Анализ безопасности гидравлической системы самолета Ту-154М по результатам выделения предвестников аварии

В настоящее время общепризнанно, что безопасность сложных технических систем является одним из важнейших факторов неценовой конкурентоспособности. На стадии эксплуатации технических систем вопросы вероятностного анализа безопасности не получают достаточно полного отражения в теории и практике обеспечения безопасности. Одно из следствий такого положения – разрыв между процессами управления проектированием и эксплуатацией, выраженный, в частности, в использовании различных несовместимых показателей безопасности. Тем самым нарушается системный подход сквозного управления качеством продукции, охватывающий все стадии жизненного цикла потенциально опасного объекта. Роль вероятностного статистического анализа на стадии эксплуатации иная, чем на стадии проектирования. Это объясняется тем, что поскольку объект уже изготовлен, то анализ направлен на выяснение того, отвечает он требованиям безопасности или нет. Если объект не отвечает установленным требованиям к безопасности, то очень важно выявить этот факт достаточно быстро, пока не произошла авария. В этом случае необходима экстренная разработка корректирующих мер, направленных на повышение безопасности. В условиях ограниченности ресурсов, корректирующие меры должны быть чётко обоснованны, чтобы не допустить распыления ресурсов. Поэтому разработка научных подходов оперативного управления безопасностью и методологии управления риском аварий с использованием вероятностного анали- зав процессе эксплуатации представляются актуальными проблемами.

В работе рассматриваются методы обеспечения безотказности сложных технических систем. Основное внимание уделяется системным методам качественного анализа безотказности, таким как «дерево отказов», методу анализа характера и последствий потенциальных отказов, обнаружению предотказного состояния и предотвращению отказов в эксплуатации. Рассмотрены современные методы вероятностного расчета риска.

Однако применение соответствующих методов в практике анализа систем недостаточно обосновано. Поэтому возникла необходимость выполнения исследований, направленных на разработку методики применения указанных методов на практике и выполнения риск-анализа систем самолётов.

Как правило, для анализа безопасности на стадии эксплуатации оперируют обычными, традиционно используемыми показателями надежности, такими как вероятность безотказной работы, интенсивность отказов, средняя наработка на отказ, параметр потока отказов. Для полной и корректной характеристики безопасности в эксплуатации их явно недостаточно, так как они не определяют тяжесть нарушений в эксплуатации. Между тем степень возможной близости нарушения к аварии является важной характеристикой нарушения. Это обусловливает целесообразность применения набора показателей, характеризующих тяжесть нарушений, и соответствующих методов оценки введенных показателей по эксплуатационным данным. При таком подходе удается учесть вероятность наступления исходного события, инициирующего нарушение, возможные пути развития нарушения и конечные состояния, а также обеспечить соответствие показателям типа риск [1].

Один из важных аспектов системного анализа безопасности сложных технических объектов при эксплуатации связан с выделением наиболее тяжелых нарушений для последующей выработки эффективных корректирующих воздействий и раннего предупреждения аварий. Нарушения эксплуатации технической системы с наибольшими значениями вероятности перехода нарушения в аварию (наиболее высокими значениями рейтинга) за некоторый фиксированный период эксплуатации называются предвестниками аварии [2].

Рассмотрим особенности расчёта риска и выделения предвестников аварий на примере анализа безопасности гидравлической системы самолетного парка Ту-154М. От гидравлической системы на Ту-154 осуществляется управление гидроусилителями систем управления всеми рулевыми плоскостями, торможением колес, выпуском и уборкой шасси. Отказ этой системы приводит к потере управления лайнером. Согласно статистике Госслужбы Гражданской авиации (ГА) и управления госнадзора за безопасностью полетов к 2009 г. отказы агрегатов в системах воздушных судов (ВС) распределились следующим образом: АиРЭО – 20,6 %, гидросистема – 24 %, системы управления – 17,6 %, двигатель и его агрегаты – 13 %, шасси – 13 %, системы кондиционирования, высотная, противопожарная системы – 10 %, прочие – 3 %. Наиболее часто отказы агрегатов в гидравлических системах происходили на самолетах Ту-154М. Причем эти отказы продолжают повторяться из года в год, и их число неуклонно растет. В 2008 г. имело место 7 инцидентов, связанных с гидросистемой, в 2009 г. их было уже 14.

Всякое нарушение нормальной эксплуатации систем (ННЭ) обуславливается полным либо частичным отказом агрегата системы. Отказ может быть следствием конструктивно-производственных недостатков либо нарушений, допущенных при техническом обслуживании. Этот отказ может рассматриваться в качестве исходного события (ИС). Он является источником последующего развития событий, которые могут развиться с различными вероятностями и по различным сценариям в аварию. Характер сценариев зависит от большого числа факторов, к которым можно отнести этап полета, атмосферные условия, уровень загруженности самолета, остаток топлива, возможность и вероятность отказов других агрегатов ит. п.

Анализ развития ИС в аварийную последовательность исходов удобно выполнять с использованием метода «деревьев событий». «Дерево событий» представляет собой граф, включающий исходное событие, промежуточные события и конечные состояния. Граф наглядно показывает возможные пути развития аварийной последовательности. «Дерево событий» строится с целью анализа последствий некоторого исходного события – I0, которое изображается в основании дерева, представляющего собой логическую диаграмму, которая определяет множе- ство конечных состояний объекта, каждое из которых является реализацией определенных сочетаний промежуточных событий, могущих повлиять на процессы развития аварии при заданном ИС.

Для каждого нарушения, неисправности или отказа агрегата гидросистемы, выделим N возможных аварийных последовательностей (АП), пронумерованных как E1 , ..., EN , и для каждой из них рассчитаем соответствующую условную вероятность Qi ( I =1,…, N ) перехода нарушения в аварию. Другими словами каждому нарушению, которое является исходным событием, поставим в соответствие N вероятностей перехода этого нарушения в аварию. Авария можетнаступить при реализации любой из N несовместных аварийных последовательностей. Таким образом, авария – это событие (в вероятностном смысле), которое является суммой несовместных событий E ₁, ..., Е_N . Следовательно, вероятность аварии Qi_o описывается формулой

N

Qi o = E Qi ( Ei / 1 o ) ,i =1^2-,N , (1) i = 1

где Qi ( Ei / I _o) – вероятность реализации i -й АП для данно-гоИС.

Тогда полная (безусловная) вероятность аварии при наступлении исходного события I _o можетбыть рассчита-напо выражению:

R ( I _o)= P ( I _o)( Ei / I _o), I =1,2,…, N , (2) где P ( I _o) – вероятность наступления исходного события I _o.

Графически «дерево событий» изображается в виде таблицы состояний и дихотомического правостороннего дерева.

В качестве примера построим «дерево событий» и рассчитаем вероятность исходного события на примере отказа, связанного с многоочаговым усталостным разрушением корпуса гидравлического насоса НП-89 первого двигателя. Тяжесть данного нарушения надо оценивать в виде вероятности возможного перехода его в аварию. Проанализируем потенциальные аварийные последовательности, которые могли бы реализоваться в процессе развития такого нарушения и рассчитаем их соответствующие риски.

Гидронасос НП-89 служитдля создания и поддержания рабочего давления в гидросистеме. Гидронасос плунжерной конструкции приводится в действие от коробки приводов двигателя [3]. Более 50 % всех инцидентов, связанных с отказами гидросистем самолетов Ту-154, были обусловлены низкой надежностью гидронасосов НП-89. За последние годы произошло более 100 случаев отказов насосов. Отказы отмечаются как на новых такинаотре-монтированных агрегатах в пределах существующего межгарантийного и назначенного ресурсов.

В основание дерева поместим наше исходное событие «многоочаговое усталостное разрушение корпуса гидравлического насоса НП-89». Аварийное состояние, связанное с разрушением гидронасоса, обусловлено следующими промежуточными событиями:

• – I ₁: значительной потерей гидрожидкости из бака первой и второй гидросистем с последующим падением давления в них до 150 кг/см² и одновременным загоранием светосигнализатора «падения давления в ГС»;

  – I ₂: работа второго НП-89 первой гидросистемы на втором двигателе в условиях масляного голодания, вызывающего кавитационный износ его узлов, создание условий для отказа второго НП-89 из-за заклинивания, и срез шлицевой муфты привода гидронасоса из-за масляного голодания;

  – I ₃: утечки масла из коробки приводов, в результате разрушения корпуса гидронасоса, что приводит к отказу двигателя;

  – I ₄: возникновение автоколебаний давления первой гидросистемы линии нагнетания с размахом, значительно превышающим допустимые из-за неравномерной работы НП-89 и разрушение его корпуса.

Исходное событие может привести (но может и не привести) к последующим событиям, непосредственно обусловленным ИС, которые называются событиями первого уровня. Каждое из событий первого уровня может вызвать (или не вызвать) последующие события, непосредственно им обусловленные. Другими словами, строим логическую диаграмму, которая определяет множество конечных состояний объекта, каждое из которых является реализацией определенных сочетаний промежуточных событий, которые могут повлиять на процессы развития аварии при заданном ИС.

Таким образом, для рассматриваемого исходного события I ₀ выделено девять несовместных аварийных последовательностей E 1,…, E 9. Вероятности реализаций каждого пути развития аварии определяем по формуле вероятности произведения независимых событий:

P ( E 1/ I _o) =0,99994·0,99999·0,999999·0,999999 ≈ 0,99999.

Вероятности реализаций других восьми аварийных последовательностей приведены ниже:

P ( E 2/ I _o) ≈ 9·10^–7; P ( E 3/ I _o) ≈ 3·10^–15;

P ( E 4/ I _o) ≈ 6·10^–6; P ( E 5/ I _o) ≈ 1,2· 10^–11;

P ( E 6/ I _o) ≈ 1,2· 10^–11;

P ( E 7/ I _o) ≈ 1,3 · 10^–17; P ( E 8/ I _o) ≈ 5·10^–17;

P ( E 9/ I _o) ≈ 6·10^–17.

Следующим шагом вычисляются вероятности аварии при наступлении каждого соответствующего исходного события. Так как аварийные последовательности, приводящие к аварии, несовместны, то условная вероятность перехода нарушения в аварию Q ( I _o) для исходного события I _o определится как сумма вероятностей реализации АП:

– для первой аварийной последовательности

Q 1( I _o)=9·10^–7+6·10^–6+1,2·10^–11 +

+1,2· 10–11+3·10–15=0,00000609.

Тогда полная (безусловная) вероятность аварии при наступлении исходного события I _o приметвид

R 1( I _o)= P 1( I _o)· Q 1( I _o)=10^–5·6,09· 10^–6=6,09· 10^–11.

Для остальных, рассматриваемых в работе отказов агрегатов, соответствующие вероятности перехода в аварию приведены ниже:

• –    повышенные по сравнению с установленными техническими условиями силы трения между золотником и гильзой тормозного клапана УГ-92 – R 2( I _o) = 1,6 · 10^–11;

• –    нарушение целостности цепи питания электромагнитного крана ЭК-47 от электрошины – R 3( I _o) = 2 · 10^–12;

• –    кратковременное заклинивание золотника золотникового пульта РГ-16А в результате попадания посторонних частиц в рабочую полость – R 4( I _o) = 2 · 10^–11;

• –    разрушение возвратной пружины золотника крана подачи давления на выпуск-уборку внутренних интерцеп-торов– R 5( I _o) =3· 10^–11;

• –    обрыв штока-компенсатора усилия рулевого привода РП-59 управления элеронов-интерцепторов – R 6( I _o)=9·10^–12;

• –    трещина в корпусе гидромотора управления зак-рылками– R 7( I _o) =3· 10^–12;

• –    разрушение трубопровода подвода гидрожидкости к фильтру – R 8( I _o) = 4,7 · 10^–12;

• –    разрушение дросселя постоянного расхода – R 9( I _o) =4,4· 10^–11;

• –    усталостное разрушение гидрофильтра – R 10( I _o) = =8·10^–12.

Предполагается, что рейтинги нарушений рассмотренных выше отказов R 1 = S (1)… R 10 = S (10) образуют выборку значений рейтинга из бесконечной генеральной совокупности. Полагая, что рейтинг S подчиняется нормальному распределению, в [1] предложено по выборочным характеристикам S и Ds ( S -оценка среднего значения рейтинга, Ds -оценка дисперсии рейтинга) найти такой предел, что с доверительной вероятностью Y >0,5 можно гарантировать попадание большей доли совокупности значений рейтинга в интервал [ О , S _пр], где S _пр –в математической статистике определен как верхний толерантный предел. Рассчитывается он по формуле для нормального распределения:

S _пр = S + k √ Ds ,               (3)

где k – толерантный множитель.

Значения толерантного множителя выбирают из таблицы в зависимости от доверительной вероятности – Y и объема наблюдений r . Выбор значений Y и r обусловлен задачами анализа безопасности. Для обеспечения безопасности технических систем значения Y целесообразно выбирать на уровне 0,9 и выше. Количество наблюдений примем равным r = 10, тогда толерантный множитель k =1,842.

Значения S и Ds вычисляютпо формулам [1]:

Ds= ∑ [ S ( i ) – S ]²/ r ,              (4),

S = ∑ S ( i )/ r .                     (5)

Для значений рейтинга нарушения S ( ti ), зафиксированного в моментвремени ti и не попавшего в этот интервал, справедливо условие S ( ti ) >  S _пр – так называемые выбросы. Таким образом, с высокой доверительной вероятностью Y можно отнести это нарушение к предвестникам аварии. В авиакомпании должны быть приняты меры по недопущению реализации исходных событий, относимых к категории предвестников аварии.

Ниже рассчитаны выборочные характеристики для рассматриваемых отказов гидросистемы:

S = ( ti )/10=0,77· 10^–11, Ds = ( ti )– S )²/10=1,2· 10^–11.

Тогда значение верхнего толерантного предела S _пр = = S + k · ≈ 2,98 · 10^–11. Таким образом, с высокой вероятностью можно отнести нарушения R (1), R (5), R (9) к предвестникам аварии, так как значение их рейтингов наруше-

ний резко выделяется из других значений, которые лежат ниже S _пр.

На практике выделение нарушений – предвестников аварии удобно проводить с помощью контрольной карты безопасности, под которой понимают отображение последовательности нарушений в виде временного ряда значений рейтинга нарушений на координатной сетке.

Таким образом, роль контрольной карты безопасности состоит в накоплении информации о нарушениях и наглядном выделении нарушений – предвестников аварии (рис. 2).

Отработка методик выявления предвестников аварии, вызываемых конструктивно-производственными недостатками, ошибками исполнителей при техническом обслуживании агрегатов, ошибками экипажей при технической и летной эксплуатации систем будет способствовать повышению безопасности полетов.