проходят красной нитью через все части этих Норм. Вот один из многих примеров такого рода требований (применительно к конструкции несущего и рулевого винтов): «Должна быть произведена оценка конструкции, включая детальный анализ отказов, чтобы установить все отказы, которые могут воспрепятствовать безопасному продолжению полета, и должны быть установлены средства, сводящие к минимуму вероятность их появления».

Вероятностные требования в системном виде появляются только в разделе F «Оборудование», однако и здесь цифровое выражение требований по вероятностям отсутствует.

Нормы НЛГВ-2 и НЛГС-3 де-факто определяют приемлемый уровень безопасности полета цифровыми значениями вероятностей отказных состояний и обусловленных отказными состояниями особых ситуаций. Это приводит к обязательности выполнения соответствующих расчетов.

Как было показано ранее, далеко не всегда можно выполнить вероятностный расчет с приемлемой достоверностью. Исключение из Норм летной годности количественных требований к надежности избавляет от обязательности расчетов. Однако в тех случаях, когда расчеты необходимы и возможны, они могут и должны производиться. Необходимость таких расчетов должен выявить качественный анализ надежности и отказобезопасности конструкции.

Именно такой анализ следует поставить во главу угла для доказательства того, что по своим летным свойствам и надежности конструкции вертолет обеспечивает требуемый уровень безопасности полета.

Качественный анализ отказобезопасности не сводится к одномоментному действию. Он начинается с самого начала проектирования при задании функций элемента. В процессе проектирования, изготовления и сертификационных испытаний проводятся различные исследования с более глубоким анализом результатов. Отметим наиболее важные моменты анализа отказобезопасности.

Система обороны тем более надежна, чем глубже она эшелонирована. Желательно иметь несколько линий обороны. В технике это называется резервированием. Качественный анализ отказобезопасности призван выявить все уязвимые звенья в цепи защитных мероприятий, обеспечивающих безопасность полета. Первая и важнейшая задача — выявить все критические части вертолета, нерезервируемые компоненты, единичный отказ которых приводит к катастрофическим последствиям.

По методике анализа и способам минимизации риска катастрофических последствий конструкцию вертолета можно «разбить» на две группы: силовая конструкция, призванная поддерживать целостность вертолета и его составных частей, к которой применимы требования разделов Си D АП-29; функциональные системы силовой установки и оборудования, к которым применимы требования разделов E и F АП-29.

Анализ первой группы конструкции позволяет составить перечень критических частей. Затем разрабатывается план работ, призванный обеспечить контролируемость критических частей в процессе проектирования, изготовления и эксплуатации и сохранить характеристики, на которых была основана сертификация, в течение всего времени эксплуатации. Планом предусматриваются все мыслимые реально выполнимые мероприятия для исключения возможности отказа (разрушения или опасной деформации) любой критической части.

При создании современной вертолетной техники редко используются конструктивные способы резервирования силовых элементов или отказобезопасные конструкции. Примером такой конструкции является торсионная подвеска лопастей. Втулки и валы несущих винтов, автоматы перекоса, поводки, тяги и другие детали управления несущими винтами, зубчатые колеса и валы редукторов остаются пока критическими. Поэтому перечень критических частей механической части вертолетной конструкции неизбежно оказывается весьма большим.

Иное дело функциональные системы и оборудование. Задача здесь — полностью исключить критические части. Опыт эксплуатации самолетов и вертолетов показывает, что частота отказов готовых изделий, применяемых в вертолетных системах и оборудовании, лежит в области вероятных значений, кроме того, отсутствуют методы, полностью исключающие возможность (подтверждающие практическую невероятность) отказов типовых изделий функциональных систем и оборудования.

Вторая задача — проверить выполнение вероятностных требований к отказным состояниям, содержащимся в п. 29.901 (с), п. 29.1309(b)(2) и других параграфах АП-29.

Методики анализа отказов механической конструкции и функциональных систем существенно различаются. Если механическая деталь имеет лишь один путь передачи нагрузок («однопутное» нагружение) — это критическая часть. Возможность отказа критической части исключается комплексом названных выше мероприятий.

Топливная, гидравлическая, электрическая, пилотажно-навигационная и другие системы построены, как правило, на принципах функциональной избыточности и резервирования. Они используют электрические, электронные, гидравлические и иные связи между подсистемами, реализующие алгоритмы переключения подсистем, предусматривают индикацию и сигнализацию отказных состояний и т. д. Если индикацию пространственного положения вертолета в условиях полета по приборам обеспечивают три авиагоризонта, не факт, что это гарантирует нужную степень безопасности полета. Достаточно посадить все приборы на одну шину электропитания — шина становится критической частью, причем отказ шины вряд ли можно отнести к категории практически невероятных событий.

Отказобезопасность систем подтверждается несколькими видами анализа, основным из которых является рассмотрение отказных состояний методом «сверху вниз». Такой анализ предусматривает ранжирование выполняемых системой функций по степени их критичности, установление возможных причин частичной или полной потери функций, проверку наличия индикации и сигнализации отказов, оценку правильности и достаточности указаний РЛЭ экипажу, установление (с учетом предыдущего) возможных последствий отказного состояния, установление категорий вероятности и степени опасности возникающих в полете ситуаций. При необходимости результаты анализа варьируются в зависимости от этапа полета и наличия определенных внешних условий (полеты в условиях обледенения, в горах, над водной поверхностью и т. д.).

Анализ методом «сверху вниз» дополняется анализом «снизу вверх», когда рассматривается каждый элемент системы, все возможные виды его отказов, последствия и прочее. Такой вид анализа позволяет не пропустить «общие» точки, отказ которых приводит к потере работоспособности одновременно основной и резервной частей, а также так называемые «латентные», или «спящие», отказы. «Спящий» отказ не проявляется ни в полете, ни при оперативном техническом обслуживании. Выявить недопустимую погрешность показаний приборов и датчиков часто можно только с помощью специальных стендов при проведении регламентных работ. В межрегламентный период погрешности накапливаются, вероятность отказа со временем растет. Если по результатам анализа отказобезопасности отказ таких приборов или датчиков может привести к опасным последствиям, то разумно расчетом обосновать периодичность регламентных работ, при которых вероятность отказа этих компонентов «обнуляется».

При неудачной компоновке нелокализованное разрушение ротора двигателя или иного изделия может привести к повреждению критических деталей, негерметичность трубопроводов — к попаданию агрессивной жидкости в разъем электропроводки и т. д. Для исключения такого нежелательного влияния некоторых видов отказов на работоспособность компонентов других систем используется «зонный» анализ. При таком анализе вертолет разбивается на зоны, и в пределах каждой зоны рассматриваются возможные негативные последствия близкого взаиморасположения компонентов различных систем.

В зависимости от сложности системы отнесение ее к любой из категорий вероятностей может потребовать или не потребовать численного анализа надежности. Например, если отказное состояние является следствием трех или более независимых и достаточно редких событий, можно отнести такое отказное состояние к событиям практически невероятным без расчетов. Здесь может быть поставлен вопрос: что такое достаточно редкое событие? Вновь придется принять, что проблему отказобезопасности строго математически решить невозможно. Здесь (впрочем, как и везде) нужен здравый смысл. Опытные эксперты разрешают такие вопросы достаточно уверенно, принимая во внимание опыт проектирования вертолетов, эксплуатационный уровень надежности изделий, современные возможности техники и технологии.

Отсутствие в АП-29, равно как и в FAR-29, цифровых значений вероятностей отказов позволяет выполнять требования норм строго и в полном объеме. Важно только, чтобы сохранялся приоритет здравого смысла над буквой. Именно здравый смысл и профессиональный опыт специалистов могут определить необходимый объем расчетов, испытаний и других работ, нужных для доказательства соответствия вертолета требованиям Норм летной годности. Пока и поскольку создание авиационной техники — процесс творческий, проблема безопасности полета решается не только следованием нормативным документам, но и «волшебной силою искусства».

Юрий САВИНСКИЙ, фирма «Камов»