中国的大飞机计划一:飞机安全设计中国的大飞机的梦想,从运十到干线,从干线到AE100,从AE100到ARJ,再到现在的C919,算是走了一个半径不小的螺旋式上升的过程。
这几个项目,有着几代工程师的辛劳甚至血汗,更有着他们当年梦想的生成,破灭,重生,再破灭和再重生。
这当中的辛酸和喜乐,痛苦和绝望,是局外人很难体会的。
如今ARJ项目在收尾,C919刚开始,笔者想以一个局外人的观点,分析一下中国的大飞机计划中做得成功或是不成功的地方。
同时,以借此机会分析一下波音和空客各自的成功之处,来和中国的大飞机计划比较一下,看看能不能对现在也好,将来也好的中国民机工业有所帮助。
本人将以讨论重点的形式分题展开。
因为时间有限,只能一个星期写一点,所以将会以分题更新帖子的形式发表,还请有兴趣的同好耐心等候文章的写完。
分题一:安全看到过很多人说过坚决不会坐中国设计生产的飞机,认为那是不安全的。
虽然本人和大多数人一样,对这种思维嗤之以鼻,但不同的是,我在这里要告诉有这种思维的人,你们的这种想法错在哪里。
不是因为你是否爱国或是否爱自己,而是告诉你们,什么才是真正安全的飞机,还有他们的设计方法。
稍微懂行一点的军友,应该都知道FAR25部这个设计指导规范。
但是我想可能这里没有谁有这个耐心和毅力把他看完的,所以可能也就没有多少人知道这个指导规范是怎么来的。
所以在谈民用客机的安全性之前,让我们先来谈谈什么是FAR25部。
FAR-25/CS-25FAR25/CS25规定,任何想得到FAR或是EASA认证的新设计的大型客机(不包括空乘人员的乘客人数在19人以上的螺旋桨推进的飞机,或是10人以上的喷气推进的飞机。
想想为什么运十二的载客量是19座而不是20座),都要符合FAR25/CS25部的设计规范。
小于19/10座的要符合FAR23/CS23部的设计规范。
现在我们来看看什么是FAR25/CS25部以及得到FAR25/CS25部认证的意义是什么。
那什么是FAR25/CS25部呢?有人说这是民用客机设计的圣经,但我觉得它更象是如来佛的手心。
因为如果你至少稍微看过它,就会发现它里面虽然有时也会有公式和具体的数字,但更多的时候,它都只是在说XX XX的设计,要保证不会因为单一的故障(FAILURE)而产生“严重”(CATASTROPHIC)的后果。
为什么这样做,是有原因的。
这当中有很深远的背景,考虑到本文的篇幅,我们就不扯远了。
简单来说,FAA和EASA只是对设计提出要求,具体怎么设计,FAA和EASA并不想捆住设计厂家的手脚,而影响对新设计和新材料的引入。
也就是说他们对于孙猴子们怎么翻跟头并不感兴趣,因为这样一来会限制创新。
但对于孙猴子不能翻出他们的手心,他们可是看得非常非常的紧的。
很多人说FAA/EASA会卡中国人的脖子,其实他们不光是卡中国人的,他们卡所有人的。
但这是后话,我先按下不表。
民用航空发展到现在,可以说有了非常详细和大规模的样本空间。
对于飞机的结构来说,一般民用飞机的飞行包线都是约定俗成的。
所以25部会有具体的设计要求。
比如大家熟悉的全机静力,起落架落震,环境,寿命等等。
但对于飞机的系统,就不一样了。
我这里重点讨论一下系统的设计。
统计显示,对一个新设计的飞机来说,一般在一千万个飞行小时左右,会出现一次“灾难性”事故,(比如波音777在伦敦的那次事故,虽然没有死人,但飞机毁了,没死人只是运气,所以算是一次CATASTROPHIC的事故),或者说,一架新设计的整机,平均来说,不管是否经过FAR25/CS25认证过的,它出现严重飞行事故的几率是在10-7左右。
因此,FAR25/CS25部的对于系统的最终要求,也可以说是唯一的要示,就是看你新设计的飞机系统,是不是能达到这个“灾难性故障”率的要求。
这个要求分到各个系统,也就因此会更苛刻。
为了简单起见,25部中,假设一架飞机会有一百个系统(实际上要少得多),因此各个系统的设计,也就是要求出现“灾难性”故障的几率在10-9以下。
具体到各个厂家,他们都有一套和这个25部相对应的设计规范策略,以确保他们设计的飞机能够通过认证。
而这个内部的设计规范,则是各个厂家经验的集成,可以说在各方面又会比25部的要求来得苛刻和具体。
根据故障后果的不同,故障也分为几级,“灾难性”以下,还有“有害HAZADUS”,“严重MAJOR”,“轻微MINOR”有及“无安全隐患NO SAFETY EFFECT”四级,他们可以发生的几率也以100为单位上升,分别是10-7,10-5,10-3,和10-1。
但这样问题就来了。
怎么验证一个系统或是整机设计在出现“灾难性”故障的几率能符合这个要求呢?简单的想法就是实验,用实验的数据证明这一点。
有些系统,因为在设计上的继承性,在现役的飞机上已经服役多年,用实际应用的具体统计数字是最有说服力的。
但这里有一个鸡和蛋的问题。
对于中国商飞,以及中国的系统供应商来说,他们旗下没有任何的已通过认证装机的例子可言,所以这个办法行不通。
(题外话,这也是为什么ARJ和C919一开始会选用国外成熟供应商的产品的一个主要原因,如果全用中国自己的供应商,先不说能否提供两机所需要性能的系统,就算可以,他们因为没有任何已经认证产品,在系统认证方面,他们就不得不花很大的精力和金钱来补这个不足。
问题是即使它们有时间和财力补上这个不足,ARJ也好,C919也好,他们可能都到了退役的时代了。
所以先不说有没有必要全用中国的产品,就是你想要这样,也是有很长的一个过程的。
)而另一个方法,就是对于一个新设计的飞机来说,他们的系统,在设计之初,就进行安全分析,以理论的形式,证明这个设计能达到这个要求。
任何机械电子系统,他们如何运作都是可以推断的。
同时如果他们失效,失效的后果也在绝大多数情况下是可以预料的。
(为什么说绝大多数?因为总有误判的时候。
但如果真的出现了,代价是巨大的,比如丰田的刹车系统。
这是后话)这就引出了一个DAMAGE-TOLERANCE(损伤容限)或是FAIL-SAFE(破损安全)的设计方法。
25部的一个首要要求,就是不能因为一个系统,或是一个系统内的某个设备的单一故障,而直接或连带影响其它设备故障并最终导致飞机出现“灾难性”故障。
所以当今新设计的飞机,在系统是有备份的,根据系统重要性的不同有的甚至是多重备份的,比如飞机的操控系统。
因为系统出故障在所难免,要的是出了故障,飞机还能安全落地。
(比如澳航的发动机出了那么大的故障,这在以前几乎肯定是机毁人亡,但就是因为有备份,加上好的RP,安全着陆,无人伤亡)。
具体到实施这样的设计,就是在系统,以及系统内的每一个设备,在他们正常工作的条件下,他们的故障率都是经过分析研究甚至实验过,以至于FAA 和EASA有足够的信心这些设计是能达到要求的。
这种分析的细致达到什么程度?就是飞机每一根导线,接头的针脚,铆钉,螺丝,连杆,以及逐层向上组成的所有系统,全部有故障分析和后果分析以及他们可能发生的几率。
为了在整机这一级能达到10-7,在设计之初,各个系统在各种飞行状态下可能发生的故障,都会有分级,以至于当把这些故障综合考虑以后的飞机总的出现“灾难性”的后果的故障几率在10-7以下。
10-7,或者说一千万飞行小时是什么概念?对于一架飞机,那是一千一百四十一年半。
如果一架飞机的产量和保有量是一千多架以上,一年可能才能摊上一次“灾难性”的后果。
这是对所有的经过认证飞机而言。
特殊案例安全分析上面我们谈到了飞机的系统安全分析。
这种分析虽然已经非常的细致,但还不全面。
航空安全分析,一般都是基于一个常用的模型。
是什么呢,就是这几十年的客运经验下来,一般的系统会出什么问题,在多大的程度上会出问题,这些东西业内的人都是非常的清楚了。
所以在做安全分析的时候,会有一些基本的假设,那就是一个系统内,一般只会同时出现一个故障,个别情况两个或是三个。
这个很好理解,因为如果假设所有的故障全是同时出来,那也就不用搞设计了,因为这是不可能。
可以说,这个假设虽然看上去过于乐观,但实际上和实际飞行中曾经出过故障的故障率还是非常吻合的。
(懂行的人可能这时候会想到MEL或是MMEL,这个我们暂时不表,容我以后再说。
)所以说这个假设还是科学的,但有一些特殊(有的其实还相当的常见)的情况下,这个假设不成立。
对于这些“特殊”的案例,设计部门还要进行所谓的特殊案例安全分析。
一般案例主要有如下几种:1.鸟撞,也有称是“鸟袭”2.非包容性主发动机故障3.非包容性辅发动机故障4.高压容器破裂5.螺浆破裂故障6.个别起落架为收起状态时降落7.擦尾8.系统生存9.后承压壁穿孔等等。
这九个是比较常见的,但肯定不止这些。
有些可能还不能公开。
当这些特殊事件发生时,因为受到损坏而不能工作的系统设备可能就不只是一两个了。
这时候就要以最坏的情况估计可能的故障,让飞机在这种情况下还能安全降落。
非包容性发动机故障因为最近还真出了几件大事,所以我们不妨从头条新闻的澳航事故说起。
也就是第二条,非包容性主发动机故障。
(第三条其实和这个很相似,但一般APU所在的位置比较敏感,所以要单独分析。
)这种事故发生的频率并不高,远小于1还有6和7出现的可能性。
但在所有的特殊案例中,这种事故是最难分析和预测的。
因为发动机内部件的动能和压力巨大,一旦转子部件破裂,以现在的材料和技术,尚不具备在商业上可行的方案有可能包住破片。
风扇做为转速最低的转子,在应用新材料和新的制造工艺以后,已经做到可以包容了。
但核心机还不行。
忘了在哪里看过了,大推力转子发动机的破片的最大能量,和刚出炮口的三十多毫米的加农炮弹相当。
大家可以想一下,民用飞机上有什么地方能抗住这样的冲击。
所以在分析这种故障的时候,都把破片当成是无限能量,所经之处,一率被毁。
所以在飞机上的设备,一般都不会放在转子盘破片路径上的。
如果不考虑操控的影响,飞机的发动机甚至都不应该对称分布(当然这是不可能的了)。
另外布线设计,有专门避开这种故障的设计,避不开的地方,系统和备份系统的线路要保证不被同一块碎片击中。
被击中的线束中也不能有相同系统,相同设备的线路。
线束间也要有足够的间隔。
能看到飞机布线图的,有时可能会不明白为什么在对重量非常敏感的飞机上,有些线路却是绕着圈走。
不用问,就是防着这个的。
所以这次A380出了这样的事,还能安全的降落,并不奇怪。
这次损坏的系统包括一套液压系统,前缘襟翼驱动轴和控制电路,两个油箱穿孔,后缘襟翼穿孔,同边另一发动机的部份操控电路,燃油横向输送阀的操控等等。
未经证实的消息还有声称另一套液压系统也有部分损坏。
这些故障加起来,这在以前是足够让飞机摔下来的。
但经过当年那些血的教训,FAR 都陆续在25部内有针对性地提出设计要求,让飞机在这些情况下还能安全降落。