Skip to content
R4X Flight Corridor Lab

Failure Procedures and Degraded Modes

22. Действия в случае отказов (degraded modes и процедуры)

Здесь рассмотрены конкретные сценарии отказов и как экипаж и система управления на них реагируют.

  1. Отказ одного двигателя (в полёте): мгновенно автоматика обнаруживает падение тяги (датчики N1, EGT) и идентифицирует, какой двигатель (например, №2). Далее происходит:

    1. Тяга оставшихся: Система плавно (за 1-2 секунды) увеличивает тягу остальных трёх двигателей до максимальной (если не была), чтобы компенсировать потерю суммарной тяги. Логика: в крейсерском режиме потеря 25% тяги не критична - просто будет снижаться скорость набора высоты, AP может даже удержать эшелон, хоть и с перерасходом топлива. На взлёте при отказе - тяги трёх хватит (см. выше).
    2. Компенсация асимметрии: Если отказ симметричного двигателя (например, левый задний) - возникает момент рыскания и крена. Автоматика немедленно отклоняет сопла противоположного двигателя (правого заднего) на небольшой угол в сторону противодейстия: например, потерян левый - правый отклонится влево, создавая тягу влево, чтобы нос не увело вправо[36][101]. Одновременно дифференцирует элевоны (поднимает левый чуть больше, правый меньше) - это противодействует кренящему моменту. Пилот почувствует небольшой рывок, но стабилизация сработает быстрее, чем он среагирует.
    3. Уведомление экипажа: Система подаст сигнал (звуковой + сообщение на дисплее: ENG 2 FAIL). Пилот по чек-листу: подтвердить отказ (смотрит параметры), отключить топливо/подать огнетушитель если пожар.
    4. Дальнейшие действия: Если отказ на взлёте - по стандартной процедуре продолжать взлёт, набрав высоту, убрать закрылки, развернуться и сесть (один двигатель отказал - идём на ближайший). Если в крейсерском - оценив влияние (возможно, хватает чтобы долететь, но если нет - запасной аэродром). R4X с 3 двигателями сможет продолжать полёт и даже достичь точки назначения если недалеко, однако лучше не рисковать.
    5. Посадка с одним отказавшим: Выполняется почти обычно, но заход с чуть большей скоростью (может +10 км/ч для надежности) и с асимметричной тягой, значит TVC и руль должны всё время компенсировать. Автопилот может помочь, или пилот вручную (но это сложно, лучше AP). На пробеге - удерживать курс дифференциальным реверсом.
    6. Остаточный риск: Несколько увеличенная посадочная дистанция (из-за менее эффективного реверса на одну сторону), но в пределах 1000 м, приемлемо.

  2. Отказ двух двигателей (на одном борту): более серьёзно - скажем, отказали оба левых (например, общий фактор: птицы стаей). Тут у нас 2 правых дают тягу, но сильнейший момент разворачивает налево. Автоматика:

    1. Увеличивает тягу правых (макс), отклоняет их сопла сильнее влево (чтобы тянули нос вправо) - но всё равно несбалансированный момент будет. Человеку или AP придётся дополнительно креном компенсировать, чтобы не завалиться. Скорее всего, R4X будет крениться на работающие двигатели, возможно ~5-10° крен нужен для уравновешивания (как классика, при 2 двиг слева - надо крениться). Это можно - крыло большое, справится. Но лететь на 2 двиг с креном = доп сопротивление, но сойдёт.
    2. Сообщение: ENG 1+2 FAIL. Пилоты: чрезвычайная ситуация. Если это на взлёте - немедленно прервать (но с двумя отказами разгон не выйдет, к счастью TVC и автопилот пытаются держать). Если уже оторвался - сразу возвращаться на посадку.
    3. Высоты на трёх движках: R4X даже на 2 движках, при пустом или среднем весе, сможет лететь горизонтально (T/W ~0.2, D/W ~0.2, т.е. 1:1). Но на полной массе - будет снижаться. Задача - продержаться пока развернётся на полосу и сядет.
    4. Компенсация: пилот должен будет держать педаль (или ее имитацию - ручкой рыскания) отклонённой, потому что даже с TVC у 2 движков максимум рыскания ограничен. Скорее всего, AP если жив, сможет удерживать курс, но если нет - требуются навыки.
    5. Заход с двумя отказами: Скорее всего, без автоматики - очень сложен. Но autopilot (если система уцелела) может провести примерно. Скорость захода увеличится (т.к. меньше тяги, по сути планирование). Возможно, придётся выбирать ближний запасной, потому что далеко не улетишь.
    6. После посадки: реверс только на 2х - асимметрично опасен, лучше не использовать полный, либо использовать с осторожностью, либо вообще довериться колесным тормозам и спойлерам (последние можно поднять полностью - аэродрэг поможет).
    7. Остаточный риск: Два отказа на одном борту - грубо, предельный случай, который может закончиться уходом с полосы при посадке (если не выровняет). Классифицируется как catastrophic failure (очень маловероятно), но мы хоть что-то можем сделать. Обычно в таких случаях - это аварийный случай, но с шансом на успех.

  3. Отказ переднего и заднего двигателя (диагональ): интересный случай - по одному на каждом борту, но один носовой, другой хвостовой. Суммарная тяга 2 осталось (как в (2) случае), но их плечевая конфигурация создаёт сильный тангажный момент (например, оба правых работают: один спереди тянет нос вниз, другой сзади - тянет нос вверх, они создают пар вращающий). Автоматика:

    1. Попытается путем отклонения сопел создать противомомент. Например, если работают правые: передний правый отклоним больше вниз (чтобы его вертикальная тяга частично компенсировала его же кабрирующий эффект), задний правый - наоборот поменьше отклоним (пусть чуть горизонтальнее, чтобы меньше тянул нос вниз). Это сложно, но doable.
    2. В итоге, будем иметь асимметрию + небольшой тангажный дисбаланс. Справится AP (иметь микс).
    3. Экипаж: это почти как случай (2) два движка, только чуть другая компрессия по осям. Процедура аналогична - аварийное возвращение.
    4. Риск: управляемость лучше, чем (2) потому что нет такого рыскания (у нас на каждом борту по движку). Но сложнее компенсировать тангажный момент - самолёт может норовить клюнуть или задирать нос. Что ж, у нас для этого элевоны + CG - должно хватить.

  4. Заклинивание сопла (одно): допустим, один из 16 приводов клинит сопло №3 в отклонении 30° вниз. Двигатель продолжает работать. Это порождает постоянный несимметричный момент (вокруг двух осей: тангаж и рыскание). Автоматика:

    1. Сразу понимает, что команда на сопло 3 не исполнилась (feedback по датчику угла). Через 0.5 сек, если не совпадает - сигнал TVC3 FAIL.

    2. Включает компенсатор: уменьшает тягу двигателя №3 (чтобы уменьшить эффект его отклонения) - возможно, переводит его на малый газ (если угол сильно не туда). Оставшимися двигателями компенсирует требуемую тягу (поднимает остальные).

    3. Компенсирует момент: сопла 1,2,4 могут немного отклониться противоположно, чтобы скомпенсировать момент от №3. Аэродинамически - элевоны и др. тоже помогут.

    4. Экипаж: решает - можно ли продолжать? Обычно - лучше сесть. Отключить поврежденный двигатель (не обязательно, но если тянет сильно в бок, наверное, лучше выключить №3 полностью и убрать тягу - тогда как отказ двигателя, см. (1) сценарий).

    5. Если решают не выключать (например, сопло заклинило на ±5° - это почти не страшно, тогда можно оставить и лететь дальше с небольшим расходом на коррекцию), надо контролировать больше параметров.

    6. Риск: в худшем случае, сопло заклинит на большом угле при полном режиме - это почти равно отказу двигателя (т.к. надо будет его выключать). Может вызвать в моменте рывок (срыв симметрии). Но у нас, помним, TVC - новые технологии, может глючить, но мы заложили fail-safe: если питание пропадает, сопло само аеродинамически вернется ближе к 0 (потому что ось шарнира отцентрована). Так что обычно заедание - либо на небольшом угле, либо в нейтрали.

    7. Тем не менее, экипаж должен быть готов: если ощущается неконтролируемый момент - сразу рубить двигатель, не ждать.

  5. Потеря всех воздушных датчиков (pitot/статические забиты): крайне маловероятно, но уже бывали случаи. Если 4 датчика дали разнобой - FCC распознает Air Data Invalid. Автоматика переходит на Alternate Law - теперь скорость и высота используются оценочные: по GPS (скорость относительно земли) и по инерциалке (набор/снижение). Конечно, точность так себе - может быть опасна перегрузить крыло или свалиться, т.к. AoA тоже пропадёт.

    1. В этом режиме Envelope Protection отключается (AP не знает где границы). Поэтому - Direct Control essentially. Пилоты получают указание USE STANDBY INSTRUMENTS (есть резервные механические или меньшей точности). Они должны поддерживать режим по ощущениям: например, скорость - по углу тангажа и тяге, как в старые времена.

    2. FCS всё ещё демпфирует и стабилизирует - гироскопы-то живы. Значит, не упадём сразу, но нужно очень аккуратно.

    3. Процедура: прервать миссию, выйти на безопасную высоту, выполнить Unreliable Airspeed чек-лист (набор режимов: 85% N1 = ~300 km/h, 50% N1 = ~200 km/h - опытные пилоты знают). Потихоньку снизиться, посадить при визуальном контакте (на приборы лучше не полагаться). У BWB, благо, низкая нагрузка на крыло - при сомнении лучше держать побольше скорость.

    4. Риск: велика вероятность жёсткой посадки (неоптимальной), но самолёт цел. В испытательной ситуации, кстати, обязательно будут дублирующие независимые сенсоры (standby), так что 100% потери данных - очень маловероятно.

  6. Потеря электроснабжения (полная): условие - отказ всех 4 генераторов, и батареи разряжены. Без электричества - практически неуправляемо. Рули стоят, двигатели - без управления (но могут саморегулироваться).

    1. Сразу развёртывается RAT - турбинка, дающая ~50 kW питания. Она питает основной FCC канал и пару приводов (минимальный контроль). Если RAT не выдвинулась - совсем беда (надеемся, будет).

    2. С RAT: пилот может чуть шевелить элевоны и один-два двигателя (FADEC на аварийном питании). Можно попробовать планировать до посадки.

    3. Процедура: если потеря питания на эшелоне - практически неизбежна катастрофа, но RAT + батареи дают шанс. Надо немедленно снижаться, пытаясь управлять запасом.

    4. Риск: считается крайне катастрофичным событием с вероятностью ~10^-9 (т.е. мы допускаем, что этого не случится). BWB тут ничем не лучше или хуже другого самолёта - если все генераторы вырубились (например, решено как “multiple engine flameout due volcanic ash” scenario) - outcome обычно плох. У нас 4 двигателя, все заглохнуть от пепла - ну, 747-му случалось. R4X можно попытаться планировать - аэродинамика позволяет длительно планировать (L/D 17, с 13 км можно ~200+ км пролететь планируя), так что, может, дотянем до полосы.

  7. Отказ системы управления (FCC):

    1. Отказ 1 или 2 каналов - как говорили, резерв. Экипажу высветится AUTOPILOT OFF (если 2 канала не сходятся, AP отключится) и перейдём на Direct law с функциональностью демпферов. Пилот должен вручную вести.

    2. Если отказ 3 каналов (все вычислители): останется Mechanical Backup (MBU) - у нас правда нет механической проводки, но возможно, есть резервный аналоговый контроллер - его пока нет, но можно предусмотреть. Иначе - полный Direct.

    3. Direct law: означает нет защит, но усилие на ручке всё ещё идёт к рулю (электрически, но прямой закон “ручка-элевон”). Лететь можно, но сложнее. BWB с релаксом - скорее всего потребуется постоянно подруливать.

    4. Процедура: MANUAL CONTROL - KEEP ATTITUDE - пилоты как на обычном самолёте, просто нужно быть аккуратным (углы осторожно). Надо снизить вес, простые манёвры, сесть.

    5. Риск: управляемость есть, но если пилоты не справятся (особенно на взлёте или посадке) - опасно. Поэтому, например, взлёт без AP - возможно, вообще запрещён (всегда на AFS).

  8. Пожар/перегрев в двигателе:

    1. Например, пожар правого переднего. Датчики огня -> Alarm. Автоматика: отключает двигатель (команду на отсечку топлива), отклоняет сопло нейтраль (чтобы струя огня не била в корпус). Экипаж жмёт Fire Bottle A, ждёт, если не потух - B.

    2. Если потушено - двигатель остаётся мёртвым (ситуация (1) отказ). Если не потушено - предполагаем, что пламя выйдет наружу. Есть риск повреждения крыла/фюзеляжа. Но композит вроде при таких сценариях - либо горит (плохо), либо отвалится двигатель (ещё хуже?).

    3. Процедура: быстрое снижение, посадка.

    4. Риск: как в (1) плюс вероятность повреждения конструкции. BWB, на счастье, мало топлива в непосредственной близости (внешние баки далеко от переднего двиг). Так что, может, только сам двигатель выгорит.

    5. В случае пожара заднего двигателя, он над крылом: огонь может повредить хвост. Опять же, фюзеляж композит - может обуглиться.

    6. Systems: на землю и тушить.

  9. Отказ электропривода/гидропривода рулей:

    1. Например, заклинил левый наружный элевон. Система: откл. серво, ставит его в нейтраль, считает потерянным. Другие рули компенсируют (правый, внутренние).

    2. Если заклинил в отклонённом положении - добавит противоположный крен элевонами других секций + TVC, и обявит FLIGHT CONTROL FAULT. Возможно, потребует снижение, посадку.

    3. Посадка с одним “элементом stuck”: выполнима, просто машина будет иметь небольшой крен постоянно. AP (если работает) может увести нейтральное положение, пилот и не заметит.

    4. Риск: небольшой (1 из 4 руля - небольшое влияние). Если заклинило несколько - хуже, но вероятность ещё меньше.

  10. Потеря элетропитания на тормозах/шасси не вышло:

    1. Если потеря тормозов: у нас 2 канала гидры + антискид. Если ничего - на худшее есть тормозной парашют.
    2. Процедура: в случае отказа норм. тормозов, парашют deploy (вручную). R4X можно оснастить 2× 15 м парашютами. Они дадут замедление ~1.5-2 m/s², остановят на 1500 м. Надо просто знать, что полоса нужна длиннее.
    3. Не вышло шасси: BWB конструкция широкая, если сядем на брюхо, то достаточно прочная нижняя панель может выдержать скольжение. Но искры, пожар - риск.
    4. Процедура: при отказе шасси (ни одна стойка не зафиксировалась) - уповать на привод насоса, ручной сброс замков, трясти самолёт, чтобы вышли. Если всё, нет - возможно, посадка на грунт (чтобы мягче).
    5. Риск: приземление без шасси - вероятное разрушение самолёта, но спасение экипажа (BWB корпус как “капсула” - может, и нормально).

Уход на второй круг при отказе: - Критичный кейс: отказ двигателя на малой высоте при уходе. Например, решили уходить, дали тягу, и тут один двигатель не дал тяги. R4X, правда, не сильно зависит от 1 двигателя, но всё же, на 50 м это стресс. - Процедура: если отказ до V1 - не взлетать; после - взлетать. Если при уходе (когда уже на глиссаде): go-around continued - т.е. тянем на оставшихся, TVC чуть больше вниз - должно вытащить. - “Точка принятия решения”: обычно V1. У нас V1 ~170 km/h.

Сводка: процедуры при отказах у R4X во многом аналогичны существующим для четырёхдвигательных самолётов, но добавляется управление через TVC. Экипажу придется иметь дело с возможно непривычными вещами (например, Roll with Thrust - традиционные пилоты гражданских не привыкли к управлению креном тягой). Поэтому, надо выработать чёткие Memory Items - например, при отказе двигателя: “придерживай педаль”, “не убирай закрылки, пока скорость безопасная” - всё стандартно. При отказе сопла: “отключи двигатель, если сильная асимметрия”. Это распишем в QRH.

(См. приложение D - Quick Reference for Degraded Modes - для краткого перечня действий экипажа в нештатных ситуациях.)