短命的莫扎特(下)
本帖最后由 holycow 于 2013-3-27 18:04 编辑上一篇
感谢@xlan1976 帮助核对技术名词的翻译
波音767最早用的发动机是JT9D,后来才用的PW4000。这两个发动机最大的区别就是JT9D是传统的控制,PW4000是全权数字控制FADEC。具体到反推的控制上,JT9D的反推手柄是直接通过线缆连到反推启动装置上的,而PW4000是通过一系列的电路和电磁阀来控制反推的启动和收回的。
出事的767-300ER的反推是由两个串联的活门控制的:一个液压隔离活门,Hydraulic Isolation Valve,简称HIV,HIV控制下游管道中的液压;另一个方向控制活门,Direction Control Valve,简称DCV,控制液压作动器开启或收回反推。当HIV关闭时,DCV是没有液压的,因此无法开启反推,所以HIV实际上是起一个安全阀门的作用。
控制HIV的是两个电路,任何一个电路闭合都可以打开HIV。一个是飞机主起落架,发动机油门杆和反推手柄组成的回路,当两个主起落架接地,发动机油门处于慢车位置,反推手柄拉动的情况下,这一电路闭合,打开HIV给下游管道提供液压,然后DCV开启反推。另一个是反推手柄和反推位置传感器组成的回路,如果反推手柄在收回位置而反推位置传感器反馈的实际位置不在收回位置,这一电路闭合,打开HIV,然后DCV收回反推。这第二个回路不要求飞机一定要接地,这样如果在空中反推意外开启,理论上也能收回来。
按照波音和普惠的理论计算,在这个设计下反推在空中意外开启属于“极端不可能(extremely improbable)事件”。什么叫extremely improbable?按照FAA的定义,极端不可能事件就是全世界所有波音767从服役到退役,发生这种事情的数学期望小于1;另外一个定义是一百亿飞行小时里面出不了一次。
然而调查组发现,要让这个设计的安全机制失效,只需要两个部件失灵就可以了:如果反推位置传感器的误差超过允许范围,那么就算是反推收回的时候也会报个没有完全收回,那么第二个电路就会闭合,HIV开启;如果此时DCV短路,或者电磁阀被环境污染,由于DCV同时控制反推的开启和收回,那就有可能导致反推在空中意外开启了。泰国湿热的气候使DCV短路或被污染的可能性都大增,毫无疑问提高了DCV故障的概率。
按照劳达航空的维修记录,这架莫扎特号的左发动机在出事前的五个月里麻烦不断,而且大部分的麻烦是出在反推上面。每一次维护都按照波音的手册排除了故障,然而短短几天之后,同样的故障信息又会再度出现。在事故以前三个星期,反推位置传感器的误差值超出了允许范围,机械师调整了传感器后故障排除。反推装置里面的液压作动器更是被换过很多次,最近的一次是在莫扎特号最后一次离开维也纳来远东以前换的。劳达航空的机械师准备这架飞机一回维也纳就对控制反推的电路接线做全面检查,谁想到这次离开维也纳竟是不归路。
以上解释了为什么反推会在空中开启,但还有一个问题:按照FAA的取证标准,飞机任何一个发动机的反推在空中意外开启,不应导致飞行员失去对飞机的控制。为什么莫扎特号在短短几秒钟内就完全失去了控制呢?
调查组追查当时767取证时的反推故障试验到底是怎么做的。结果发现当年的测试是在飞机处于进近和降落阶段,发动机已经在慢车的情况下空中打开反推,测试飞行员还能不能保持控制。FAA的想法是进近和降落阶段飞机速度慢,各控制面的气动效应小,如果这时候能控制住,那么飞机速度更快控制面气动效应更大时更加能控制住。所有人都没有想到飞机在上升,发动机处于爬升推力时反推打开会有什么后果,波音甚至都没有做风洞试验,只是简单地用低速试验下取得的数据外推来得到高速时的理论数据,证明飞机在高速下仍然可控;和后来风洞试验的结果相比,这个模型实在是差之千里。
这次事件以后,波音和普惠大幅修改了PW4000的反推设计。先是增加了一个反推回收活门ARV(Auto-Restow Valve),只管回收反推,反推位置传感器那一路电路连在这个专用的反推回收活门上,不再经过HIV和DCV,DCV现在只管开反推;然后是把容易被环境污染的电磁阀换成了马达驱动的阀门;最后是改动了反推位置传感器的设计。这次改动以后,波音767再没有出现反推空中开启的事情。
波音767/PW4000发动机反推示意图,包括原设计和改动后的设计
呵呵呵呵 迅速跳进来看完了
这件事情最后是波音负责吗? 这样的double jeopardy情况工业上一般不考虑,只有危害特别大的情况才考虑。不过反推应该是属于这种情况了。 算设计缺陷吗?航空公司的命运也如莫扎特般悲惨吗? 本帖最后由 一无所之 于 2013-3-28 09:07 编辑
这个下和我的行业倒是彻底挨边了。
这种用于飞机上的,液压控制用位置传感器寿命都是很长的。正常情况下,它的设计寿命是远大于液压部件的寿命的。而
所以,我估计,最可能出现的问题是。这个维修机械师在调整传感器的时候,并没有调整好。我们常说的安装错误。就是说,正常情况下位置传感器安装好以后,在应该反推收回时给出的输出值是没有完全收回。
简单来说,传感器的输出关系是+1mm~-1mm对应-10V~10V。这里面+1mm和-1mm对应着反推的两个位置。但是如果 安装 不到位,是会出现这种情况的即明明在正确的位置,却有着不正确的输出。于是悲剧了~~{:204:}
这时候,如果找到传感器的厂商(就是俺们),俺们是不会担这个责任的,得找那个倒霉的机械师的麻烦。所以我们对于这种闭环控制用的传感器在安装时,都要求有明确的数据记录,特别是安装位置的数据记录。每个机械师在安装完了以后,要提交一个安装数据,记录在安装完了以后,传感器的状态,以及此时相应的测量部位的位置。或者干脆为了避免这种惨剧发生,就是一体式的,只要你塞进去,就不会错。当然,万一他螺丝啥的少拧两扣也是难说啊~
在飞机上的很多环节,现在都要求位置传感器是冗余设计,即多个传感器同时反馈一个位置信号。系统来进行判断和裁决。 我勒个去。——“波音甚至都没有做风洞试验,只是简单地用低速试验下取得的数据外推来得到高速时的理论数据,证明飞机在高速下仍然可控;”——进步的代价也太狠了! 使用新技术就得有当小白鼠的觉悟。 本帖最后由 xlan1976 于 2013-3-28 11:36 编辑
一无所之 发表于 2013-3-28 08:51 static/image/common/back.gif
这个下和我的行业倒是彻底挨边了。
这种用于飞机上的,液压控制用位置传感器寿命都是很长的。 ...
你说的这种情况,根据神牛所说的事故报告很遗憾是不存在的,无论从程序上还是从实际上,你们都找不到那个所谓的倒霉的机械师的麻烦,只能找到倒霉的你们自己的麻烦。。因为你们根本不可能知道那个机械师是谁。。{:198:}
因为恰恰适航要求民航飞机的维修要有明确的维修记录,换句话说,机务人员在作完传感器和靶标间隙调节后必须留有完整的维修记录,标明具体的调整前和调整后的间隙数值以及标准范围,以及调整后的测试结果。如果做不到这一点,就算事故跟这个没关系,被查到了,FAA和NTSB也会找他的麻烦。飞机出现事故后,所有的有关该飞机的维修记录都会封存,交由事故调查部门审查,既然在事故调查结果中没有提及,说明在这方面维修工作没有问题。
对于部件供应商来说,如果部件有问题导致事故,找它们麻烦的是波音和适航管理部门,在此之前,适航管理部门会确认运营人和维修单位的工作,所以一旦部件供应商被适航管理部门找上麻烦,想推托掉可不容易,不认没关系,因为这时候不是你认不认得事,而是适航管理部门认不认得事,只要取消你的STOA资格和PMA证件,你的部件就永远不可能装到任何一架飞机上,所以一般部件供应商这个时候不会犯傻的。
这个时候就算部件供应商想找维修的麻烦也是不可能的,因为经过了适航管理部门的审查后,你认为你还能找到什么毛病吗?你打算去打适航管理部门的脸吗?而且这些信息根本不会提供给部件供应商。
位置传感器的可靠性很高不假,但并不是说这个就永远不会出故障,至少我碰到过,特别是在一些环境比较恶劣的地方,比如飞机前缘装置位置传感器也是这样的临近电门的形式,就经常出故障。
其实呢,这个事故从事后的调查报告看,跟维修和部件供应商都没有关系,首先是波音的验证试验不完善,其次是反推系统设计时的故障失效模式不完全。 本帖最后由 一无所之 于 2013-3-28 10:57 编辑
xlan1976 发表于 2013-3-28 10:48 static/image/common/back.gif
你说的这种情况,根据神牛所说的事故报告很遗憾是不存在的,无论从程序上还是从实际上,你们都找不到那个 ...
你说的这个位置传感器是个类似接近开关的东西?而不是线性位移传感器?换句话说,判断到位是输出一个信号,逻辑判断0或者是1?而不是一个具体的模拟量或者数字量? xlan1976 发表于 2013-3-28 10:48 static/image/common/back.gif
你说的这种情况,根据神牛所说的事故报告很遗憾是不存在的,无论从程序上还是从实际上,你们都找不到那个 ...
你说的确实是实情,最后很可能倒霉的还是我们,因为我们个子最矮{:198:} 一无所之 发表于 2013-3-28 10:54 static/image/common/back.gif
你说的这个位置传感器是个类似接近开关的东西?而不是线性位移传感器?换句话说,判断到位是输出一个信号 ...
基本上从传感器出来的电信号都不会是简单的开关量,都是模拟量,需要开关信号的时候都需要经过整形电路转换成标准的开关信号。这样当传感器信号徘徊在门限附近的时候就会比较悲剧,当然这个门限一般不是一条,而是0到1一条,1到0是另一条。这样只要徘徊幅度不大就没关系,但要出事的时候信号总会变得比较变态。
另外就算是行程开关之类很简单的开关量也需要整形才能用,因为电气开关触点在接触和分离时会有大量的毛刺。 code_abc 发表于 2013-3-28 11:28 static/image/common/back.gif
基本上从传感器出来的电信号都不会是简单的开关量,都是模拟量,需要开关信号的时候都需要经过整形电路转 ...
恩,是的 嘻嘻,神牛的这一篇算是我见过的技术含量最高的一篇了{:189:}写的非常好啊{:222:}
不过呢,我还是想纠正点东西。。。。{:198:}反推属于EBU元件,换句话说这个不是发动机厂商管的,是飞机制造厂商设计的,当然飞机制造商要根据不同的发动机设计不同的反推,发动机厂商也要辅助其工作。
发动机的FADEC的核心是EEC,但EEC不控制反推,反推只是给EEC一个位置反馈,反推的控制是通过手柄到一系列的继电器再到各个电磁活门或马达驱动活门实现的,这些继电器大部分在电子舱里的一个叫TRRM的组件里,737是一个具备故障指示功能的EAU。反推位置指示则是通过飞机的PSEU到EICAS计算机再到驾驶舱显示。
本来想给大家找个767反推系统图看看的,但发现手册里的都太复杂,还是神牛那个简单明了{:191:},不过从手册的系统图看,DCV应该只把液压压力输送到反推伸出端,另外ARV还有个更常用的名称STOW VLV 一无所之 发表于 2013-3-28 10:54 static/image/common/back.gif
你说的这个位置传感器是个类似接近开关的东西?而不是线性位移传感器?换句话说,判断到位是输出一个信号 ...
线性位移传感器LVDT反推上也是有的,不过那个只是给EEC一个位置反馈,不起控制作用,这里说的位置传感器是那种就给个0或1的信号的临近电门。 xlan1976 发表于 2013-3-28 11:46 static/image/common/back.gif
线性位移传感器LVDT反推上也是有的,不过那个只是给EEC一个位置反馈,不起控制作用,这里说的位置传感器 ...
恩,LVDT,呵呵~~不过有点奇怪。请教一下,EEC我完全不知道是什么东西,LVDT肯定是作为位置反馈用的。但是您说的临近电门是干什么用的?到位信号判断? 一无所之 发表于 2013-3-28 11:52 static/image/common/back.gif
恩,LVDT,呵呵~~不过有点奇怪。请教一下,EEC我完全不知道是什么东西,LVDT肯定是作为位置反馈用的。但 ...
EEC全称是ELECTRONIC ENGINE CONTROL,是神牛所说的发动机的全权限数字电子控制FADEC的核心部件,用来控制发动机工作的。EEC虽然不控制反推,但要知道反推的位置以便调整发动机的供油。另外临近电门PROXIMITY SWITCH/SENSOR就是一个提供到位/不到位的信号的位置电门。我们习惯这么叫而已。 xlan1976 发表于 2013-3-28 12:05 static/image/common/back.gif
EEC全称是ELECTRONIC ENGINE CONTROL,是神牛所说的发动机的全权限数字电子控制FADEC的核心部件,用来控 ...
看看我理解的对不对。就是针对反推,实际上是装了两种传感器,一种是LVDT用于位置反馈。另一种是PROXIMITY SWITCH/SENSOR用来提供到位信号。那么LVDT的信号是给到EEC的,位置电门的信号是给到驾驶舱显示的? xlan1976 发表于 2013-3-27 19:31 static/image/common/back.gif
嘻嘻,神牛的这一篇算是我见过的技术含量最高的一篇了写的非常好啊
不过呢,我还是想纠正点 ...
多谢支持。你手册里的系统图应该是改过以后的系统图了,改动之一就是把DCV和反推回收端断开。
在出事以前五个月里,维护翻来覆去修不好的是两条PIMU信息:
EEC CH-B REVERSER RNG FAIL
EEC CH A/B REV CR-CHK FAIL
一无所之 发表于 2013-3-28 12:15 static/image/common/back.gif
看看我理解的对不对。就是针对反推,实际上是装了两种传感器,一种是LVDT用于位置反馈。另一种是PROXIMIT ...
差不多,一些位置电门提供位置指示,另一些给控制继电器提供信号来控制那些活门的开关以控制反推。