Skip to content
R4X Flight Corridor Lab

Failure Modes and Effects Overview

23. Анализ отказов и рисков (FMEA/FMECA - упрощённо)

В рамках концептуальной проработки проведен упрощённый анализ последствий отказов по методологии FMECA (Failure Modes, Effects and Criticality Analysis). Таблица с основными сценариями приведена в приложении D. Ниже - несколько примеров для иллюстрации:

  • Отказ одного заднего двигателя - вероятность: оценивается как Remote (1E-5 per flight hr для современного двигателя). Последствия: снижение тяги, рыскание, крен. Обнаружение: мгновенное (разница оборотов, датчики вибрации). Действие системы: компенсирует тягой и TVC (см. раздел 22). Эффект: небольшое снижение ВС (высоты набора), увеличенный расход топлива, требование посадки с отказом. Остаточный риск: считается допустимым (не приводит к аварии), уровень критичности - Major (повышенная нагрузка на экипаж, снижение резервов).

  • Одновременный отказ двух двигателей на одном борту - вероятность: Extremely Improbable (менее 1E-9, если нет общего фактора; может общий фактор - топливо загрязнено? - тоже маловероятно). Эффект: как обсудили, сложная асимметрия, самолет удерживается, но требует немедленной посадки, возможно аварийной. Критичность: Hazardous (может привести к аварийной посадке). Меры: система по возможности компенсирует, но здесь уже многое зависит от пилота. Снижение риска: тщательный контроль топлива, независимость систем (чтобы общий фактор не сбил).

  • Отказ системы управления (полный) - вероятность: Extremely improbable (тройной отказ FCC). Эффект: самолёт трудно управляем или неуправляем, высока вероятность катастрофы. Критичность: Catastrophic. Меры снижения: тройное резервирование, регулярные проверки вычислителей, автономный режим RAT и механических дублеров как возможно.

  • Ошибочное срабатывание TVC (команда не та) - тоже анализируем. Например, бага в ПО привела к одновременному отклонению всех сопел не туда (например, full nose down). Эффект: резкий тангажный момент, может привести к внезапному пикированию. Вероятность крайне мала, но отрабатывается: вводят мониторинг команд (например, 2 канала должны согласиться, иначе не делать). Критичность: Hazardous (если случится, экипаж может успеть перекрыть).

  • Отказ электропитания двигателей (flameout) - тут 4 двигателя, чтобы все заглохли - или топливо кончилось, или аэропорт. Тогда планирование, как на планере, с очень большим весом - outcome вероятно катастрофа. Меры: топливомеры тройные, пилоты обязаны не доводить, направлять на запасной задолго.

  • Отказ шасси выпуска - вероятность: 1E-5 (редко, но бывает). Эффект: вынужденная посадка на брюхо. Последствия: скорее всего, самолёт серьёзно поврежден (так как вес 300т, скольжение), возможно пожар. Критичность: Catastrophic (для самолёта, хотя экипаж может спастись). Снижение риска: тройная система выпуска (основная, резервная, аварийная), тщательное обслуживание, проверочные индикаторы.

На основе FMEA строится дерево отказов (fault tree) для нескольких самых критичных событий: - Loss of Control (LOC): вершина “самолёт неуправляем” - может произойти по причинам: отказ всех FCC, отказ всех приводов (что нужно 3-4 одновр. отказа), крайне неправильные действия пилота. Вероятность очень низкая, но последствия - катастрофа. - Runway Overrun при посадке: вершина - “не остановился до конца полосы”. Причины: превышена посадочная скорость (ошибка пилота), отказ тормозов+реверса, сильный попутный ветер. Каждая декомпозируется. Общая вероятность - снижается за счёт резервов (парашют, длиннее полосу можно выбрать). - Mid-air stall/spin: вершина - “сваливание с переходом в штопор”. Причины: отказ AoA сенсоров + пилот не понял + неправильная центровка или смещение CG + … Вероятность сводится к нулю envelope-protection.

Риски, покрываемые только испытаниями - при всех наших анализах есть вещи, которые неизвестны точно:

- Аэродинамическая непредсказуемость: BWB мало летали - возможны неожиданные бафтинги, флаттеры. Риск: может приводить к отказу конструкции или потере управления. Как закрыть: только продувками и натурными испытаниями. Запланированы обширные CFD + субмасштабный демонстратор (раздел 25).

- Сбой ПО (software bug): хоть мы и тестируем, 100% не исключишь. Риск: проявится в реальном полёте - надо быть готовым к непредвиденному поведению. Для этого у экипажа всегда возможность отключить AP и перейти в direct, а у ПО - “стек предохранителей” (несколько проверок, watchdogs). Но окончательно убедиться можно только серией лётных испытаний.

- Структурная вибрация от ТВС: когда сопла отклоняются, могут возбуждать колебания планера. Моделью трудно предсказать все тонкие эффекты (совмещение частот). Это выяснится в полёте - поэтому на ранних вылетах будем постепенно расширять диапазон отклонений (см. раздел 24).

- Человеческий фактор: новый тип управления (TVC) - могут быть ошибки пилотирования (например, перерегулирует потому что непривычно, или забудет про особенность). Этот риск снизим тренировками и симуляторами, но окончательно - только реальными полётами, выработкой best practices и, возможно, доработкой интерфейса (например, поменять чувствительность ручки, если будет overshoot).

В целом, рисковый профиль R4X по отдельности не выходит за рамки известных программ (раньше испытывали самолёты с невысокой надёжностью, но компенсировали процедурно). Ключевое отличие - необходимость безотказной работы сложного ПО, поэтому основные риски - программно-алгоритмические. Для их смягчения приняты дополнительные этапы тестирования (всесторонняя симуляция, HIL, испытания на радиоуправляемых моделях и т.д., см. раздел 25).

Консервативный подход: мы должны предполагать, что если что-то может пойти не так - оно пойдёт. И заранее придумать противоядие. Поэтому и наделили R4X 4 двигателями, тройным компом - чтобы даже при сбоях шанс спасти был. Программа испытаний также построена ступенчато, см. далее.