Bir havacılık turboşaft motoru motor kontrol sistemi tasarımında emniyet uyum gösterimi için gerçekleştirilen emniyet analizleri

TUSAŞ Motor Sanayii AŞ’nin (TEI) dergisi “TEI Post”un 138. sayısında, Mühendis Kübra Mutlu ve Müjdat Aslan’ın beraber kaleme aldığı bir makaleye yer veriliyor

“TEI Post” dergisinin 138. sayısının tamamına, mobil uygulamamızın dergi bölümünden ulaşabilirsiniz.

Dergide yer alan “Bir Havacılık Turboşaft Motoru Motor Kontrol Sistemi Tasarımında Emniyet Uyum Gösterimi İçin Gerçekleştirilen Emniyet Analizleri” başlıklı yazıyı takipçilerimize sunuyoruz:

BİR HAVACILIK TURBOŞAFT MOTORU MOTOR KONTROL SİSTEMİ TASARIMINDA EMNİYET UYUM GÖSTERİMİ İÇİN GERÇEKLEŞTİRİLEN EMNİYET ANALİZLERİ

1. GİRİŞ

Yazılım ve karmaşık elektronik donanım sistemlerinin havacılıkta kullanılmasından önce, sistemin özelliklerini incelemek, analiz etmek veya test etmek kolaydı. Sistem için hata oranı ataması yapılarak sistem emniyet metodolojisi beslenirdi.

Motor Kontrol Sistemi’nin geliştirilmesi ile birlikte, karmaşık sistemlerin tasarım, uygulama ve üretim aşamasındaki sistematik hataları için hata oranı ataması yapılması zorlaşmıştır. Sistematik hataların sebebi, genellikle sistemin belirli koşullar altında gerçekleştirmesinin beklendiği çok yönlü işlevsellik yüküdür. Sistematik hataların davranışları, hata olasılıklarının dağılımları tarafından modellenemediği için doğrudan öngörülemez ve numerik olarak ölçülemez. Bunun sebebi sistematik hata davranışlarının belirli bir olasılık yoğunluk fonksiyonu ile karakterize edilememesindendir.

Motor geliştirme faaliyetleri boyunca emniyet değerlendirme prosesleri gereksinim üretmeyi ve doğrulamayı kapsar. Pratikte gereksinimlerin ve tasarım uygulamalarının tam anlamıyla doğruluğunu belirlemek imkânsız olduğu için, Motor Kontrol Sistemi gibi entegre veya kompleks sistemlerin testler ile yeteri kadar hatadan arındırıldığının doğrulanması gerekir. Nitel veya nicel emniyet değerlendirme prosesleri olabilir. Entegre sistemlerde, hata durumlarına yönelik uygun gereksinimleri tanımlamak ve sistemi minimum emniyet isterlerini karşılanmış bir şekilde nihai hale ulaştırmak emniyet değerlendirme sürecinin temel hedeftir. Emniyet değerlendirme süreci konsept tasarım ile başlar, sonrasında emniyet gereksinimleri türetilir. Bu gereksinimler ile birlikte değişiklikler tasarıma yansıtılır. Tasarım değiştikçe yeni gereksinimler türetilir. Emniyet değerlendirme süreci, ürün ömür döngüsü boyunca sürüyor olsa da tasarım özelinde tasarımın emniyet gereksinimlerini karşılandığının doğrulanması ile son bulur. Çoğu sistem hataları, gereksinimlerin hatalı uygulamasından çok, yanlış anlaşılmasından kaynaklanmaktadır. Yazılım ve donanım gereksinimleri için bu problem, sistem seviyesindeki gereksinimlerin ve sistem seviyesinden yazılım ve donanım seviyesine kırılmış gereksinimlerin bir gelişim organizasyonu doğrultusunda incelenmesini gerektirir. Bu sebeplerden dolayı, sistemlerin ve parçaların davranış ve özelliklerini güvence altına almak için farklı bir metoda ihtiyaç duyulmuştur.

Gelişim Güvence ile sistem (veya parça) davranış ve özellikleri güvence altına alınmıştır. Bu güvence yaklaşımı; sistem ihtiyaçlarının, ürün ya da süreç özelinde kapsamlı bir şekilde tanımlanması ve sistem ömür döngüsü boyunca gereksinimlerin yönetilmesine dayanır. Ayrıca belirtilmiş tasarım hedeflerini doğrulayabilmek için bir süreç sunar.

Tasarlanan hava aracı tipine göre minimum emniyet gereksinimleri havacılık otoriteleri tarafından oluşturulan uçuşa elverişlilik standartlarında belirtilmektedir. Uçuşa elverişlilik ve kalifikasyon kapsamındaki diğer ürün gereksinimleri karşılandığında müşteri ihtiyaçlarını karşılayan emniyetli bir hava aracı tasarlanmış olmaktadır. Bir hava aracının kendisinden beklenen görev gereksinimlerini karşılayabilmesi için öncelikle uçuşa elverişli olması gerekmektedir. AC 25.1309’da gereksinimin zorunlu kıldığı emniyet çalışmalarının neler olduğu, bu çalışmaların ne zaman yapılması gerektiği ile ilgili süreç anlatılmaktadır. Bu gereksinimi karşılayabilmek için otoriteler tarafından kabul görmüş rehber dokümanlar SAE ARP 4761 ve SAE ARP 4754’tür. Bu rehber dokümanlarda uçuşa elverişlilik için gerekli olan emniyet gereksinimlerine tasarımda nasıl uyum gösterileceğine yönelik yöntemler yer almaktadır.

DO-178B / ED-12B ve DO-254 / ED-80’de sunulan kılavuz içerikler ile belirlenmiş tasarım gereksinimlerinin yazılım ve donanım özelinde karşılanması gereken güvence seviyelerini tutturması sağlanır. Geliştirme güvence seviyesi atamaları, hata koşullarının sınıflandırmasına bağlıdır. Emniyet analiz süreci, geliştirme faaliyetleri için gerekli titizlik seviyesini elde etmek için kullanılan hata koşullarını ve şiddet sınıflandırmalarını tanımlamak için geliştirme güvence süreci ile birlikte kullanılır.

Sonuç olarak emniyet değerlendirme süreci; emniyet analiz süreci, geliştirme faaliyetleri için gerekli titizlik seviyesini elde etmekte kullanılan hata koşullarını tanımlar.

2. CS-E 50 MOTOR KONTROL SİSTEMİ’NE UYUM GÖSTERİMİ

CS-E, motor tip sertifkasının verilmesi için uçuşa elverişlilik gerekliliklerini içermektedir.

Bu gereklilikler arasında emniyetli bir Motor Kontrol Sistemi tasarlamak için sağlanması gereken gereklilikler CS - E 50 maddesinde bulunmaktadır.

Bu çalışmada CS - E 50 gerekliliklerinden birkaçı için uyumun nasıl gösterileceği anlatılmaktadır.

CS-E 50 paragrafı 11 alt maddeden oluşmaktadır. Çizelge 1’de uyum gösterim çalışmasının yürütüleceği örnek alt maddeler verilmiştir. Anlam kayması olmaması amacıyla gerekliliklerin aslı sunulmuştur.

Çizelge 1’de verilmiş olan Motor Kontrol Sistem gereksinimi (c) (3) için Helikopter Motoru Motor Kontrol Sistemi’nin örnek fonksiyonları üzerinden detaylı olarak analizi ve uyum kanıtı oluşturma süreci yöntemleri aşağıdaki bölümlerde anlatılmaktadır.

3. CS-E 50 MOTOR KONTROL SİSTEMİ (c) (3) GEREKSİNİMİNE UYUM GÖSTERİMİ

Gereksinim (c) ana maddesinde Motor Kontrol Sistemi’nin, (c) (1), (c) (2), (c) (3) ve (c) (4)’de verilmiş olan gereksinimleri karşılayacak, hata ve arızalar nedeniyle tehlikeli motor etkisine götürmeyecek şekilde tasarlanması gerektiği vurgulanmaktadır. Gereksinime uyumlu bir tasarımın otoriteye gösterileceği ilk doküman tasarım tanımlama dokümanlarıdır. Ancak burada yer alan bilgilerin doğrulanması amacıyla ihtiyaca göre analiz, test, ekipman özellik belgesi vb. de hazırlanarak tasarım tanımlama dokümanlarından referans verilebilir

(c) (3) gereksinimi ile istenen, Motor Kontrol Sistemi komponentlerindeki tekil hatanın tehlikeli motor etkisine götürmeyecek olmasıdır. Dolayısıyla Motor Kontrol Sistemi tasarımına bağlı oluşabilecek tüm hata durumları belirlenmeli ve hata durumu kritikliklerine göre oluşma olasılıklarının kabul edilebilir seviyede olduğunun ispat edilmesi gerekmektedir. Bunun için doğru ve planlı bir şekilde işletilen emniyet süreci ile yürütülmelidir.

4. MOTOR KONTROL SİSTEMİ EMNİYET ANALİZLERİ

CS-E 50 (c) (3) gereksinimi kapsamında turboşaft motorlarda kullanılan standart bir Motor Kontrol Sistemi fonksiyonu olan “Güç Türbin Aşırı Hızlanma Koruması Sağlamak” fonksiyonu üzerinden emniyet analizleri gerçekleştirilecektir.

5. MOTOR KONTROL SİSTEMİ’NİN GÜÇ TÜRBİNİ AŞIRI HIZLANMA KORUMASI SAĞLAMAK FONKSİYONU ÖRNEK FHA ÇALIŞMASI

FHA çalışmasında belirli bir şekilde başarısız olan, beklenmeyen bir zamanda çalışan ya da hatalı çalışan her bir fonksiyonun emniyet etkisi değerlendirilerek sınıflandırılmıştır. Değerlendirilen hata senaryoları sonucu gereksinimler çıkarılarak hataların etkileri sınırlandırılmıştır.

Güç türbini aşırı hızlanma koruması sağlama fonksiyonu, MKS’nin güç türbininin aşırı hızlanmasını yakıta müdahale ederek engellendiği fonksiyondur. Bu fonksiyonun tam kaybı ve kısmi kaybı hata durumlarına yönelik en kötü durum düşünülerek senaryolar çıkarılmıştır. Çizelge 3’te fonksiyonun tam kaybı ve kısmi kaybı durumlarına yönelik senaryolar mevcuttur. Örnek FHA çalışması Şekil 2’de verilmiştir.

6. GÜÇ TÜRBİNİ SENSÖRÜ İÇİN ÖRNEK HATA MODLARI VE ETKİLERİ (FMEA) ÇALIŞMASI

Güç türbini devir sensörü, PT (Güç Türbini) dönüş devrini ölçer ve aşırı hızlanma durumu PT devir sensörü üzerinden kontrol edilir. FMEA çalışmasında parça bazlı hata nedenlerine bağlı olarak meydana gelen hata modları üzerinde çalışılmıştır ve hata modlarının parçaya, ara yüzlerine ve motora etkisi değerlendirilmiştir. Motor Kontrol Sistemi için olası tüm arıza modları tanımlanacaktır ve her bir hatanın motoru nasıl etkileyeceğini gösterebilmek için FMEA çalışması yürütülecektir. Sonrasında bu hata modlarını ve etkileri göz önünde bulundurularak emniyet değerlendirmesi yapılacak ve kritik parçalar belirlenecektir.

Güç türbini devir sensörü için örnek FMEA çalışması Şekil 3’te verilmiştir.

FMEA çalışmasında çıkan hata modları, yapılacak Hata Ağacı analizini besleyecek ve bu hata ağaçları tüm olası hata modlarının belirtilen gereksinimleri yerine getirebilmek için yeterince düşük bir olasılığa sahip olduğunu göstermek için kullanılacaktır. Bu analiz sistemin gereksinimi karşılamayacağını gösteriyorsa, sistemin yeniden yapılandırılması gerekir. Bu genellikle, sensör veya eyleyicinin yedekliliğinin sağlanması ile mümkündür. FTA analizleri ile tehlikeli etkiye götürebilecek tüm hata modları için hata oranı ataması yapılacaktır. Helikopter platformunun kritikliğine bağlı olarak platform tarafından DAL A seviyesi ataması yapılmıştır. MKS’de oluşabilecek hata durumları düşünüldüğünde MKS, hata durumlarının ölümcül etkiye götürmemesi için DAL A seviyesinin karşılığı olan 1.0E-9 olasılık hedefini karşılayacaktır. Belirtilen üst seviye olayın (top event) olasılığı karşılanmadığında MKS mimarisi değiştirilecektir.

7. GÜÇ TÜRBİNİ SENSÖRÜ İÇİN ÖRNEK ORTAK SEBEP ANALİZİ (CCA) ÇALIŞMASI

CCA ile tasarımdaki ortak sebep veya ortak mod hataları tespit edilmiştir ve tasarımcılar, hataların olasılığını ortadan kaldıracak stratejilere doğru yönlendirilmiştir. CCA, komponent arızalarının potansiyel olarak birbirine bağımlı olmasına neden olabilecek birleşme faktörlerini tanımlamak için FTA’i besleyecektir. Motor Kontrol Sistemi Geliştirme Projesi kapsamında CS-E’de belirtilen sertifkasyon gereklilikleri ile belirtilen emniyet gereksinimleri için uyum doğrulama yapılmıştır. Yedeklilik ve fonksiyonlar arasındaki bağımsızlık ile ilgili sistem gereksinimleri oluşturulmuştur.

Fonksiyonlar, sistemler veya parçalar arasındaki bağımsızlığın doğrulanması veya belirli bağımlılıkları tanımlamak için araçlar sağlanmıştır. Özellikle de CCA, tehlikeli motor etkisine götürebilecek tekil hata modlarını ve harici olayları tanımlamıştır. CCA emniyet gereksinimlerinin tasarım önlemleriyle karşılandığı gösterilecektir. Çizelge 5’te güç türbin sensöründe hata oluşumuna neden olabilecek dış kaynaklı hata durumları örneklenmiş ve kontrol listesi oluşturulmuştur.

8. MOTOR KONTROL SİSTEM MİMARİSİ

Motor Kontrol Sistemi iki Motor Kontrol Ünitesi (MKÜ)’nden oluşmaktadır. Motor Kontrol Aviyonik mimarisi MKÜ’lerin birbirlerinin girişlerini okuyabilmesi, çıkışlarını sürebilmesi üzerine kuruludur. Aktif olan ve motor kontrolü üzerinde olan MKÜ kendi sensör bilgilerini kullanarak, kendi eyleyicilerini sürmektedir. Sensör ve eyleyici bilgi / sağlık kayıplarında yedeklilik geçişi olmayacaktır. Şekil 5’te gösterildiği gibi aktif olan MKÜ, diğer MKÜ’nün sağlıklı olan eyleyicisi ile motoru kontrol etmeye devam edecektir. MKÜ 1 sensörünün kaybedilmesi ya da sağlıklı gelmediğinin tespiti durumunda MKÜ 2’nin ilgili sensör bilgisi MKÜ 1 tarafından kullanılarak motor kontrol edilecektir. MKÜ’nün işlemci hatası / kaybı durumlarında yedeklilik geçişi olacaktır. Artık diğer MKÜ aktif olacak ve motoru kontrol edecektir.

9. SONUÇ

Bu dokümanda TEI tarafından geliştirilen turboşaft motorun Motor Kontrol Sistemi sertifkasyon süreci dahilinde gerçekleştirilen emniyet analizleri ve uygulanan analiz metotlarından bahsedilmiştir. Bu çalışmada CS-E 50 (c) (3) gerekliliğine uyumun gösterilebilmesi için Motor Kontrol Sistemi’nin örnek bir fonksiyonu üzerinden FHA, FMEA ve CCA analizleri gerçekleştirilmiştir. Gerçekleştirilen analizler sonucu var olan tüm hata modları ile beslenecek olan FTA analizi ile ilgili öngörüler paylaşılmıştır. Bu analizler kapsamında evrilen tasarım mimarisine dair bilgiler aktarılmıştır.