1.2. Безпека польотів і надійність авіатехніки

Однією з основних характеристик якості літака є безпека польотів на ньому. Обмежувальною характеристикою в системі управління якістю зазвичай є вартість експлуатації.

Для кількісної оцінки рівня безпеки застосовують коефіцієнт аварійності – кількість аварійних ситуацій, що припадає на один млн. год. нальотів. Рекордний рівень коефіцієнта, якого досягли розвинуті країни – 0,15 на 1 млн. год. (або 6,7 млн. год. на одну аварійну ситуацію) [17]. Cтавилося навіть завдання – досягти N=100 млн год., зокрема для літака “Конкорд”, але виконати його не вдалося. Іноді застосовують імовірнісні характеристики, наприклад, імовірність Р відсутності аварійної ситуації в польоті. Зв’язок між цими характеристиками виражає формула:

,

де – тривалість одного польоту.

За даними статистики, тільки 15-30 % льотних пригод пов’язані з несправністю матеріальної частини літака, тобто зумовлені ненадійністю його компонентів (систем, агрегатів, вузлів, деталей). Решта пригод – за рахунок помилок експлуатації, недосконалої експлуатаційної документації тощо.

Необхідно чітко розрізняти терміни: “надійність літака” і “надійність компонента”. Перша у світі льотна катастрофа сталася 1908 р. через поломку повітряного гвинта. Це був час, коли відмова будь-якого компонента спричиняла льотну пригоду (небезпечну або катастрофічну ситуацію). У той час поняття “надійність компонента”, “надійність літака” і “безпека польоту” були тотожними.

У наш час, коли створення надлишкових резервних систем дозволяє отримати необхідну надійність системи навіть за низького рівня надійності її компонентів, техніка пішла далеко вперед. Основні способи створення надлишковості – резервування і збільшення запасів міцності. У надлишковій системі відмова одного компонента не порушує працездатності всієї системи. Наприклад, чотири канали в системі енергоживлення при паралельній роботі забезпечують надійне “гаряче резервування”: відмова навіть у трьох каналах не порушить живлення споживачів, тобто не вплине на безпеку польоту. Чим вища кратність резервування, тим менший вплив на безпеку польоту окремого резервованого компонента, але тим вища ймовірність відмови одного такого компонента – у чотириканальній системі енергоживлення генератори будуть відмовляти в середньому вдвічі частіше, ніж у двоканальній. І взагалі, чим вища надлишковість систем літака, тим частіше потрібна заміна чи ремонт окремих компонентів, а це призводить до збільшення витрат на технічне обслуговування і порушення регулярності рейсів (затримки вильотів “з технічних причин”).

Отже, підвищення безпеки польотів досягається збільшенням ступеня надлишковості, але при цьому зростає інтенсивність потоку відмов компонентів (комплектуючих виробів). Крім того, збільшуються експлуатаційні витрати.

У такому складному виробі, як літальний апарат, постійно змінюється його стан, але ступінь впливу цих змін на безпеку польоту неоднакова і залежить від багатьох чинників: ступеня надлишковості, умов польоту, кваліфікації екіпажу тощо. Відмова комплектуючого елемента може не призводити до відмови системи, до якої він входить, а відмова системи – до аварійної ситуації в польоті.

Наслідки відмови можуть бути різними. Найбільш неприємний результат – неправильне функціонування (fail functional – відмова функціональна), коли система не виконує своїх функцій або її характеристики занадто погіршені, що призводить до відмов суміжних систем. На противагу цьому, потрібно так проектувати систему, щоб у випадку, коли б вона перестала виконувати свої функції, не виникали б небезпечні наслідки, які б могли зашкодити продовженню безпечного польоту. Такий спосіб проектування дістав назву принципу “безпечної відмови” (fail save).

Стан системи після “безпечної відмови” можна пов’язати з переведенням її в неактивний стан. У цьому випадку розрізняють “нейтральну відмову” (fail neutral), коли система з активного стану переходить у звичне нейтральне положення, і “відкриту відмову” (fail open), коли система, що відмовила, відключається від тієї, яка працює нормально.

Перелічені типи “безпечних відмов”, які пов’язані зі змінами вихідного сигналу або параметрів системи, складають першу групу відмов. Другу групу змін технічного стану називають “безпечним руйнуванням”, оскільки такі зміни відбуваються всередині системи і не відбиваються на вихідному сигналі та зовнішніх характеристиках.

Принцип “безпечного руйнування” допускає появу в конструкції окремих несправностей без шкоди для безпеки не менше ніж одного польоту. При цьому необхідно розробити методи і засоби контролю технічного стану (визначити так звані “сигналізатори руйнувань”), які забезпечать своєчасне зняття виробу з борту до виходу його з ладу, перед наступним польотом.