Fault Tolerance Philosophy
21. Отказоустойчивость (общая философия)
При проектировании R4X принята философия “безопасного ухудшения” (fail-safe degraded mode): самолёт спроектирован так, что при отказе любого одного существенного компонента он остаётся управляемым и может завершить полёт (пусть с ухудшенными характеристиками), а при некоторых двух независимых отказах - остаётся хотя бы посадка в ограниченном режиме. Благодаря четырёхдвигательной схеме, избыточности много. Ниже - ключевые принципы:
-
Fail-operational vs fail-safe: для самых критичных систем R4X имеет резервирование, позволяющее продолжать выполнение задачи даже после отказа (fail-operational). Например, отказ одного двигателя - три других компенсируют, самолёт продолжит набор (задача выполнима). Отказ одного канала управления - задублировано, не прерывает контроль. Fail-safe - для менее критичных: скажем, выход из строя одного кондиционера - просто создаст неудобства, но не угрожает безопасности.
-
Критические подсистемы:
-
Тяга: отказ двигателя или значительная потеря тяги - критично, так как влияет на баланс сил и возможность продолжать полёт. Решение: 4 двигателя - запас по количеству; асимметрия компенсируется TVC и дифференциальной тягой (см. раздел 22). Планируется возможность продолжить взлёт при потере даже 1 двигателя на взлёте (анализ показал, что с 3мя тяги достаточно).
-
Управление вектором тяги: отказ привода сопла (заклинило в положении) - тоже критично, если случится на большом отклонении. Поэтому приводы дублированы, а конструкцией предусмотрено, что при отказе питания сопло стремится возвратиться в нейтраль (пружинный или аэродин. возврат). В итоге заклинивание скорее всего произойдёт близко к 0°, или система загонит его в нейтраль как безопасное положение. Это fail-safe: потеряв TVC на одном движке, можно продолжать на других (но будет асимметрия).
-
Энергоснабжение: электроника полностью критична (без неё самолёт почти неуправляем). Поэтому электропитание - по крайней мере 3 генератора (каждый двигатель с геном, 4й резерв), плюс батареи, плюс, может, RAT (аварийная турбинка-ветряк). В случае полной потери генераторов - батарей хватает на ~15 мин, чтобы сесть. RAT может прокрутить один гидронасос для резервной механики.
-
Датчики: отказ одного-двух - не проблема, их много. Но полная потеря воздушных параметров (например, все приёмники засорились) - тогда FCS перейдёт на альтернативные оценки (будет использовать инерциальную скорость и GPS). Потеря гироскопов - тоже резерв по трём каналам, одновременно не потеряются.
-
Связь: тоже резервная (несколько радиостанций, спутниковая). Не столь критично, но важно для испытаний держать телеметрию.
-
Конструкция: BWB сам по себе более интегральный - поломка крыла фатальна. Поэтому запас прочности берем повышенный (коэфф. 1.5). Повреждение обшивки (например, от птицы) - может привести к разгерметизации, но это решаемо (ниже).
-
Автопилот: отказ цифрового управления - самый серьезный сценарий. Самолет по-прежнему аэродинамически управляем (элевоны напрямую), но станет очень неустойчивым. Мы обеспечили, чтобы его поведение без AP хотя бы было контролируемо летчиком: центровка передняя, демпфирование естественное кое-какое есть. Впрочем, при отказе всех каналов управл. (что очень маловероятно) надо немедленно садиться.
-
Питание рулей: у нас электро-драйвы. Если все электричество потерять, можно забыть про управление. Но батареи/генераторы - тройное резервирование, так что это beyond credible scenario (типа всех 4 двигателей остановились и батареи сели - тогда уже все).
-
Допущения по резервированию:
-
Электрика: 4 основных канала (от каждого двигателя), объединены шиной, могут подхватывать нагрузку друг друга.
-
Гидравлика: 2 независимых системы (левая/правая), но в случае полного отказа гидры - у нас почти все приводы электрические (EDA), так что гидра нужна разве для тормозов и стойки. Тормоза - резервный путь электроприводной, стойки - выпустить самотеком.
-
Аэродинамические поверхности: 4 элевона (по 2 на сторону) - даже если один заклинит, остальные справятся (FCS учтет и перекомпенсирует асимметрию).
-
Противопожарные системы: два комплекта баллонов (Halon) на каждый двигатель, один сработает - потушит, если нет, второй.
-
Разгерметизация: кабина прочная, но если что - кислородные маски, запас кислорода 15 мин, снижение до 3000 м за это время (с 11км). BWB позволяет быстро снижаться (можно 45° пикирование - держит структуру).
-
Утечка топлива: баки сегментированы, с отсечными клапанами, при пробоине закрываем поврежденный сектор, перераспределяем топливо - запас дальности снизится, но долетим до аэродрома.
-
Отказ шасси неубраного: если не уберется - не страшно (лететь можно), если не выпустится - у нас аварийный выпуск (сброски замков), + по сути корпус широкий, может сесть на “брюхо” относительно устойчиво, особенно если остатки топлива сжечь (так уже тестировали на макетах).
Сводная таблица резервирования (FMEA/FHA фрагмент):
| Система/компонент | Резервирование/действие при отказе | Остаточный риск |
|---|---|---|
| Двигатель (1 из 4) | Оставшиеся 3 увелич. тягу, TVC компенсирует момент | Увеличение дистанции взлёта, сниж. потолок; приемлемо для посадки[101][36] |
| Двигатель (2 из 4) | Возможно продолжить полёт (2 тяги хватит на гориз. полёт), но набор невозможен; рекомендовано аварийная посадка | Снижение до <1g тяги, посадка на ближайший аэродром, взлёт невозможен |
| Привод сопла (1) | Дублирован, если оба отказа - сопло зафикс. в ~0° | Потеря части управления ТВС, компенс. аэродин. рулями, увелич. нагрузка пилоту |
| Электропитание (ген) | 4 ген, 3х достаточно, если ≤2 отказ - вся мощн. сохраняется; при >2 - shed non-essentials, батареи поддержат 15 мин | Если ≤2 отказа - нет влияния; 3 отказа - огранич. работа некрит. систем; 4 - 15 мин на посадку |
| FCC (комп. управл.) | 3 канала, работ. синхронно, при расхождении 1 - отсекается, 2 оставш. берут управление | Отказ 1 канала - никакого эффекта; 2 канала - переход в простой режим (с потерей авт.функций) - пилотируемо; отказ 3 - крайне тяжёлое упр-е, срочная посадка |
| Датчики (airspeed/AoA) | 4 набора; сравнение, мажоритарное голосование; отказ 1 или 2 - игнорируются | 3 отказа маловероятны; при 3 - переход на DIR mode с инерц. и визуальной скоростью (сложно, но посадка возможна) |
| Связь (COM/NAV) | 3 комплектa (основн, резерв, аварийный портатив) | Потеря связи - не влияет на управляемость, возможно нарушение координации (минимальный риск) |
| Гидросистема (тормоза) | Дублир. контуры, + электроторможение на часть колёс | Потеря гидры - замедление увеличится на 20% (электротормоза чуть слабее); с учетом реверса - всё ещё в пределах полосы |
| Разгерметизация | Экипаж на кислороде, экстренное снижение (3 min до 3км) | Некомфортно, но безопасно; нагрузка на конструкцию BWB при резком снижении - допустимая (проверена в расчётах) |
| Пожар одного двиг. | Автомат. отключение двигателя, пожаротушение (2 очереди) | Продолжение полёта на 3 двигателях (см. двигатель отказ) + возможно повреждение капота/крыла от огня (снизить тягу соседнего, срочная посадка) |
| Критич. отказ структуры (лонжерон) | (маловероятно при корректной эксплуатации); BWB не устойчив при разрушении лонжерона - вероятна потеря ЛА. | Риск минимизир. инспекциями и резервом прочности; при любом подозрении - немедленная посадка. |
(Подробный FMEA приведён в приложении D.)
Философия такова: никакой одиночный отказ не должен приводить к катастрофе. Причём, проект стремится выдержать и ряд двойных отказов (двигателей, каналов), хотя это и выходит за сертификационные нормы для гражданских (обычно они только одиночный оценивают). Но R4X - экспериментальный, хотелось бы иметь максимальную живучесть. Конечно, комбинация отказов (например, отказ двигателя + одновременный отказ сопла на другой стороне) - это уже сложный сценарий, его рассмотрим далее (раздел 22). Если он настолько плох, что не компенсируется - значит, будем закладывать какие-то средства спасения (например, парашют для всей машины, либо система аварийного приземления на автомате).
Предпосылки (операционные): чтобы снизить вероятность отказов, при эксплуатации R4X применяются следующие меры: - Использование проверенных компонентов (двигатели - серийные модели, электроника - авиационного допуска). - Предполетные проверки - тщательные (т.к. новый самолёт, возможно, больше шансов отказа, нужно ловить на земле). - Ограничение на погодные условия для испытаний - чтобы внешние факторы не привели к отказам (например, не летать при сильной грозе, где молния может повредить). - Наличие наземной бригады и теледиагностики - для раннего выявления деградации (тренды вибраций двигателей, температуры масла - всё мониторится). Если видим, что что-то приближается к отказу - самолёт не выпускаем. - Обучение экипажа на особые ситуации - подготовка к отказам (в симуляторе), чтобы в реальности при срабатывании alarm пилоты действовали чётко по чеклисту.
Эта философия в итоге должна обеспечить высокий уровень безопасности испытаний и доказать, что даже такой нетрадиционный аппарат может эксплуатироваться надёжно. К финалу программы планируется добиться, чтобы вероятность аварии была не выше, чем у обычных лайнеров ($<10^-5$ на час полёта для катастрофического отказа). Это амбициозно, учитывая новизну - но резервирование заложено щедро.