第三章航空器機輪剎車系統(tǒng)安全性分析與驗證3.1機輪剎車系統(tǒng)簡介3.2機輪剎車系統(tǒng)安全性分析3.3機輪剎車系統(tǒng)危險事件定量分析3.4機輪剎車系統(tǒng)GESTE驗證平臺本章小結(jié)

3.1機輪剎車系統(tǒng)簡介

3.1.1機輪剎車系統(tǒng)事故案例概述以下事故是從空軍歷年來所發(fā)生的事故案例中挑選出來的,通過對這些事故進行分析,可以得到剎車系統(tǒng)的一般出障模式以及引起剎車系統(tǒng)故障的原因。

事故一:某型飛機在當日第四個起落著陸滑行過程中,右輪爆破,導致飛機失控沖出跑道,險些造成一等飛行事故。事故的原因是右輪剎車主體靜片第二片金屬陶瓷層掉塊卡住動片,造成右輪拖胎爆破。該飛機剎車主體動、靜片在裝機后,共使用22個起落。有關(guān)工廠赴部隊檢查后認為:導致事故發(fā)生的原因是飛機在著陸滑行過程中速度大、剎車過猛,導致輪胎瞬間受力過大,進而爆破。

事故二:某型飛機在當日第三架次起飛滑跑瞬間,左輪冒煙,飛機右偏,飛行員蹬舵修正方向,收油門關(guān)車,飛機向前滑行約20米停住,兩個左輪胎爆破。事故的原因是飛機在裝配過程中,一鋁片和膠條帶入導管內(nèi)部,使用過程中進入剎車閥內(nèi)部,飛機起飛前進行正常剎車并松剎車時,外來物引發(fā)閥芯和閥套卡滯,導致右剎車壓力釋放不及時,造成輪胎拖死,最終導致剎爆輪胎。

事故三:某型飛機在著陸滑跑過程中兩主輪輪胎爆破,發(fā)生一起飛行事故征候。左輪輪胎爆破的原因是:飛機在著陸滑跑過程中,左輪慣性傳感器因內(nèi)部硬質(zhì)顆粒物卡滯而造成工作異常,放氣活門無法正常放氣,導致左輪輪胎拖胎爆破。右輪輪胎爆破的原因是:在飛機滑跑后段,飛行員為保持滑跑方向,蹬右舵剎車,由于小速度時慣性傳感器不工作,導致右輪輪胎拖胎爆破。

3.1.2機輪剎車系統(tǒng)事故案例分析

上述案例只是從大量事故案例中挑選出來的一些典型案例,對這些事故案例進行分析,可以很明顯地看出,飛機在降落時每個環(huán)節(jié)都必須保證精準、正確才能使飛機安全降落,稍有不慎就會發(fā)生危險。飛行員操控不當、剎車片反應(yīng)延遲甚至不反應(yīng)等,這些都是飛機降落中發(fā)生事故的主要原因。因此,要保證飛機剎車的安全進行,就必須保證每個環(huán)節(jié)都能安全、精準地完成。這就對整個剎車系統(tǒng)提出了很高的要求。

3.1.3機輪剎車系統(tǒng)工作過程

飛機機輪剎車系統(tǒng)是重要的機載設(shè)備,它是飛機上一個具有相對獨立功能的子系統(tǒng),是現(xiàn)代飛機的一個重要組成部分。剎車系統(tǒng)的主要作用是承受飛機的靜態(tài)重量、動態(tài)沖擊

載荷以及吸收飛機著陸時的動能,從而實現(xiàn)對飛機起飛、轉(zhuǎn)彎、滑行、著陸的綜合控制。剎車系統(tǒng)的運行狀態(tài)直接關(guān)系到飛機的平穩(wěn)起飛、安全著陸。為了充分利用地面提供給機

輪的摩擦阻力,快速、安全地吸收飛機在降落過程中由飛機動能產(chǎn)生的巨大能量,剎車系統(tǒng)綜合應(yīng)用了液(氣)壓傳動技術(shù)、電子技術(shù)、自動控制技術(shù)和材料科學技術(shù),以確保各項功能的正常運行。對現(xiàn)在軍用飛機而言,其安全往往受到各種因素的制約,這也對剎車系統(tǒng)提出了非常苛刻的要求。

1.工作原理

目前剎車系統(tǒng)的工作原理大致可分為以下四種類型:

(1)相對滑動量控制。相對滑動量指的是飛機前進方向的滑行速度和機輪線速度之間的差值與線速度的比值。飛機剎車時,速度傳感器向剎車控制系統(tǒng)提供飛機前輪和主輪的速度。

(2)開關(guān)式剎車控制。開關(guān)式剎車控制系統(tǒng)出現(xiàn)得比較早,其原理也比較簡單。在飛機剎車減速的過程中,飛機的減速率會增大到一定值,此時系統(tǒng)對剎車進行控制,打開其回

油路釋放壓力,剎車片不作用,機輪減小速率轉(zhuǎn)動;之后機輪上的慣性傳感器斷開微動電門,使電磁活門關(guān)閉,又使其回油路關(guān)閉,剎車壓力增大。通過這一系列操作可以使飛機在循環(huán)的過程中不斷減速,最后成功剎車。

(3)參考速率速度差控制。參考速率速度差控制是現(xiàn)代飛機中廣泛釆用的一種控制方式,工作原理也不復雜。事先在剎車控制模塊里設(shè)置參考速率,將其與實時的機輪轉(zhuǎn)速進行比較,同時使其按相關(guān)規(guī)律減小。當兩者的速度差超出之前的設(shè)定值時,剎車控制系統(tǒng)對回油路進行泄壓,以此防止機輪在剎車過程中出現(xiàn)打滑現(xiàn)象,以保證飛機剎車的安全。

(4)滑移率控制。滑移率指的是輪胎直行時剎車(或加速時輪胎的胎印和路面之間)所產(chǎn)生的滑移。通過滑移率進行控制主要指的是將滑移率一直保持在一個比較穩(wěn)定的范圍

內(nèi),通過反復調(diào)整來提高剎車的工作效率。滑移率控制方式有望使剎車效率達到最高。

下面選用滑移率控制式剎車系統(tǒng)進行研究。飛機機輪剎車系統(tǒng)的工作原理如圖3.1所示。圖3.1飛機機輪剎車系統(tǒng)的基本結(jié)構(gòu)

剎車動作實現(xiàn)的原理如下:飛機著陸后,輪載開關(guān)閉合,輪載信號保持1.5s后剎車信號有效,防滑控制器根據(jù)輪速傳感器、駕駛艙和飛控系統(tǒng)的輸入信號,接通剎車系統(tǒng)的液能源并產(chǎn)生控制電信號。剎車控制閥根據(jù)防滑控制器輸入的防滑控制電流大小,生成一定的剎車壓力施加到主剎車輪的剎車裝置上;主剎車輪的剎車裝置根據(jù)剎車控制閥輸入的剎車壓力的大小,生成一定的剎車力矩作用在主剎車輪上阻止機輪的轉(zhuǎn)動,進而使得主剎車輪的輪胎與跑道之間出現(xiàn)一定程度的相對滑動,最終產(chǎn)生阻礙飛機運動的摩擦力。

3.2機輪剎車系統(tǒng)安全性分析

3.2.1確定系統(tǒng)級危險在系統(tǒng)理論中,系統(tǒng)被視為分層結(jié)構(gòu),控制過程在層級間進行,高層約束會影響下一層的活動,在研究不同的危險時,只有總體結(jié)構(gòu)中的相應(yīng)子系統(tǒng)需要考慮細節(jié),其他可視為子系統(tǒng)的輸入或環(huán)境。

飛機著陸階段機輪剎車系統(tǒng)存在的系統(tǒng)級事故主要包括人員受傷或死亡、飛機受損、地面設(shè)施受損等,這些事故主要分為兩大類:

(1)A1:對人員(包括飛行員和地面工作人員)造成生命損失或者重傷。

(2)A2:對飛機或飛機系統(tǒng)以外的物體造成損害。

與這些損失有關(guān)的危險包括四大類:

(1)H1:推力不足以維持飛機受控飛行。

(2)H2:機身完整性喪失。

(3)H3:可控飛行撞地。

(4)H4:地面上的飛機離危險物體太近,或飛機離開跑道。

H4可以細化為與剎車減速相關(guān)的以下危險:

(1)H4－1:飛機降落、起飛或滑行時減速不足。

(2)H4－2:起飛時速度超過V1(決斷速度)后減速。

(3)H4－3:飛機靜止狀態(tài)時剎車失效。

(4)H4－4:飛機方向控制能力失效。

(5)H4－5:飛機處于安全區(qū)域(滑行道、跑道等)外。

(6)H4－6:起飛后機輪未鎖定。

與這些危險相關(guān)的高層系統(tǒng)安全約束是根據(jù)需求或設(shè)計上的約束對危險進行的簡單重述,相應(yīng)的安全約束如下:

(1)SC1:在降落、起飛中止或滑行時,剎車指令發(fā)出后,前向運動必須在規(guī)定時間內(nèi)減速。

(2)SC2:飛機在V1后不能減速。

(3)SC3:飛機停放時不得隨意移動。

(4)SC4:差動制動不能導致飛機航向控制能力失效。

(5)SC5:飛機不能處于安全區(qū)域(滑行道、跑道等)外。

3.2.2構(gòu)建分層控制結(jié)構(gòu)

在識別出事故、系統(tǒng)安全隱患、系統(tǒng)級安全約束(要求)后,STPA方法的下一步是建立飛機功能控制結(jié)構(gòu)模型,運用系統(tǒng)的功能控制結(jié)構(gòu)進行分析。

根據(jù)典型飛機機輪剎車控制系統(tǒng)組成原理,可以簡化出如圖3.2所示的整機級控制結(jié)構(gòu)模型。在該模型中只有三個不同層級的組件:飛行員、AACU和飛機物理系統(tǒng)。對于復

雜的飛機系統(tǒng),抽象級別可以用來放大當前正在考慮的控制結(jié)構(gòu)的各個部分。這種自頂向下的改進也有助于理解飛機的整體操作和識別組件之間的交互。

圖3.2整機級控制結(jié)構(gòu)

圖3.3給出了WBS功能控制結(jié)構(gòu),可以看出,為了更加全面地指定系統(tǒng)功能,從而更詳細地分析危險場景,圖3.3中的功能結(jié)構(gòu)模型不同于前文中的WBS物理結(jié)構(gòu)模型,其主要目的是顯示“功能性”結(jié)構(gòu),而不需要對實現(xiàn)形式進行任何假設(shè)。相較于圖3.2,圖3.3中的功能控制結(jié)構(gòu)添加了圖3.2中缺失的功能細節(jié)(例如自動剎車命令和狀態(tài))并省略了圖3.2中添加的物理細節(jié)和功能實現(xiàn)細節(jié)。

圖3.3WBS功能控制結(jié)構(gòu)

3.2.3識別不安全控制行為

STPA方法的第三步是識別潛在的危險控制行動,這一步驟主要是基于對過程模型的分析,具體過程模型可以采用關(guān)鍵信息來描述。在此階段,控制動作是手動提供還是自動提供是無關(guān)緊要的。當控制器的過程模型錯誤時,就會產(chǎn)生危險,錯誤的情況就是不安全控制行為的四種分類:

(1)沒有提供控制行為;

(2)提供了產(chǎn)生危險的控制行為;

(3)提供安全控制行為的時機過早或過晚;

(4)提供的控制行為作用時間過短或過長。

功能控制結(jié)構(gòu)中的每一個功能組件都需要有相應(yīng)的過程模型,可以用表格的形式來表

1.飛行員的不安全控制行為分析

飛行員的不安全控制行為如表3.2所示。

2.自動制動控制器的不安全控制行為分析

自動制動控制器的不安全控制行為如表3.3所示。

3.液壓控制器的不安全控制行為分析

液壓控制器的不安全控制行為如表3.4所示。

3.2.4致因因素分析

STPA方法的第四步是分析不安全控制行為的致因,確定系統(tǒng)潛在的安全性需求。在不安全控制行為導致的危險確定之后,根據(jù)STPA分析方法的控制反饋模型,可總結(jié)出剎車動作產(chǎn)生危險的兩方面原因:

①因采取錯誤控制措施導致的危險;

②采取了安全措施但未能執(zhí)行(因錯誤反饋信息)導致的危險。

STPA中的致因因素分析過程與傳統(tǒng)的致因分析有較大區(qū)別。與失效模式和影響分析(FailureModeandEffectsAnalysis,FMEA)相比,它不考慮所有的故障,而只考慮導致前述步驟分析出的不安全控制行動的致因;與故障樹分析相比,它類似于故障樹分析中對導致危險場景的識別,但識別的不僅僅是組件故障,還考慮間接關(guān)系。

1.飛行員的分析

下面考慮不安全控制行為P.1a1,即飛行員在未自動剎車(或剎車不足)時,不進行手動剎車(需要制動以避免H4－1和H4－5行為)。該過程控制結(jié)構(gòu)如圖3.4所示。

圖3.4控制結(jié)構(gòu)(飛行員)

1)錯誤控制P.1a1的原因分析

從不安全控制行為開始,向后追溯,可以通過對每個因果關(guān)系依次進行解釋來識別場景,如表3.5所示。

場景1飛行員誤認為自動剎車已解鎖,并開始工作(過程模型缺陷)。

過程模型有缺陷的原因可能包括:

(1)飛行員先前已配備自動剎車,但不知道后來已無法使用。

(2)如果AC液壓控制器檢測到故障,則接收到的反饋可能不足。

(3)當AC液壓控制器檢測到故障時,飛行員發(fā)現(xiàn)自動制動控制器仍處于準備狀態(tài),這是因為自動制動控制器沒有設(shè)計自檢功能。

(4)由于信息多、信息沖突、報警疲勞等原因,導致飛行員無法處理反饋。

場景2飛行員(雙人)在著陸時未手動剎車,因為每個飛行員都認為另一人在提供手動剎車指令(流程模型不正確)。

流程模型不正確的原因:飛行員從其他系統(tǒng)(擾流器、逆推力等)感受到初始減速,可能對目前由誰負責剎車有錯誤認知。

2)安全措施無效的分析

飛行員在需要時提供了手動剎車但剎車無效,反饋失效原因如表3.6所示。

場景3由于WBS處于備用制動模式,防滑閥關(guān)閉,因此飛行員的手動剎車指令無效。

這種安全措施無效的原因包括:

(1)WBS處于備用制動模式,可能是因為AACU在兩個通道中都檢測到了內(nèi)部故障,并關(guān)閉了液壓閥。

(2)防滑閥關(guān)閉可能是由于AC內(nèi)部故障導致輸出錯誤命令,使所有閥門關(guān)閉。

場景4由于WBS處于備用制動模式,防滑閥負載過大,因此飛行員的手動剎車指令可能無效。

這種安全措施無效的原因包括:

(1)WBS處于備用制動模式,飛行員關(guān)閉了液壓系統(tǒng)。

(2)由于AACU誤測到機輪在持續(xù)打滑(錯誤的過程模型,AC分析更詳細地處理了這種情況),因而使防滑閥負載過大。

(3)AC誤測到機輪在持續(xù)打滑,機輪速度反饋部分指示突然減速,可能由于機輪速度傳感器故障。

2.自動制動控制器的分析

下面考慮不安全控制行為AC.1a1,即在著陸或中止起飛過程中,自動剎車已解鎖但不提供制動命令。該過程控制結(jié)構(gòu)如圖3.5所示。

圖3.5控制結(jié)構(gòu)(自動制動控制器)

1)錯誤控制(AC.1a1)的原因分析

從不安全的控制行為開始,向后追溯,可以通過對每個因果關(guān)系依次進行解釋來確定場景。致因情景如表3.7所示。

場景1自動控制器誤測已達預定減速率。

自動制動存在這種過程模型缺陷的原因包括:

(1)機輪速度反饋波動太快(反饋不足),這可能會使實際的飛機速度難以檢測,從而得到了不正確的飛機速度。

(2)反饋失去準確性,可能是因為跑道是濕的,防滑功能影響機輪剎車。

場景2自動剎車已經(jīng)使飛機停止。

造成這種情況的原因包括:

(1)自動剎車檢測到飛機停止便停止剎車并鎖定(設(shè)計缺陷)。

(2)當飛機受到外力、推力或其他力的作用時,飛機可能會移動。

場景3自動制動未判定著陸或中止起飛狀態(tài)。

造成這種情況的原因包括:

(1)用于探測著陸的方法不適用于跑道或著陸條件。

(2)中止起飛時未探測到可能觸發(fā)的剎車條件。

(3)用于檢測著陸或中止起飛的傳感器故障。

2)正確措施但未能執(zhí)行的原因分析

著陸或起飛緊急制動時,自動剎車提供了正確的制動命令,但飛機沒有實現(xiàn)必要的減速。致因情景如表3.8所示。

場景4造成這種情況的原因包括:將制動系統(tǒng)切換為交替制動模式,然而提供自動制動命令時不能執(zhí)行。

(1)自動制動控制器繼續(xù)向飛行員反饋自動制動已啟動(正在制動)。

(2)如果AC液壓控制器的兩個通道都有瞬時故障,則系統(tǒng)切換到交替制動模式,故障被鎖定到下一個工作循環(huán)。

場景5液壓系統(tǒng)發(fā)生故障或飛行員手動禁用液壓系統(tǒng),然而提供自動制動命令時不能執(zhí)行。造成這種情況的原因包括:

(1)自動制動控制器無法獲取指令,從而無法持續(xù)提供制動命令。

(2)自動剎車控制器向飛行員反饋自動剎車已啟動。

3.液壓控制器的分析

下面考慮不安全控制行為HC.3a1,即HC在收到制動命令時,不向閥門提供位置命令。該過程控制結(jié)構(gòu)如圖3.6所示。

圖3.6控制結(jié)構(gòu)(液壓控制器)

場景HC在接收制動命令時沒有提供位置命令,這可能是因為制動命令是由自動制動控制器發(fā)送的,而手動制動命令是在自動制動命令之前或期間接收的。

造成這種情況的原因包括:

(1)收到飛行員提供的手動制動指令。

(2)駕駛員無意中發(fā)出了手動制動指令(如著陸或顛簸時腳踩在踏板上)。

(3)其他干擾,如硬著陸或傳感器故障,會使手動制動指令失效。

3.3機輪剎車系統(tǒng)危險事件定量分析

3.3.1剎車失效Bow-tie模型的構(gòu)建在剎車系統(tǒng)中,人們最不希望看到的就是剎車失效的發(fā)生,即飛機失去了制動的能力。因此本節(jié)選取剎車失效為關(guān)鍵事件(即頂事件),并根據(jù)引發(fā)剎車失效的原因及剎車失效可能導致的后果構(gòu)建Bow-tie模型。

1.剎車失效危險源分析

剎車系統(tǒng)由正常剎車系統(tǒng)和應(yīng)急剎車系統(tǒng)兩部分組成。正常剎車系統(tǒng)主要由制動操作裝置、傳感器、剎車控制組件(BCU)、液壓油路、剎車裝置和各類控制閥門等組成。應(yīng)急剎車系統(tǒng)主要由制動操作裝置、剎車裝置、液壓油路、轉(zhuǎn)換活門、應(yīng)急剎車活門等組成。以上任何部件發(fā)生故障都可能導致正常剎車系統(tǒng)或者應(yīng)急剎車系統(tǒng)失效,而當正常剎車系統(tǒng)和應(yīng)急剎車系統(tǒng)同時失效時會導致剎車失效的發(fā)生。

根據(jù)剎車原理,正常剎車失效和應(yīng)急剎車失效的故障樹分別如圖3.7和圖3.8所示。

圖3.7正常剎車失效故障樹

圖3.8應(yīng)急剎車失效故障樹

在表3.9中列出了剎車失效故障樹的基本事件及其發(fā)生概率值。

2.剎車失效事故后果分析

針對以往對飛機剎車失效后果的統(tǒng)計,將剎車失效導致的不安全后果分為以下四類:

(1)飛機停留在跑道上,無人員和機體損傷。

(2)飛機機體輕度損傷,無人員傷亡。

(3)飛機機體嚴重損傷,無人員傷亡。

(4)飛機發(fā)生起火并且導致人員傷亡。

3.剎車失效Bow-tie模型的構(gòu)建與后果分析

Bow-tie模型的頂事件是剎車失效。通過演繹推理可得出導致剎車失效的原因,通過歸納推理可得出剎車失效的結(jié)果。機輪剎車失效的Bow-tie模型構(gòu)建如圖3.9所示,Bow-tie

模型比較清晰地呈現(xiàn)了引發(fā)剎車失效的危險源以及不同后果。

3.3.2剎車失效Bow-tie模型的量化求解

求解各個階段事件發(fā)生的概率是Bow-tie模型量化分析的關(guān)鍵,其中就包括了基本事件和控制事件概率的求解。然而,在系統(tǒng)的量化分析中通常包含大量的參數(shù),這些參數(shù)可能是確定的,也可能是不確定的。傳統(tǒng)的方法是視所有事件的概率均服從于固定的概率模型,但在實際工程中,由于實驗條件的限制或者人為主觀因素的影響,人們往往無法得到精確的概率值。

1.全概率求解

在對Bow-tie模型開展量化分析時,首先要將所研究的模型的各個事件的邏輯關(guān)系表示出來,再調(diào)用該模型進行抽樣計算。圖3.10描述了建立剎車失效Bow-tie模型的過程。

圖3.10剎車失效Bow-tie模型構(gòu)建流程

若該部件失效時間T服從參數(shù)為λ的指數(shù)分布,記T~exp(λ),則可靠度函數(shù)為

在表3.10中列出了剎車失效故障樹的基本事件的故障時間及參數(shù)分布情況。

在控制事件抽樣的過程中,假定控制事件概率的分布情況服從均勻分布,即pSEj~B(a,b),因此對控制事件的概率pSE1,pSE2,…,pSEm進行均勻分布抽樣。在表3.11中列出了剎車失效控制事件的發(fā)生概率及抽樣取值區(qū)間。

如圖3.11所示,該圖為調(diào)用剎車失效Bow-tie模型并且抽樣的過程。圖3.11全概率下剎車失效Bow-tie模型的抽樣過程

在抽樣計算結(jié)束后,可以得到N次抽樣后關(guān)鍵事件(即頂事件)和后果事件的發(fā)生概率,并用條形圖表示它們的概率值分布情況,分別如圖3.12和3.13所示。

從圖3.12和圖3.13中可以看出,關(guān)鍵事件和后果事件的發(fā)生概率的分布情況總體呈現(xiàn)正態(tài)分布的趨勢。在圖3.13中,由于在剎車失效發(fā)生后采取了有效的控制行動,因此嚴重后果事件發(fā)生的可能性要低于輕度后果事件發(fā)生的可能性。

圖3.12全概率抽樣下關(guān)鍵事件的發(fā)生概率情況統(tǒng)計圖

圖3.13全概率抽樣下后果事件的發(fā)生概率情況統(tǒng)計圖

同樣,還可進一步得到它們的平均值和方差,即

對上述抽樣得到的關(guān)鍵事件和后果事件的概率值計算均值,可以得到由于剎車失效導致的關(guān)鍵事件和后果事件發(fā)生概率的均值,如圖3.14所示。

從圖3.14中可以發(fā)現(xiàn),后果事件的發(fā)生概率與引發(fā)它們的損失成反比,這一點與實際情況相符。

圖3.14全概率抽樣下剎車失效的關(guān)鍵事件和后果事件發(fā)生概率的均值

2.混合變量求解

在實際Bow-tie模型的量化求解中,如果把每一個控制措施生效或者失效的概率看作精確值,這顯然是不符合實際的,因為在工程實踐中只有很少的資料能夠作為參考,而這時往往也只能通過專家的經(jīng)驗用模糊的語言來對概率進行描述,如“左右”“良好”“大約”等[13]。混合變量求解是把Bow-tie模型全概率量化分析過程中的一部分隨機變量考慮為模糊變量,這樣做就解決了事件概率不夠精確或者事件概率伴有人為主觀性因素影響的問題。

在圖3.12所示的抽樣中加入有關(guān)三角隸屬函數(shù)的模糊變量,將四個控制事件按照不同隸屬度下的概率區(qū)間進行抽樣,可實現(xiàn)模糊控制事件下的抽樣。

通過編程,可以得到四種后果事件發(fā)生概率

的分布情況與隸屬度的關(guān)系。同樣,可以得到后果事件發(fā)生概率

四種后果事件發(fā)生概率的上、下限值的分布情況與隸屬度的關(guān)系如圖3.15~圖3.18所示。圖3.15后果事件OE1的發(fā)生概率與隸屬度的關(guān)系

圖3.16后果事件OE2的發(fā)生概率與隸屬度的關(guān)系

圖3.17后果事件OE3的發(fā)生概率與隸屬度的關(guān)系

圖3.18后果事件OE4的發(fā)生概率與隸屬度的關(guān)系

3.3.3剎車失效重要度分析

1.概率重要度

概率重要度又稱Birnbaum重要度,是Birnbaum于19世紀60年代首次提出的關(guān)聯(lián)系統(tǒng)部件的重要概念。它的物理意義是表示在其他底事件狀態(tài)不發(fā)生變化的情況下,第i個底事件概率發(fā)生變化引起頂事件概率發(fā)生變化的程度。Birnbaum重要度由系統(tǒng)可靠度h(t)對單元可靠度pi(t)的偏導數(shù)來獲得,因此,在時刻t第i個單元的Birnbaum重要度定義為

結(jié)合故障樹分析方法描述Birnbaum重要度,有

式中:pi(t)為第i個系統(tǒng)在t時刻處于正常工作的概率,qi(t)為第i個系統(tǒng)在t時刻的不可靠度,Q0(t)表示同一時刻系統(tǒng)的不可靠度。

2.關(guān)鍵重要度

關(guān)鍵重要度是基于Birnbaum衡定方法提出的,也叫相對概率重要度。由于在概率重要度中考慮的是底事件的發(fā)生概率變化一個單位時頂事件發(fā)生概率的變化程度,可見它并沒

有考慮到不同底事件發(fā)生概率變化的難易程度。例如,在一種可靠度較高的部件上,失效概率基本上是確定的,而對于一種新研發(fā)的部件,其失效概率可能隨著技術(shù)的改進有很大變化。

在這種情況下,將關(guān)鍵重要度定義為底事件i失效概率的變化率與它引起的頂事件失效概率的變化率之比,即

進一步可以得到:

3.3.4剎車失效重要度計算

1.剎車失效概率重要度計算

根據(jù)概率重要度的定義,在MATLAB中可計算15個基本事件和4個控制事件發(fā)生概率對后果事件發(fā)生概率的重要程度。

圖3.19表示了每一個基本事件和控制事件對四類后果事件的概率重要度。

圖3.19各個基本事件和控制事件對四類后果事件的概率重要度

2.剎車失效關(guān)鍵重要度計算

根據(jù)關(guān)鍵重要度的定義,在MATLAB中可計算15個基本事件和4個控制事件概率的變化率對后果事件發(fā)生概率的影響程度。

圖3.20所示為各個基本事件和控制事件對四類后果事件的關(guān)鍵重要度。

圖3.20各個基本事件和控制事件對四類后果事件的關(guān)鍵重要度

3.3.5剎車失效預防對策和控制措施

以剎車失效故障作為關(guān)鍵事件進行故障樹分析,可以得到可能導致剎車失效的四個主要原因,并針對這些危險制定相對應(yīng)的預防措施;對剎車失效故障發(fā)生后的事件樹進行分

析,可得到四種不同程度的后果情況,可針對這四類后果制定對應(yīng)的控制措施,并力圖消除這些可能導致的后果。機輪剎車失效的預防對策和控制措施如圖3.21所示。

圖3.21機輪剎車失效的預防對策和控制措施

3.4機輪剎車系統(tǒng)GESTE驗證平臺

3.4.1GESTE平臺概述GESTE平臺依據(jù)半實物仿真的原理進行模型的構(gòu)建,它綜合了數(shù)學仿真和物理仿真的優(yōu)點,模型仿真程度較高且相對容易操作。利用GESTE平臺模擬仿真的方法可以針對WBS典型安全性需求進行驗證,通過顯示飛機著陸滑行過程的參數(shù)變化,可以得到不同控制行為下飛機的運行狀態(tài),并針對飛機著陸提出相應(yīng)的安全性要求。依據(jù)對模型運行結(jié)果的分析,可達到驗證的目的。

GESTE平臺由顯示器、測試主機、實時處理機和嵌入式設(shè)備模擬器組成,如圖3.22所示。其中,電腦主機為測試主機,在GESTE軟件中可進行C語言源程序的開發(fā),可通過顯

示界面掌握模型運行情況并收集運行產(chǎn)生的參數(shù)。操作時實時處理器依據(jù)程序代碼運行,其操作系統(tǒng)是VxWorks嵌入式實時操作系統(tǒng),主要功能是對整個測試程序進行實時驅(qū)動,分析處理連續(xù)工作的模型。

圖3.22GESTE平臺設(shè)備

GESTE平臺的建模方法如圖3.23所示,其仿真模型的建立主要有構(gòu)建飛機降落的交聯(lián)環(huán)境模型、建立/操作顯示界面、編制源程序、運行模型、收集數(shù)據(jù)等幾個步驟。

圖3.23GESTE平臺建模方法

3.4.2典型安全性需求建模

1.模型構(gòu)建

在飛機著陸階段,與飛行員操作有關(guān)的安全性需求如下:

(1)在安全滑行速度達到規(guī)定值之前,飛行員須持續(xù)手動制動。

(2)飛行員在自動制動過程中不得關(guān)閉AACU電源。

(3)飛行員在進行手動剎車操作時,不能用力過大或者用力過小。

(4)液壓控制器在出現(xiàn)故障時必須反饋給自動剎車,必須鎖定自動剎車狀態(tài)(并反饋給飛行員)。

(5)必須向飛行員反饋手動制動的狀態(tài)以及是否有另一飛行員提供手動制動。

(6)著陸時必須向飛行員反饋是否需要手動制動。

(7)為飛行員提供一種手動觸發(fā)自動剎車的方法,以防WBS檢測不到著陸或中止起飛等情況。

簡化的飛機著陸滑行過程如下:

(1)落地自由減速過程。該過程包括自動剎車預設(shè)階段(根據(jù)著陸速度計算何時控制制動器)和飛行員手動剎車的反應(yīng)時間(操作的延遲時間或判定自動剎車失效的時間)。此階

段飛機有較小的減速率。

(2)手動/自動剎車過程。該過程主要是指制動器作用階段,這個過程中飛機的減速率較大。類似于自動剎車,手動剎車的強度可簡化為五個等級。

(3)到達安全速度的滑行階段。為簡化模型,下面將著陸要求設(shè)定為飛機靜止。

著陸過程中的參數(shù)及轉(zhuǎn)換方式設(shè)定如下

2.測試環(huán)境

為了更好地對著陸過程中與飛行員操作有關(guān)的安全性需求進行驗證,需要利用GESTE平臺建立WBS系統(tǒng)的模擬飛行員操作界面和降落過程狀態(tài)顯示界面,如圖3.24所示。

圖3.24機輪剎車控制顯示

在GESTE后臺,根據(jù)飛機降落時機輪剎車的運作方式,我們構(gòu)建了交聯(lián)模型,主要參數(shù)設(shè)置如下:

飛行員環(huán)境主要包括飛行員的各種動作指令,并向剎車系統(tǒng)傳輸控制信息,需設(shè)置的主要參數(shù)有自動剎車狀態(tài)、手動剎車強度和持續(xù)時間等。

剎車系統(tǒng)環(huán)境主要由飛行員動作指令控制,并向飛機環(huán)境傳輸剎車作用指令,用于控制自動剎車工作時飛機預設(shè)的減速率、手動剎車工作時剎車踏板的位置,具體參數(shù)有自動

剎車狀態(tài)、手動剎車強度、剎車持續(xù)時間等。

飛機環(huán)境參數(shù)是飛機執(zhí)行剎車指令的結(jié)果,是飛機滑行狀態(tài)、著陸過程的輸出。反映剎車狀態(tài)的參數(shù)是跑道剩余長度、飛機滑行速度、機輪溫度等。

3.實時測試

機輪剎車系統(tǒng)運作是根據(jù)飛行員下達的控制動作實時傳遞進行的,編制的模擬運行源程序是周期執(zhí)行的,每一次運行的響應(yīng)時間間隔是1s。編寫程序時可根據(jù)飛機著陸的邏輯

關(guān)系,第一步通過判斷開始參數(shù)值來選擇剎車狀態(tài),并開始滑行;第二步通過自動剎車的狀態(tài)值來判斷模型運行的是手動還是自動剎車;第三步是模型的運行過程。

利用GESTE平臺完成模型的建立、測試環(huán)境的設(shè)置后,接下來就可以進行仿真模型的運行測試。首先要將編寫的源程序加載到模型的運行腳本當中,與交聯(lián)模型連接輸入、輸出的參數(shù)。在測試的過程當中,平臺的顯示界面會實時顯示運行的狀態(tài),在收集方案中會保存輸出參數(shù)的結(jié)果并處理和顯示系統(tǒng)的反饋信息。GESTE平臺仿真模型的測試過程

如圖3.25所示。

圖3.25測試過程

3.4.3測試結(jié)果分析

1.自動剎車測試結(jié)果分析

在著陸環(huán)境正常、自動制動控制器無故障的情況下,飛行員可解鎖自動剎車系統(tǒng),按設(shè)定的減速率進行剎車控制。圖3.26所示為自動剎車的運行結(jié)果,可見在自動剎車系統(tǒng)控制下,飛機可以在跑道安全區(qū)域停止。

圖3.26自動剎車運行結(jié)果

2.手動剎車測試結(jié)果分析

在著陸環(huán)境不允許自動剎車和自動制動控制器故障的情況下,模型輸入?yún)?shù)為手動剎車強度以及手動剎車延時開始時間。

(1)當剎車強度為一級時,在延時時間3s內(nèi)開始剎車,結(jié)果顯示飛機能夠在跑道安全長度內(nèi)及時剎車,且剎車溫度保持在較低水平;當延時時間大于3s時,飛機有沖出跑道的危險。圖3.27顯示了模型運行參數(shù)的變化。

圖3.27運行結(jié)果(一級剎車強度)

(2)當剎車強度為三級時,在延時時間11s秒內(nèi)開始剎車,飛機能夠在跑道安全長度內(nèi)及時剎車,且剎車溫度保持在允許范圍內(nèi)。圖3.28顯示了模型運行參數(shù)的變化。

圖3.28運行結(jié)果(三級剎車強度)

(3)當剎車強度為MAX擋時,在延時時間3s內(nèi)進行剎車會導致機輪溫度迅速上升,機輪過熱易導致輪胎爆破;在延時時間3~15s內(nèi)開始剎車,飛機能夠在跑道安全長度內(nèi)及時剎車,且溫度變化在允許范圍內(nèi)。圖3.29是