《基于STAMP的航空安全理論與實(shí)踐》課件-第3章

第三章航空器機(jī)輪剎車系統(tǒng)安全性分析與驗(yàn)證3.1機(jī)輪剎車系統(tǒng)簡(jiǎn)介3.2機(jī)輪剎車系統(tǒng)安全性分析3.3機(jī)輪剎車系統(tǒng)危險(xiǎn)事件定量分析3.4機(jī)輪剎車系統(tǒng)GESTE驗(yàn)證平臺(tái)本章小結(jié)

3.1機(jī)輪剎車系統(tǒng)簡(jiǎn)介

3.1.1機(jī)輪剎車系統(tǒng)事故案例概述以下事故是從空軍歷年來所發(fā)生的事故案例中挑選出來的,通過對(duì)這些事故進(jìn)行分析,可以得到剎車系統(tǒng)的一般出障模式以及引起剎車系統(tǒng)故障的原因。

事故一:某型飛機(jī)在當(dāng)日第四個(gè)起落著陸滑行過程中,右輪爆破,導(dǎo)致飛機(jī)失控沖出跑道,險(xiǎn)些造成一等飛行事故。事故的原因是右輪剎車主體靜片第二片金屬陶瓷層掉塊卡住動(dòng)片,造成右輪拖胎爆破。該飛機(jī)剎車主體動(dòng)、靜片在裝機(jī)后,共使用22個(gè)起落。有關(guān)工廠赴部隊(duì)檢查后認(rèn)為:導(dǎo)致事故發(fā)生的原因是飛機(jī)在著陸滑行過程中速度大、剎車過猛,導(dǎo)致輪胎瞬間受力過大,進(jìn)而爆破。

事故二:某型飛機(jī)在當(dāng)日第三架次起飛滑跑瞬間,左輪冒煙,飛機(jī)右偏,飛行員蹬舵修正方向,收油門關(guān)車,飛機(jī)向前滑行約20米停住,兩個(gè)左輪胎爆破。事故的原因是飛機(jī)在裝配過程中,一鋁片和膠條帶入導(dǎo)管內(nèi)部,使用過程中進(jìn)入剎車閥內(nèi)部,飛機(jī)起飛前進(jìn)行正常剎車并松剎車時(shí),外來物引發(fā)閥芯和閥套卡滯,導(dǎo)致右剎車壓力釋放不及時(shí),造成輪胎拖死,最終導(dǎo)致剎爆輪胎。

事故三:某型飛機(jī)在著陸滑跑過程中兩主輪輪胎爆破,發(fā)生一起飛行事故征候。左輪輪胎爆破的原因是:飛機(jī)在著陸滑跑過程中,左輪慣性傳感器因內(nèi)部硬質(zhì)顆粒物卡滯而造成工作異常,放氣活門無法正常放氣,導(dǎo)致左輪輪胎拖胎爆破。右輪輪胎爆破的原因是:在飛機(jī)滑跑后段,飛行員為保持滑跑方向,蹬右舵剎車,由于小速度時(shí)慣性傳感器不工作,導(dǎo)致右輪輪胎拖胎爆破。

3.1.2機(jī)輪剎車系統(tǒng)事故案例分析

上述案例只是從大量事故案例中挑選出來的一些典型案例,對(duì)這些事故案例進(jìn)行分析,可以很明顯地看出,飛機(jī)在降落時(shí)每個(gè)環(huán)節(jié)都必須保證精準(zhǔn)、正確才能使飛機(jī)安全降落,稍有不慎就會(huì)發(fā)生危險(xiǎn)。飛行員操控不當(dāng)、剎車片反應(yīng)延遲甚至不反應(yīng)等,這些都是飛機(jī)降落中發(fā)生事故的主要原因。因此,要保證飛機(jī)剎車的安全進(jìn)行,就必須保證每個(gè)環(huán)節(jié)都能安全、精準(zhǔn)地完成。這就對(duì)整個(gè)剎車系統(tǒng)提出了很高的要求。

3.1.3機(jī)輪剎車系統(tǒng)工作過程

飛機(jī)機(jī)輪剎車系統(tǒng)是重要的機(jī)載設(shè)備,它是飛機(jī)上一個(gè)具有相對(duì)獨(dú)立功能的子系統(tǒng),是現(xiàn)代飛機(jī)的一個(gè)重要組成部分。剎車系統(tǒng)的主要作用是承受飛機(jī)的靜態(tài)重量、動(dòng)態(tài)沖擊

載荷以及吸收飛機(jī)著陸時(shí)的動(dòng)能,從而實(shí)現(xiàn)對(duì)飛機(jī)起飛、轉(zhuǎn)彎、滑行、著陸的綜合控制。剎車系統(tǒng)的運(yùn)行狀態(tài)直接關(guān)系到飛機(jī)的平穩(wěn)起飛、安全著陸。為了充分利用地面提供給機(jī)

輪的摩擦阻力,快速、安全地吸收飛機(jī)在降落過程中由飛機(jī)動(dòng)能產(chǎn)生的巨大能量,剎車系統(tǒng)綜合應(yīng)用了液(氣)壓傳動(dòng)技術(shù)、電子技術(shù)、自動(dòng)控制技術(shù)和材料科學(xué)技術(shù),以確保各項(xiàng)功能的正常運(yùn)行。對(duì)現(xiàn)在軍用飛機(jī)而言,其安全往往受到各種因素的制約,這也對(duì)剎車系統(tǒng)提出了非?？量痰囊?。

1.工作原理

目前剎車系統(tǒng)的工作原理大致可分為以下四種類型:

(1)相對(duì)滑動(dòng)量控制。相對(duì)滑動(dòng)量指的是飛機(jī)前進(jìn)方向的滑行速度和機(jī)輪線速度之間的差值與線速度的比值。飛機(jī)剎車時(shí),速度傳感器向剎車控制系統(tǒng)提供飛機(jī)前輪和主輪的速度。

(2)開關(guān)式剎車控制。開關(guān)式剎車控制系統(tǒng)出現(xiàn)得比較早,其原理也比較簡(jiǎn)單。在飛機(jī)剎車減速的過程中,飛機(jī)的減速率會(huì)增大到一定值,此時(shí)系統(tǒng)對(duì)剎車進(jìn)行控制,打開其回

油路釋放壓力,剎車片不作用,機(jī)輪減小速率轉(zhuǎn)動(dòng);之后機(jī)輪上的慣性傳感器斷開微動(dòng)電門,使電磁活門關(guān)閉,又使其回油路關(guān)閉,剎車壓力增大。通過這一系列操作可以使飛機(jī)在循環(huán)的過程中不斷減速,最后成功剎車。

(3)參考速率速度差控制。參考速率速度差控制是現(xiàn)代飛機(jī)中廣泛釆用的一種控制方式,工作原理也不復(fù)雜。事先在剎車控制模塊里設(shè)置參考速率,將其與實(shí)時(shí)的機(jī)輪轉(zhuǎn)速進(jìn)行比較,同時(shí)使其按相關(guān)規(guī)律減小。當(dāng)兩者的速度差超出之前的設(shè)定值時(shí),剎車控制系統(tǒng)對(duì)回油路進(jìn)行泄壓,以此防止機(jī)輪在剎車過程中出現(xiàn)打滑現(xiàn)象,以保證飛機(jī)剎車的安全。

(4)滑移率控制?；坡手傅氖禽喬ブ毙袝r(shí)剎車(或加速時(shí)輪胎的胎印和路面之間)所產(chǎn)生的滑移。通過滑移率進(jìn)行控制主要指的是將滑移率一直保持在一個(gè)比較穩(wěn)定的范圍

內(nèi),通過反復(fù)調(diào)整來提高剎車的工作效率?；坡士刂品绞接型箘x車效率達(dá)到最高。

下面選用滑移率控制式剎車系統(tǒng)進(jìn)行研究。飛機(jī)機(jī)輪剎車系統(tǒng)的工作原理如圖3.1所示。圖3.1飛機(jī)機(jī)輪剎車系統(tǒng)的基本結(jié)構(gòu)

剎車動(dòng)作實(shí)現(xiàn)的原理如下:飛機(jī)著陸后,輪載開關(guān)閉合,輪載信號(hào)保持1.5s后剎車信號(hào)有效,防滑控制器根據(jù)輪速傳感器、駕駛艙和飛控系統(tǒng)的輸入信號(hào),接通剎車系統(tǒng)的液能源并產(chǎn)生控制電信號(hào)。剎車控制閥根據(jù)防滑控制器輸入的防滑控制電流大小,生成一定的剎車壓力施加到主剎車輪的剎車裝置上;主剎車輪的剎車裝置根據(jù)剎車控制閥輸入的剎車壓力的大小,生成一定的剎車力矩作用在主剎車輪上阻止機(jī)輪的轉(zhuǎn)動(dòng),進(jìn)而使得主剎車輪的輪胎與跑道之間出現(xiàn)一定程度的相對(duì)滑動(dòng),最終產(chǎn)生阻礙飛機(jī)運(yùn)動(dòng)的摩擦力。

3.2機(jī)輪剎車系統(tǒng)安全性分析

3.2.1確定系統(tǒng)級(jí)危險(xiǎn)在系統(tǒng)理論中,系統(tǒng)被視為分層結(jié)構(gòu),控制過程在層級(jí)間進(jìn)行,高層約束會(huì)影響下一層的活動(dòng),在研究不同的危險(xiǎn)時(shí),只有總體結(jié)構(gòu)中的相應(yīng)子系統(tǒng)需要考慮細(xì)節(jié),其他可視為子系統(tǒng)的輸入或環(huán)境。

飛機(jī)著陸階段機(jī)輪剎車系統(tǒng)存在的系統(tǒng)級(jí)事故主要包括人員受傷或死亡、飛機(jī)受損、地面設(shè)施受損等,這些事故主要分為兩大類:

(1)A1:對(duì)人員(包括飛行員和地面工作人員)造成生命損失或者重傷。

(2)A2:對(duì)飛機(jī)或飛機(jī)系統(tǒng)以外的物體造成損害。

與這些損失有關(guān)的危險(xiǎn)包括四大類:

(1)H1:推力不足以維持飛機(jī)受控飛行。

(2)H2:機(jī)身完整性喪失。

(3)H3:可控飛行撞地。

(4)H4:地面上的飛機(jī)離危險(xiǎn)物體太近,或飛機(jī)離開跑道。

H4可以細(xì)化為與剎車減速相關(guān)的以下危險(xiǎn):

(1)H4－1:飛機(jī)降落、起飛或滑行時(shí)減速不足。

(2)H4－2:起飛時(shí)速度超過V1(決斷速度)后減速。

(3)H4－3:飛機(jī)靜止?fàn)顟B(tài)時(shí)剎車失效。

(4)H4－4:飛機(jī)方向控制能力失效。

(5)H4－5:飛機(jī)處于安全區(qū)域(滑行道、跑道等)外。

(6)H4－6:起飛后機(jī)輪未鎖定。

與這些危險(xiǎn)相關(guān)的高層系統(tǒng)安全約束是根據(jù)需求或設(shè)計(jì)上的約束對(duì)危險(xiǎn)進(jìn)行的簡(jiǎn)單重述,相應(yīng)的安全約束如下:

(1)SC1:在降落、起飛中止或滑行時(shí),剎車指令發(fā)出后,前向運(yùn)動(dòng)必須在規(guī)定時(shí)間內(nèi)減速。

(2)SC2:飛機(jī)在V1后不能減速。

(3)SC3:飛機(jī)停放時(shí)不得隨意移動(dòng)。

(4)SC4:差動(dòng)制動(dòng)不能導(dǎo)致飛機(jī)航向控制能力失效。

(5)SC5:飛機(jī)不能處于安全區(qū)域(滑行道、跑道等)外。

3.2.2構(gòu)建分層控制結(jié)構(gòu)

在識(shí)別出事故、系統(tǒng)安全隱患、系統(tǒng)級(jí)安全約束(要求)后,STPA方法的下一步是建立飛機(jī)功能控制結(jié)構(gòu)模型,運(yùn)用系統(tǒng)的功能控制結(jié)構(gòu)進(jìn)行分析。

根據(jù)典型飛機(jī)機(jī)輪剎車控制系統(tǒng)組成原理,可以簡(jiǎn)化出如圖3.2所示的整機(jī)級(jí)控制結(jié)構(gòu)模型。在該模型中只有三個(gè)不同層級(jí)的組件:飛行員、AACU和飛機(jī)物理系統(tǒng)。對(duì)于復(fù)

雜的飛機(jī)系統(tǒng),抽象級(jí)別可以用來放大當(dāng)前正在考慮的控制結(jié)構(gòu)的各個(gè)部分。這種自頂向下的改進(jìn)也有助于理解飛機(jī)的整體操作和識(shí)別組件之間的交互。

圖3.2整機(jī)級(jí)控制結(jié)構(gòu)

圖3.3給出了WBS功能控制結(jié)構(gòu),可以看出,為了更加全面地指定系統(tǒng)功能,從而更詳細(xì)地分析危險(xiǎn)場(chǎng)景,圖3.3中的功能結(jié)構(gòu)模型不同于前文中的WBS物理結(jié)構(gòu)模型,其主要目的是顯示“功能性”結(jié)構(gòu),而不需要對(duì)實(shí)現(xiàn)形式進(jìn)行任何假設(shè)。相較于圖3.2,圖3.3中的功能控制結(jié)構(gòu)添加了圖3.2中缺失的功能細(xì)節(jié)(例如自動(dòng)剎車命令和狀態(tài))并省略了圖3.2中添加的物理細(xì)節(jié)和功能實(shí)現(xiàn)細(xì)節(jié)。

圖3.3WBS功能控制結(jié)構(gòu)

3.2.3識(shí)別不安全控制行為

STPA方法的第三步是識(shí)別潛在的危險(xiǎn)控制行動(dòng),這一步驟主要是基于對(duì)過程模型的分析,具體過程模型可以采用關(guān)鍵信息來描述。在此階段,控制動(dòng)作是手動(dòng)提供還是自動(dòng)提供是無關(guān)緊要的。當(dāng)控制器的過程模型錯(cuò)誤時(shí),就會(huì)產(chǎn)生危險(xiǎn),錯(cuò)誤的情況就是不安全控制行為的四種分類:

(1)沒有提供控制行為;

(2)提供了產(chǎn)生危險(xiǎn)的控制行為;

(3)提供安全控制行為的時(shí)機(jī)過早或過晚;

(4)提供的控制行為作用時(shí)間過短或過長(zhǎng)。

功能控制結(jié)構(gòu)中的每一個(gè)功能組件都需要有相應(yīng)的過程模型,可以用表格的形式來表

1.飛行員的不安全控制行為分析

飛行員的不安全控制行為如表3.2所示。

2.自動(dòng)制動(dòng)控制器的不安全控制行為分析

自動(dòng)制動(dòng)控制器的不安全控制行為如表3.3所示。

3.液壓控制器的不安全控制行為分析

液壓控制器的不安全控制行為如表3.4所示。

3.2.4致因因素分析

STPA方法的第四步是分析不安全控制行為的致因,確定系統(tǒng)潛在的安全性需求。在不安全控制行為導(dǎo)致的危險(xiǎn)確定之后,根據(jù)STPA分析方法的控制反饋模型,可總結(jié)出剎車動(dòng)作產(chǎn)生危險(xiǎn)的兩方面原因:

①因采取錯(cuò)誤控制措施導(dǎo)致的危險(xiǎn);

②采取了安全措施但未能執(zhí)行(因錯(cuò)誤反饋信息)導(dǎo)致的危險(xiǎn)。

STPA中的致因因素分析過程與傳統(tǒng)的致因分析有較大區(qū)別。與失效模式和影響分析(FailureModeandEffectsAnalysis,FMEA)相比,它不考慮所有的故障,而只考慮導(dǎo)致前述步驟分析出的不安全控制行動(dòng)的致因;與故障樹分析相比,它類似于故障樹分析中對(duì)導(dǎo)致危險(xiǎn)場(chǎng)景的識(shí)別,但識(shí)別的不僅僅是組件故障,還考慮間接關(guān)系。

1.飛行員的分析

下面考慮不安全控制行為P.1a1,即飛行員在未自動(dòng)剎車(或剎車不足)時(shí),不進(jìn)行手動(dòng)剎車(需要制動(dòng)以避免H4－1和H4－5行為)。該過程控制結(jié)構(gòu)如圖3.4所示。

圖3.4控制結(jié)構(gòu)(飛行員)

1)錯(cuò)誤控制P.1a1的原因分析

從不安全控制行為開始,向后追溯,可以通過對(duì)每個(gè)因果關(guān)系依次進(jìn)行解釋來識(shí)別場(chǎng)景,如表3.5所示。

場(chǎng)景1飛行員誤認(rèn)為自動(dòng)剎車已解鎖,并開始工作(過程模型缺陷)。

過程模型有缺陷的原因可能包括:

(1)飛行員先前已配備自動(dòng)剎車,但不知道后來已無法使用。

(2)如果AC液壓控制器檢測(cè)到故障,則接收到的反饋可能不足。

(3)當(dāng)AC液壓控制器檢測(cè)到故障時(shí),飛行員發(fā)現(xiàn)自動(dòng)制動(dòng)控制器仍處于準(zhǔn)備狀態(tài),這是因?yàn)樽詣?dòng)制動(dòng)控制器沒有設(shè)計(jì)自檢功能。

(4)由于信息多、信息沖突、報(bào)警疲勞等原因,導(dǎo)致飛行員無法處理反饋。

場(chǎng)景2飛行員(雙人)在著陸時(shí)未手動(dòng)剎車,因?yàn)槊總€(gè)飛行員都認(rèn)為另一人在提供手動(dòng)剎車指令(流程模型不正確)。

流程模型不正確的原因:飛行員從其他系統(tǒng)(擾流器、逆推力等)感受到初始減速,可能對(duì)目前由誰負(fù)責(zé)剎車有錯(cuò)誤認(rèn)知。

2)安全措施無效的分析

飛行員在需要時(shí)提供了手動(dòng)剎車但剎車無效,反饋失效原因如表3.6所示。

場(chǎng)景3由于WBS處于備用制動(dòng)模式,防滑閥關(guān)閉,因此飛行員的手動(dòng)剎車指令無效。

這種安全措施無效的原因包括:

(1)WBS處于備用制動(dòng)模式,可能是因?yàn)锳ACU在兩個(gè)通道中都檢測(cè)到了內(nèi)部故障,并關(guān)閉了液壓閥。

(2)防滑閥關(guān)閉可能是由于AC內(nèi)部故障導(dǎo)致輸出錯(cuò)誤命令,使所有閥門關(guān)閉。

場(chǎng)景4由于WBS處于備用制動(dòng)模式,防滑閥負(fù)載過大,因此飛行員的手動(dòng)剎車指令可能無效。

這種安全措施無效的原因包括:

(1)WBS處于備用制動(dòng)模式,飛行員關(guān)閉了液壓系統(tǒng)。

(2)由于AACU誤測(cè)到機(jī)輪在持續(xù)打滑(錯(cuò)誤的過程模型,AC分析更詳細(xì)地處理了這種情況),因而使防滑閥負(fù)載過大。

(3)AC誤測(cè)到機(jī)輪在持續(xù)打滑,機(jī)輪速度反饋部分指示突然減速,可能由于機(jī)輪速度傳感器故障。

2.自動(dòng)制動(dòng)控制器的分析

下面考慮不安全控制行為AC.1a1,即在著陸或中止起飛過程中,自動(dòng)剎車已解鎖但不提供制動(dòng)命令。該過程控制結(jié)構(gòu)如圖3.5所示。

圖3.5控制結(jié)構(gòu)(自動(dòng)制動(dòng)控制器)

1)錯(cuò)誤控制(AC.1a1)的原因分析

從不安全的控制行為開始,向后追溯,可以通過對(duì)每個(gè)因果關(guān)系依次進(jìn)行解釋來確定場(chǎng)景。致因情景如表3.7所示。

場(chǎng)景1自動(dòng)控制器誤測(cè)已達(dá)預(yù)定減速率。

自動(dòng)制動(dòng)存在這種過程模型缺陷的原因包括:

(1)機(jī)輪速度反饋波動(dòng)太快(反饋不足),這可能會(huì)使實(shí)際的飛機(jī)速度難以檢測(cè),從而得到了不正確的飛機(jī)速度。

(2)反饋失去準(zhǔn)確性,可能是因?yàn)榕艿朗菨竦?防滑功能影響機(jī)輪剎車。

場(chǎng)景2自動(dòng)剎車已經(jīng)使飛機(jī)停止。

造成這種情況的原因包括:

(1)自動(dòng)剎車檢測(cè)到飛機(jī)停止便停止剎車并鎖定(設(shè)計(jì)缺陷)。

(2)當(dāng)飛機(jī)受到外力、推力或其他力的作用時(shí),飛機(jī)可能會(huì)移動(dòng)。

場(chǎng)景3自動(dòng)制動(dòng)未判定著陸或中止起飛狀態(tài)。

造成這種情況的原因包括:

(1)用于探測(cè)著陸的方法不適用于跑道或著陸條件。

(2)中止起飛時(shí)未探測(cè)到可能觸發(fā)的剎車條件。

(3)用于檢測(cè)著陸或中止起飛的傳感器故障。

2)正確措施但未能執(zhí)行的原因分析

著陸或起飛緊急制動(dòng)時(shí),自動(dòng)剎車提供了正確的制動(dòng)命令,但飛機(jī)沒有實(shí)現(xiàn)必要的減速。致因情景如表3.8所示。

場(chǎng)景4造成這種情況的原因包括:將制動(dòng)系統(tǒng)切換為交替制動(dòng)模式,然而提供自動(dòng)制動(dòng)命令時(shí)不能執(zhí)行。

(1)自動(dòng)制動(dòng)控制器繼續(xù)向飛行員反饋?zhàn)詣?dòng)制動(dòng)已啟動(dòng)(正在制動(dòng))。

(2)如果AC液壓控制器的兩個(gè)通道都有瞬時(shí)故障,則系統(tǒng)切換到交替制動(dòng)模式,故障被鎖定到下一個(gè)工作循環(huán)。

場(chǎng)景5液壓系統(tǒng)發(fā)生故障或飛行員手動(dòng)禁用液壓系統(tǒng),然而提供自動(dòng)制動(dòng)命令時(shí)不能執(zhí)行。造成這種情況的原因包括:

(1)自動(dòng)制動(dòng)控制器無法獲取指令,從而無法持續(xù)提供制動(dòng)命令。

(2)自動(dòng)剎車控制器向飛行員反饋?zhàn)詣?dòng)剎車已啟動(dòng)。

3.液壓控制器的分析

下面考慮不安全控制行為HC.3a1,即HC在收到制動(dòng)命令時(shí),不向閥門提供位置命令。該過程控制結(jié)構(gòu)如圖3.6所示。

圖3.6控制結(jié)構(gòu)(液壓控制器)

場(chǎng)景HC在接收制動(dòng)命令時(shí)沒有提供位置命令,這可能是因?yàn)橹苿?dòng)命令是由自動(dòng)制動(dòng)控制器發(fā)送的,而手動(dòng)制動(dòng)命令是在自動(dòng)制動(dòng)命令之前或期間接收的。

造成這種情況的原因包括:

(1)收到飛行員提供的手動(dòng)制動(dòng)指令。

(2)駕駛員無意中發(fā)出了手動(dòng)制動(dòng)指令(如著陸或顛簸時(shí)腳踩在踏板上)。

(3)其他干擾,如硬著陸或傳感器故障,會(huì)使手動(dòng)制動(dòng)指令失效。

3.3機(jī)輪剎車系統(tǒng)危險(xiǎn)事件定量分析

3.3.1剎車失效Bow-tie模型的構(gòu)建在剎車系統(tǒng)中,人們最不希望看到的就是剎車失效的發(fā)生,即飛機(jī)失去了制動(dòng)的能力。因此本節(jié)選取剎車失效為關(guān)鍵事件(即頂事件),并根據(jù)引發(fā)剎車失效的原因及剎車失效可能導(dǎo)致的后果構(gòu)建Bow-tie模型。

1.剎車失效危險(xiǎn)源分析

剎車系統(tǒng)由正常剎車系統(tǒng)和應(yīng)急剎車系統(tǒng)兩部分組成。正常剎車系統(tǒng)主要由制動(dòng)操作裝置、傳感器、剎車控制組件(BCU)、液壓油路、剎車裝置和各類控制閥門等組成。應(yīng)急剎車系統(tǒng)主要由制動(dòng)操作裝置、剎車裝置、液壓油路、轉(zhuǎn)換活門、應(yīng)急剎車活門等組成。以上任何部件發(fā)生故障都可能導(dǎo)致正常剎車系統(tǒng)或者應(yīng)急剎車系統(tǒng)失效,而當(dāng)正常剎車系統(tǒng)和應(yīng)急剎車系統(tǒng)同時(shí)失效時(shí)會(huì)導(dǎo)致剎車失效的發(fā)生。

根據(jù)剎車原理,正常剎車失效和應(yīng)急剎車失效的故障樹分別如圖3.7和圖3.8所示。

圖3.7正常剎車失效故障樹

圖3.8應(yīng)急剎車失效故障樹

在表3.9中列出了剎車失效故障樹的基本事件及其發(fā)生概率值。

2.剎車失效事故后果分析

針對(duì)以往對(duì)飛機(jī)剎車失效后果的統(tǒng)計(jì),將剎車失效導(dǎo)致的不安全后果分為以下四類:

(1)飛機(jī)停留在跑道上,無人員和機(jī)體損傷。

(2)飛機(jī)機(jī)體輕度損傷,無人員傷亡。

(3)飛機(jī)機(jī)體嚴(yán)重?fù)p傷,無人員傷亡。

(4)飛機(jī)發(fā)生起火并且導(dǎo)致人員傷亡。

3.剎車失效Bow-tie模型的構(gòu)建與后果分析

Bow-tie模型的頂事件是剎車失效。通過演繹推理可得出導(dǎo)致剎車失效的原因,通過歸納推理可得出剎車失效的結(jié)果。機(jī)輪剎車失效的Bow-tie模型構(gòu)建如圖3.9所示,Bow-tie

模型比較清晰地呈現(xiàn)了引發(fā)剎車失效的危險(xiǎn)源以及不同后果。

3.3.2剎車失效Bow-tie模型的量化求解

求解各個(gè)階段事件發(fā)生的概率是Bow-tie模型量化分析的關(guān)鍵,其中就包括了基本事件和控制事件概率的求解。然而,在系統(tǒng)的量化分析中通常包含大量的參數(shù),這些參數(shù)可能是確定的,也可能是不確定的。傳統(tǒng)的方法是視所有事件的概率均服從于固定的概率模型,但在實(shí)際工程中,由于實(shí)驗(yàn)條件的限制或者人為主觀因素的影響,人們往往無法得到精確的概率值。

1.全概率求解

在對(duì)Bow-tie模型開展量化分析時(shí),首先要將所研究的模型的各個(gè)事件的邏輯關(guān)系表示出來,再調(diào)用該模型進(jìn)行抽樣計(jì)算。圖3.10描述了建立剎車失效Bow-tie模型的過程。

圖3.10剎車失效Bow-tie模型構(gòu)建流程

若該部件失效時(shí)間T服從參數(shù)為λ的指數(shù)分布,記T~exp(λ),則可靠度函數(shù)為

在表3.10中列出了剎車失效故障樹的基本事件的故障時(shí)間及參數(shù)分布情況。

在控制事件抽樣的過程中,假定控制事件概率的分布情況服從均勻分布,即pSEj~B(a,b),因此對(duì)控制事件的概率pSE1,pSE2,…,pSEm進(jìn)行均勻分布抽樣。在表3.11中列出了剎車失效控制事件的發(fā)生概率及抽樣取值區(qū)間。

如圖3.11所示,該圖為調(diào)用剎車失效Bow-tie模型并且抽樣的過程。圖3.11全概率下剎車失效Bow-tie模型的抽樣過程

在抽樣計(jì)算結(jié)束后,可以得到N次抽樣后關(guān)鍵事件(即頂事件)和后果事件的發(fā)生概率,并用條形圖表示它們的概率值分布情況,分別如圖3.12和3.13所示。

從圖3.12和圖3.13中可以看出,關(guān)鍵事件和后果事件的發(fā)生概率的分布情況總體呈現(xiàn)正態(tài)分布的趨勢(shì)。在圖3.13中,由于在剎車失效發(fā)生后采取了有效的控制行動(dòng),因此嚴(yán)重后果事件發(fā)生的可能性要低于輕度后果事件發(fā)生的可能性。

圖3.12全概率抽樣下關(guān)鍵事件的發(fā)生概率情況統(tǒng)計(jì)圖

圖3.13全概率抽樣下后果事件的發(fā)生概率情況統(tǒng)計(jì)圖

同樣,還可進(jìn)一步得到它們的平均值和方差,即

對(duì)上述抽樣得到的關(guān)鍵事件和后果事件的概率值計(jì)算均值,可以得到由于剎車失效導(dǎo)致的關(guān)鍵事件和后果事件發(fā)生概率的均值,如圖3.14所示。

從圖3.14中可以發(fā)現(xiàn),后果事件的發(fā)生概率與引發(fā)它們的損失成反比,這一點(diǎn)與實(shí)際情況相符。

圖3.14全概率抽樣下剎車失效的關(guān)鍵事件和后果事件發(fā)生概率的均值

2.混合變量求解

在實(shí)際Bow-tie模型的量化求解中,如果把每一個(gè)控制措施生效或者失效的概率看作精確值,這顯然是不符合實(shí)際的,因?yàn)樵诠こ虒?shí)踐中只有很少的資料能夠作為參考,而這時(shí)往往也只能通過專家的經(jīng)驗(yàn)用模糊的語言來對(duì)概率進(jìn)行描述,如“左右”“良好”“大約”等[13]。混合變量求解是把Bow-tie模型全概率量化分析過程中的一部分隨機(jī)變量考慮為模糊變量,這樣做就解決了事件概率不夠精確或者事件概率伴有人為主觀性因素影響的問題。

在圖3.12所示的抽樣中加入有關(guān)三角隸屬函數(shù)的模糊變量,將四個(gè)控制事件按照不同隸屬度下的概率區(qū)間進(jìn)行抽樣,可實(shí)現(xiàn)模糊控制事件下的抽樣。

通過編程,可以得到四種后果事件發(fā)生概率

的分布情況與隸屬度的關(guān)系。同樣,可以得到后果事件發(fā)生概率

四種后果事件發(fā)生概率的上、下限值的分布情況與隸屬度的關(guān)系如圖3.15~圖3.18所示。圖3.15后果事件OE1的發(fā)生概率與隸屬度的關(guān)系

圖3.16后果事件OE2的發(fā)生概率與隸屬度的關(guān)系

圖3.17后果事件OE3的發(fā)生概率與隸屬度的關(guān)系

圖3.18后果事件OE4的發(fā)生概率與隸屬度的關(guān)系

3.3.3剎車失效重要度分析

1.概率重要度

概率重要度又稱Birnbaum重要度,是Birnbaum于19世紀(jì)60年代首次提出的關(guān)聯(lián)系統(tǒng)部件的重要概念。它的物理意義是表示在其他底事件狀態(tài)不發(fā)生變化的情況下,第i個(gè)底事件概率發(fā)生變化引起頂事件概率發(fā)生變化的程度。Birnbaum重要度由系統(tǒng)可靠度h(t)對(duì)單元可靠度pi(t)的偏導(dǎo)數(shù)來獲得,因此,在時(shí)刻t第i個(gè)單元的Birnbaum重要度定義為

結(jié)合故障樹分析方法描述Birnbaum重要度,有

式中:pi(t)為第i個(gè)系統(tǒng)在t時(shí)刻處于正常工作的概率,qi(t)為第i個(gè)系統(tǒng)在t時(shí)刻的不可靠度,Q0(t)表示同一時(shí)刻系統(tǒng)的不可靠度。

2.關(guān)鍵重要度

關(guān)鍵重要度是基于Birnbaum衡定方法提出的,也叫相對(duì)概率重要度。由于在概率重要度中考慮的是底事件的發(fā)生概率變化一個(gè)單位時(shí)頂事件發(fā)生概率的變化程度,可見它并沒

有考慮到不同底事件發(fā)生概率變化的難易程度。例如,在一種可靠度較高的部件上,失效概率基本上是確定的,而對(duì)于一種新研發(fā)的部件,其失效概率可能隨著技術(shù)的改進(jìn)有很大變化。

在這種情況下,將關(guān)鍵重要度定義為底事件i失效概率的變化率與它引起的頂事件失效概率的變化率之比,即

進(jìn)一步可以得到:

3.3.4剎車失效重要度計(jì)算

1.剎車失效概率重要度計(jì)算

根據(jù)概率重要度的定義,在MATLAB中可計(jì)算15個(gè)基本事件和4個(gè)控制事件發(fā)生概率對(duì)后果事件發(fā)生概率的重要程度。

圖3.19表示了每一個(gè)基本事件和控制事件對(duì)四類后果事件的概率重要度。

圖3.19各個(gè)基本事件和控制事件對(duì)四類后果事件的概率重要度

2.剎車失效關(guān)鍵重要度計(jì)算

根據(jù)關(guān)鍵重要度的定義,在MATLAB中可計(jì)算15個(gè)基本事件和4個(gè)控制事件概率的變化率對(duì)后果事件發(fā)生概率的影響程度。

圖3.20所示為各個(gè)基本事件和控制事件對(duì)四類后果事件的關(guān)鍵重要度。

圖3.20各個(gè)基本事件和控制事件對(duì)四類后果事件的關(guān)鍵重要度

3.3.5剎車失效預(yù)防對(duì)策和控制措施

以剎車失效故障作為關(guān)鍵事件進(jìn)行故障樹分析,可以得到可能導(dǎo)致剎車失效的四個(gè)主要原因,并針對(duì)這些危險(xiǎn)制定相對(duì)應(yīng)的預(yù)防措施;對(duì)剎車失效故障發(fā)生后的事件樹進(jìn)行分

析,可得到四種不同程度的后果情況,可針對(duì)這四類后果制定對(duì)應(yīng)的控制措施,并力圖消除這些可能導(dǎo)致的后果。機(jī)輪剎車失效的預(yù)防對(duì)策和控制措施如圖3.21所示。

圖3.21機(jī)輪剎車失效的預(yù)防對(duì)策和控制措施

3.4機(jī)輪剎車系統(tǒng)GESTE驗(yàn)證平臺(tái)

3.4.1GESTE平臺(tái)概述GESTE平臺(tái)依據(jù)半實(shí)物仿真的原理進(jìn)行模型的構(gòu)建,它綜合了數(shù)學(xué)仿真和物理仿真的優(yōu)點(diǎn),模型仿真程度較高且相對(duì)容易操作。利用GESTE平臺(tái)模擬仿真的方法可以針對(duì)WBS典型安全性需求進(jìn)行驗(yàn)證,通過顯示飛機(jī)著陸滑行過程的參數(shù)變化,可以得到不同控制行為下飛機(jī)的運(yùn)行狀態(tài),并針對(duì)飛機(jī)著陸提出相應(yīng)的安全性要求。依據(jù)對(duì)模型運(yùn)行結(jié)果的分析,可達(dá)到驗(yàn)證的目的。

GESTE平臺(tái)由顯示器、測(cè)試主機(jī)、實(shí)時(shí)處理機(jī)和嵌入式設(shè)備模擬器組成,如圖3.22所示。其中,電腦主機(jī)為測(cè)試主機(jī),在GESTE軟件中可進(jìn)行C語言源程序的開發(fā),可通過顯

示界面掌握模型運(yùn)行情況并收集運(yùn)行產(chǎn)生的參數(shù)。操作時(shí)實(shí)時(shí)處理器依據(jù)程序代碼運(yùn)行,其操作系統(tǒng)是VxWorks嵌入式實(shí)時(shí)操作系統(tǒng),主要功能是對(duì)整個(gè)測(cè)試程序進(jìn)行實(shí)時(shí)驅(qū)動(dòng),分析處理連續(xù)工作的模型。

圖3.22GESTE平臺(tái)設(shè)備

GESTE平臺(tái)的建模方法如圖3.23所示,其仿真模型的建立主要有構(gòu)建飛機(jī)降落的交聯(lián)環(huán)境模型、建立/操作顯示界面、編制源程序、運(yùn)行模型、收集數(shù)據(jù)等幾個(gè)步驟。

圖3.23GESTE平臺(tái)建模方法

3.4.2典型安全性需求建模

1.模型構(gòu)建

在飛機(jī)著陸階段,與飛行員操作有關(guān)的安全性需求如下:

(1)在安全滑行速度達(dá)到規(guī)定值之前,飛行員須持續(xù)手動(dòng)制動(dòng)。

(2)飛行員在自動(dòng)制動(dòng)過程中不得關(guān)閉AACU電源。

(3)飛行員在進(jìn)行手動(dòng)剎車操作時(shí),不能用力過大或者用力過小。

(4)液壓控制器在出現(xiàn)故障時(shí)必須反饋給自動(dòng)剎車,必須鎖定自動(dòng)剎車狀態(tài)(并反饋給飛行員)。

(5)必須向飛行員反饋手動(dòng)制動(dòng)的狀態(tài)以及是否有另一飛行員提供手動(dòng)制動(dòng)。

(6)著陸時(shí)必須向飛行員反饋是否需要手動(dòng)制動(dòng)。

(7)為飛行員提供一種手動(dòng)觸發(fā)自動(dòng)剎車的方法,以防WBS檢測(cè)不到著陸或中止起飛等情況。

簡(jiǎn)化的飛機(jī)著陸滑行過程如下:

(1)落地自由減速過程。該過程包括自動(dòng)剎車預(yù)設(shè)階段(根據(jù)著陸速度計(jì)算何時(shí)控制制動(dòng)器)和飛行員手動(dòng)剎車的反應(yīng)時(shí)間(操作的延遲時(shí)間或判定自動(dòng)剎車失效的時(shí)間)。此階

段飛機(jī)有較小的減速率。

(2)手動(dòng)/自動(dòng)剎車過程。該過程主要是指制動(dòng)器作用階段,這個(gè)過程中飛機(jī)的減速率較大。類似于自動(dòng)剎車,手動(dòng)剎車的強(qiáng)度可簡(jiǎn)化為五個(gè)等級(jí)。

(3)到達(dá)安全速度的滑行階段。為簡(jiǎn)化模型,下面將著陸要求設(shè)定為飛機(jī)靜止。

著陸過程中的參數(shù)及轉(zhuǎn)換方式設(shè)定如下

2.測(cè)試環(huán)境

為了更好地對(duì)著陸過程中與飛行員操作有關(guān)的安全性需求進(jìn)行驗(yàn)證,需要利用GESTE平臺(tái)建立WBS系統(tǒng)的模擬飛行員操作界面和降落過程狀態(tài)顯示界面,如圖3.24所示。

圖3.24機(jī)輪剎車控制顯示

在GESTE后臺(tái),根據(jù)飛機(jī)降落時(shí)機(jī)輪剎車的運(yùn)作方式,我們構(gòu)建了交聯(lián)模型,主要參數(shù)設(shè)置如下:

飛行員環(huán)境主要包括飛行員的各種動(dòng)作指令,并向剎車系統(tǒng)傳輸控制信息,需設(shè)置的主要參數(shù)有自動(dòng)剎車狀態(tài)、手動(dòng)剎車強(qiáng)度和持續(xù)時(shí)間等。

剎車系統(tǒng)環(huán)境主要由飛行員動(dòng)作指令控制,并向飛機(jī)環(huán)境傳輸剎車作用指令,用于控制自動(dòng)剎車工作時(shí)飛機(jī)預(yù)設(shè)的減速率、手動(dòng)剎車工作時(shí)剎車踏板的位置,具體參數(shù)有自動(dòng)

剎車狀態(tài)、手動(dòng)剎車強(qiáng)度、剎車持續(xù)時(shí)間等。

飛機(jī)環(huán)境參數(shù)是飛機(jī)執(zhí)行剎車指令的結(jié)果,是飛機(jī)滑行狀態(tài)、著陸過程的輸出。反映剎車狀態(tài)的參數(shù)是跑道剩余長(zhǎng)度、飛機(jī)滑行速度、機(jī)輪溫度等。

3.實(shí)時(shí)測(cè)試

機(jī)輪剎車系統(tǒng)運(yùn)作是根據(jù)飛行員下達(dá)的控制動(dòng)作實(shí)時(shí)傳遞進(jìn)行的,編制的模擬運(yùn)行源程序是周期執(zhí)行的,每一次運(yùn)行的響應(yīng)時(shí)間間隔是1s。編寫程序時(shí)可根據(jù)飛機(jī)著陸的邏輯

關(guān)系,第一步通過判斷開始參數(shù)值來選擇剎車狀態(tài),并開始滑行;第二步通過自動(dòng)剎車的狀態(tài)值來判斷模型運(yùn)行的是手動(dòng)還是自動(dòng)剎車;第三步是模型的運(yùn)行過程。

利用GESTE平臺(tái)完成模型的建立、測(cè)試環(huán)境的設(shè)置后,接下來就可以進(jìn)行仿真模型的運(yùn)行測(cè)試。首先要將編寫的源程序加載到模型的運(yùn)行腳本當(dāng)中,與交聯(lián)模型連接輸入、輸出的參數(shù)。在測(cè)試的過程當(dāng)中,平臺(tái)的顯示界面會(huì)實(shí)時(shí)顯示運(yùn)行的狀態(tài),在收集方案中會(huì)保存輸出參數(shù)的結(jié)果并處理和顯示系統(tǒng)的反饋信息。GESTE平臺(tái)仿真模型的測(cè)試過程

如圖3.25所示。

圖3.25測(cè)試過程

3.4.3測(cè)試結(jié)果分析

1.自動(dòng)剎車測(cè)試結(jié)果分析

在著陸環(huán)境正常、自動(dòng)制動(dòng)控制器無故障的情況下,飛行員可解鎖自動(dòng)剎車系統(tǒng),按設(shè)定的減速率進(jìn)行剎車控制。圖3.26所示為自動(dòng)剎車的運(yùn)行結(jié)果,可見在自動(dòng)剎車系統(tǒng)控制下,飛機(jī)可以在跑道安全區(qū)域停止。

圖3.26自動(dòng)剎車運(yùn)行結(jié)果

2.手動(dòng)剎車測(cè)試結(jié)果分析

在著陸環(huán)境不允許自動(dòng)剎車和自動(dòng)制動(dòng)控制器故障的情況下,模型輸入?yún)?shù)為手動(dòng)剎車強(qiáng)度以及手動(dòng)剎車延時(shí)開始時(shí)間。

(1)當(dāng)剎車強(qiáng)度為一級(jí)時(shí),在延時(shí)時(shí)間3s內(nèi)開始剎車,結(jié)果顯示飛機(jī)能夠在跑道安全長(zhǎng)度內(nèi)及時(shí)剎車,且剎車溫度保持在較低水平;當(dāng)延時(shí)時(shí)間大于3s時(shí),飛機(jī)有沖出跑道的危險(xiǎn)。圖3.27顯示了模型運(yùn)行參數(shù)的變化。

圖3.27運(yùn)行結(jié)果(一級(jí)剎車強(qiáng)度)

(2)當(dāng)剎車強(qiáng)度為三級(jí)時(shí),在延時(shí)時(shí)間11s秒內(nèi)開始剎車,飛機(jī)能夠在跑道安全長(zhǎng)度內(nèi)及時(shí)剎車,且剎車溫度保持在允許范圍內(nèi)。圖3.28顯示了模型運(yùn)行參數(shù)的變化。

圖3.28運(yùn)行結(jié)果(三級(jí)剎車強(qiáng)度)

(3)當(dāng)剎車強(qiáng)度為MAX擋時(shí),在延時(shí)時(shí)間3s內(nèi)進(jìn)行剎車會(huì)導(dǎo)致機(jī)輪溫度迅速上升,機(jī)輪過熱易導(dǎo)致輪胎爆破;在延時(shí)時(shí)間3~15s內(nèi)開始剎車,飛機(jī)能夠在跑道安全長(zhǎng)度內(nèi)及時(shí)剎車,且溫度變化在允許范圍內(nèi)。圖3.29是