Морж,
Ты только не обижайся, но я не понимаю что ты хочешь сказать.
Официальный представитель авиакомпании официально объявляет пассажирам рейса, задержанного по причине неисправности борта, об этой неисправности - да он может стойку шасси от лобового стекла не отличать, он только зачитывает официальный "диагноз". Делать это компания обязана, врать не имеет права, да и смысла врать у нее нету.
Нам сообщили что мы полетим с неработающим генератором поскольку это разрешено FAA, загрузили в самолет - и как ты понимаешь, пассажиры звонили своим и сообщили об этом.
Потом выгрузили из самолета и официально, опять же, сообщили что лететь нельзя поскольку вышедший из строя генератор коротит второй генератор. Точка.
Не говоря уже о том что я своими глазами видел как именно генератор был снят с двигателя и новый был поставлен на его место - он внешне похож на автомобильный, только вот поднимали его к мотору подъемником, большой он.
Ну а что до MTBF, мы работаем примерно по одной QSR системе с тем же Боингом. Требования FAA и FDA к процессу разработки аппаратуры примерно одинаковы, у нас и обучение PRM (Product Risk Management) проводили те же компании что и авиастроителей консультируют. И последний год (без месяца) я бОльшую часть времени занимался как раз всем этим PRM, включая определение базовых TLH (Top Level Hazards), FTA (Fault Tree Analysis) с выискиванием возможных BFE (Basic Fault Events), которые к этим TLH через IE (Intermediate Events) приводят, с определением RCM (Risk Control Measures), эффективных в достаточной степени для приведения специального показателя (произведения Risk Severity каждого TLH на вероятность его осуществления) к допустимому уровню. Иногда если опасность определеннохо события слишком велика, используют несколько RCM для смягчения его эффекта.
Потом все эти dFMEA, pFMEA, и так много раз. Мне как раз за это и дали тот доллар о котором я недавно писал.
Так что как знаю я как в производители самолетов риск снижают до необходимого уровня. Вопрос только в том, что в соответствии с сегодняшними требованиями такое понятие как "double faultе" (двойной отказ), при проведении PRM в расчет не принимается. И поэтому генератор как элемент двигателя будет иметь защиту (это RCM самостоятельного узла, каковым двигатель является), а вот возможность одновременного отказа и самого генератора, и этого RCM в расчет приниматься не будет. Что на самом деле совершенно неправильно, но именно так составлены рекомендации по QSR действующие в "тяжело регулируемых отраслях".
Но в то же самое время управление самолетом "по проводу" дублировано тросовым управлением на случай отказа всей электрики. Т.е. те RCM, которые защищают питание самолета считаются недостаточно эффективными и требуется дополнительное RCM на случай если первое не справится.
И, к слову, MTBF это показатель чисто экономический - использовать его в PRM больше не рекомендуют ("концепция сменилась"). Возможно что и правильно.