Was sind die Konstruktionsparameter für die Verkehrsflugzeugsicherheit?

Extrem unwahrscheinlich ist definiert als 10$^{-9}$pro Flugstunde oder eine von einer Milliarde Flugstunden. Zum Beispiel aus EASA CS-25 Detail Design Requirements 4.3:

Die Mindestanforderungen an das Betätigungssystem sollten auch nach jeder Kombination von Fehlern, die sich nicht als äußerst unwahrscheinlich erwiesen haben (Auftreten weniger als 10$^{-9}$pro Flugstunde).

Für Flugzeugsysteme und -strukturen bedeutet dies, dass wir Folgendes berücksichtigen müssen:

• Wie groß ist die Wahrscheinlichkeit, dass ein Funktionsausfall eine Katastrophe verursacht?
• Wie lang ist die Expositionszeit gegenüber dem Fehlerzustand?
• Wie hoch ist die Ausfallrate der Hardware?

Flugsteuerungssysteme sind flugkritisch: Ohne ihre Funktion ist von einer Katastrophe auszugehen. NASA-TM-72860 zeigt die kumulierten Fehleranalysefaktoren für Flugsteuerungssysteme wie folgt:

Nehmen wir als Beispiel den Cruise Autopiloten:

• Wenn es ausfällt, bedeutet dies nur, dass der Pilot das Flugzeug von Hand fliegt, und die Wahrscheinlichkeit, dass sein Ausfall eine Katastrophe verursacht, wird auf eins zu einer Million Flugstunden festgelegt. Ziemlich abgelegen.
• Während des Cruisens ist der Autopilot die ganze Zeit eingeschaltet. Die Belichtung liegt ziemlich nahe bei 100 % (= 1)
• Das erfordert, dass das Reiseautopilotsystem eine Zuverlässigkeit von 1 Ausfall pro tausend Flugstunden hat.

Die Zuverlässigkeitsanforderung bezieht sich auf die Systemfunktionalität, einschließlich Sensoren, Prozessoren, Elektronik, Stromversorgung usw. Eine Möglichkeit, die Funktionalitätsanforderung zu erfüllen, besteht darin, das System zu duplizieren, sodass bei Ausfall eines Systems ein oder mehrere verbleibende Systeme die Funktion weiterhin ausführen. Nicht wirklich notwendig für den Cruise Autopilot 10$^{-3}$Nachfrage, aber zum Beispiel muss das automatische Landesystem 1000-mal zuverlässiger sein: Es ist nur während der Landung funktionsfähig, aber die Wahrscheinlichkeit eines Funktionsverlusts, der eine Katastrophe während der Landung verursacht, kann aufgrund der Bodennähe und sehr kurzen Reaktionszeiten ziemlich hoch sein.

Aus diesem Grund sind die CAT III-Autolandesysteme bis zu dreifach redundant – das komplette System wird dreimal dupliziert – wenn wir nur ein funktionierendes System benötigen und drei haben, ist die Funktionalitätsausfallrate höher$f(sys)^3$Jedes einzelne System kann dann eine Ausfallrate von 10 haben$^{-2}$pro Flugstunde.

Um diese Zahlen zu relativieren: Die durchschnittliche B777 fliegt jetzt 12 Stunden pro Tag, das sind 4.380 Stunden pro Jahr. Es müsste 228.000 Jahre fliegen, um einen katastrophalen Ausfall mit einer Wahrscheinlichkeit von 1 zu 10 zu erleiden$^{-9}$Flugstunden.

BEARBEITEN

Einige sehr gute Fragen aus den Kommentaren. Ich beantworte sie hier, da alle Kommentare entfernt werden können, sobald die Zahl 20 oder mehr beträgt.

@Michael Die But how are those probabilities determined?Verifizierung durch Testen wird mit zunehmender Sicherheit schwieriger: Um eine statistische Relevanz zu erhalten, müsste man ein sicherheitskritisches System 10 Milliarden Betriebsstunden unterziehen und nachverfolgen, ob es tatsächlich 10 Funktionsausfälle gibt. Betriebsaufzeichnungen aller Flugzeuge im Laufe der Geschichte bieten einen Bezugsrahmen. Die meisten Konstruktionsänderungen an Flugzeugen sind aus diesem Grund inkrementell, bauen Sie zuerst die Betriebsgeschichte des Flugzeugs auf. Die Beschränkungen der Konstruktionsparameter für Militärflugzeuge sind viel geringer, und daher kommen die meisten revolutionären Konstruktionsänderungen.

@ James S: It appears all of these p(Catastrophes) are in isolation. Is there any attempt to calculate chance of catastrophe when there are multiple failures, or chance of failure when one item has already failed?Ja:

• Gleichtaktfehler, zum Beispiel EMD nach einer Atomexplosion, die die gesamte Elektronik stoppt.
• Versteckte Fehler von Backup-Systemen oder Systemen, die derzeit nicht verwendet werden. Redundanz ist immer besser, da immer bekannt ist, dass das System in Betrieb ist.
• Kaskadenausfälle, bei denen eine Klinge alle drei Hydrauliksysteme durchreißt.

Alle diese Fehlermodi dürfen nicht mehr als 10 ergeben$^{-9}$pro Flugstunde. Zum Beispiel die Böenlastminderung: Sie wird nur während einer tatsächlichen Böe benötigt, aber der Status des Systems seit dem letzten Test oder Betrieb ist unbekannt. Daher muss die in diesen Ausfallberechnungen verwendete Systemzuverlässigkeit alle möglichen Ausfälle seit dem letzten Test des Geräts umfassen.

@Michael Kjörling Wikipedia claims that 1,526 Boeing 777 aircraft (all models) have been delivered. ... There have been six hull losses, minus one due to criminal act, or one non-criminal hull loss per about 31 million (about 10^7.5) flight hours. The estimates seem to be off by at least one order of magnitude.Ein Rumpfverlust ohne mehrere Todesfälle wird nicht als Katastrophe definiert. Die Designparameter berücksichtigen nur die Funktionalität und strukturelle Integrität des Systems, keine Kriegshandlungen. ...error conditions arising from system failures which did not result in a hull loss.nicht als katastrophal definiert werden, wenn eine Verfahrensänderung die Situation beheben kann, dann sind die Zuverlässigkeitsanforderungen weniger streng. Die 10$^{-9}$ist ein unterer Grenzentwurfsparameter: Teilen Sie für den B-777-Fall die tatsächlichen Katastrophen, die von den Behörden definiert wurden, durch die tatsächlichen Flugstunden der Flotte, und es wird deutlich, wie hervorragend die Sicherheitszahlen sind. Aber sie gewinnen erst jetzt an statistischer Genauigkeit, bis zu 5 - 10 Milliarden Flugstundenunfälle könnten alles Zufall sein.

Andererseits: Mehrere ähnliche katastrophale Ausfälle einer neuen Flotte innerhalb kurzer Zeit sind möglicherweise kein Zufall.