¿Cuáles son los parámetros de diseño para la seguridad de los aviones?

Extremadamente improbable se define como 10$^{-9}$por hora de vuelo, o una en mil millones de horas de vuelo. Por ejemplo, de EASA CS-25 Requisitos de diseño detallados 4.3:

Los requisitos mínimos del sistema de actuación también deben cumplirse continuamente después de cualquier combinación de fallas que no se demuestre que sea extremadamente improbable (ocurrencia de menos de 10$^{-9}$por hora de vuelo).

Para los sistemas y estructuras de aeronaves, eso significa que debemos considerar lo siguiente:

• ¿Cuál es la probabilidad de que la falla de la función cause una catástrofe?
• ¿Cuál es el tiempo de exposición a la condición de falla?
• ¿Cuál es la tasa de falla del hardware?

Los sistemas de control de vuelo son críticos para el vuelo: sin su funcionamiento, podemos suponer que ocurrirá una catástrofe. NASA-TM-72860 describe los factores de análisis de falla acumulados para sistemas de control de vuelo como este:

Si tomamos como ejemplo el piloto automático de crucero:

• Cuando falla, solo significa que el piloto volará manualmente la aeronave, y la probabilidad de que su falla cause una catástrofe se establece en una en un millón de horas de vuelo. Bastante remoto.
• Durante el crucero, el piloto automático está encendido todo el tiempo. La exposición está bastante cerca del 100 % (= 1)
• Eso requiere que el sistema de piloto automático de crucero tenga una confiabilidad de 1 falla por cada mil horas de vuelo.

La demanda de confiabilidad es para la funcionalidad del sistema, incluidos sensores, procesadores, componentes electrónicos, fuente de alimentación, etc. Una forma de satisfacer la demanda de funcionalidad es duplicar el sistema, de modo que si un sistema falla, uno o más sistemas restantes seguirán realizando la función. No es realmente necesario para el piloto automático de crucero 10$^{-3}$demanda, pero por ejemplo, el sistema de aterrizaje automático debe ser 1000 veces más confiable: solo es funcional durante el aterrizaje, pero la probabilidad de pérdida de función que cause una catástrofe durante el aterrizaje puede ser bastante alta debido a la proximidad del suelo y tiempos de reacción muy cortos.

Es por eso que los sistemas de aterrizaje automático CAT III son hasta triple redundancia - el sistema completo se duplica tres veces - si solo necesitamos un sistema funcional y tenemos tres, la tasa de falla de funcionalidad es$f(sys)^3$Cada sistema individual puede tener una tasa de falla de 10$^{-2}$por hora de vuelo.

Para poner estos números en perspectiva: el B777 promedio ahora vuela 12 horas por día, es decir, 4.380 horas por año. Tendría que volar durante 228.000 años para experimentar una falla catastrófica con una probabilidad de 1 en 10$^{-9}$horas de vuelo.

EDITAR

Algunas muy buenas preguntas de los comentarios. Los estoy respondiendo aquí, ya que todos los comentarios pueden eliminarse una vez que la cuenta sea 20 o más.

@Michael La But how are those probabilities determined?verificación a través de pruebas se vuelve más difícil con el aumento de la seguridad: para obtener alguna relevancia estadística, uno tendría que someter un sistema crítico de seguridad a 10 mil millones de horas operativas y rastrear si realmente hay 10 fallas funcionales. Los registros operativos de todas las aeronaves a lo largo de la historia proporcionan un marco de referencia. La mayoría de los cambios de diseño en las aeronaves son incrementales, por esta razón, cree primero el historial operativo de la aeronave. Las restricciones de los parámetros de diseño para las aeronaves militares son mucho más bajas, y de ahí provienen los cambios de diseño más revolucionarios.

@James S: It appears all of these p(Catastrophes) are in isolation. Is there any attempt to calculate chance of catastrophe when there are multiple failures, or chance of failure when one item has already failed?Sí:

• Fallas de modo común, por ejemplo, EMD después de una explosión atómica que detiene el funcionamiento de todos los componentes electrónicos.
• Fallas ocultas de los sistemas de respaldo, o sistemas que no están en uso en este momento. La redundancia siempre es mejor porque siempre se sabe que el sistema está funcionando.
• Fallas en cascada, donde una cuchilla atraviesa los tres sistemas hidráulicos.

Todos estos modos de falla pueden no resultar en más de 10$^{-9}$por hora de vuelo. Por ejemplo, Ráfaga de alivio de carga: solo se requiere durante una ráfaga real, pero se desconoce el estado del sistema desde la última prueba u operación. Por lo tanto, la confiabilidad del sistema utilizada en estos cálculos de fallas deberá incluir todas las fallas posibles desde la última vez que se probó el equipo.

@Michael Kjörling Wikipedia claims that 1,526 Boeing 777 aircraft (all models) have been delivered. ... There have been six hull losses, minus one due to criminal act, or one non-criminal hull loss per about 31 million (about 10^7.5) flight hours. The estimates seem to be off by at least one order of magnitude.Una pérdida de casco sin muertes múltiples no se define como una catástrofe. Los parámetros de diseño solo tienen en cuenta la funcionalidad de los sistemas y la integridad estructural, no los actos de guerra. ...error conditions arising from system failures which did not result in a hull loss.no se definen como catastróficos, si un cambio de procedimiento puede arreglar la situación, entonces los requisitos de confiabilidad son menos estrictos. los 10$^{-9}$es un parámetro de diseño de límite inferior: para el caso del B-777, divida las catástrofes reales definidas por las autoridades por las horas de vuelo reales de la flota, y se hace evidente cuán excelentes son las cifras de seguridad. Pero solo comienzan a ganar precisión estadística ahora, hasta 5 - 10 mil millones de horas de vuelo en accidentes podrían ser todos casualidades.

Por otra parte: múltiples fallas catastróficas similares de una nueva flota dentro de un corto período de tiempo pueden no ser una coincidencia.