王小辉，车程，瑚洋，华铭

(1.第一飞机设计研究院 适航与通用质量特性研究所，西安 710089) (2.上海交通大学 航空航天学院，上海 200240) (3.第一飞机设计研究院 机电系统设计研究所，西安 710089) (4.中航西飞民用飞机有限责任公司 总体气动研究所，西安 710089)

0 引 言

飞机在含有过冷水滴的云层中飞行时，许多部件会出现结冰现象，例如机翼、尾翼前缘、螺旋桨、发动机进气口、风挡玻璃等[1]。飞机结冰会破坏飞机的气动外形，阻碍了空气的流动，增大了摩擦力并减小了升力，尤其是机翼和尾翼上的冰对飞机影响更大，这不但会使飞机升阻特性恶化，而且会使飞机的飞行安全性降低，甚至造成机毁人亡的事故。1969～2005年，世界上由于结冰引起的飞行事故已经造成500多人死亡及重大财产损失[2]。

当飞机在结冰条件下飞行时，为了防止这些部件迎风面的结冰，或能间断地除去冰层，保证飞机结冰时安全飞行，需要选用防除冰系统。而飞机在飞行过程中，防除冰系统是否需要工作依靠结冰探测系统来做出判断。因此，研究飞机结冰探测系统安全性设计对飞机飞行安全非常重要。

系统安全性已经成为产品研制过程中必须开展的一项设计分析工作，贯穿于军民用飞机设计的各个阶段[3]。在系统安全性设计与评估中，常用的安全性概率分析方法有故障树分析方法、相关图形分析方法、马尔科夫分析方法和Petri网分析法[4]。故障树方法在分析过程中不仅可以定性、定量地分析，而且直观简单，更适用于分析和评估系统指标[5]，所以在工程中通常被广泛应用。

目前，在各类文献中对结冰探测技术具有广泛和深入的研究，例如，国外的K.A.Jose等[6]、A.A.Ikiades[7]分别对声波法和光学法结冰传感器进行了研究；M.Ray等[8]、R.E.Gagnon等[9]提出了一种利用微波和激光雷达来实现远程的探测结冰的方法,其特点是具有较强的预警性。国内的张杰等[10]、王起达等[11]、杨蓉等[12]根据光学法、热学法、电学法等对结冰传感器工作原理和研究现状进行了介绍；周灿等[13]设计与优化了一种用于探测过冷大水滴的结冰探测器；张洪等[14]对第一类、第二类结冰探测器的差异和应用标准进行了研究；刘治军[15]研究了结冰探测器数据采集及处理、通信控制及转换方法。上述文献集中对结冰探测器设计进行了研究，而对结冰探测技术在工程领域的如何应用研究较少，对结冰系统的安全性分析更为少见。本文从典型的结冰探测系统方案、故障树的建立、系统定性和定量分析等方面展开相应的研究，以期为结冰探测系统方案设计提供支撑和参考。

1 结冰探测技术及系统方案

结冰探测系统主要功能是在结冰条件下及时探测飞机结冰情况，并且及时将结冰信息告知于飞行机组人员或者自动控制飞机防除冰系统。目前，谐振式结冰探测与具有可视化的结冰探测相结合，作为飞机的结冰探测技术被广泛应用在各类军民机中，例如F16、A320、A340、A380、B747、ATR72、ERJ190、ARJ21、C919等飞机。因此，本文主要以此类结冰探测技术所组成的典型结冰探测系统进行安全性分析的研究。

1.1 谐振式结冰探测技术

谐振式结冰探测器是利用结冰能改变振动体振动频率这一原理进行结冰探测的，目前主要应用是美国Rosemount航宇公司产品[10]。

美国Rosemount航宇公司生产的是磁致伸缩式结冰探测器，如图1所示。当铁磁性材料周围外加交变的磁场时，由于磁致伸缩效应，铁磁性材料会沿着磁化方向反复伸长与缩短，从而发生振动。这种结冰探测器工作时，首先由控制部分提供一个激励信号，在激励信号和电磁系统作用下，当满足了一定的相位和振幅条件时，结冰探测器振动部件产生振荡，并达到稳定，此时的振动频率即为结冰探测器的初始频率。当有冰沉积到振动部件上时，其质量发生变化，从而使振动频率发生降低。随着结冰冰层厚度的增加，振动频率降低到预定告警值时发出结冰告警信息。与此同时，根据频率的变化计算出结冰速率等信息。结冰探测器自带有自动加热组件，每探测一个结冰信号后，加热组件自动启动除去结冰探测器上的积冰，振动部件又恢复到起始振动频率，继续探测下一个结冰信号[16]。

1.2 可视化结冰探测技术

可视化结冰探测技术中以结冰探测棒最为典型，其作为一种辅助的探冰装置，如图2所示，用于遇到结冰条件时提供可视化的指示，其通常安装在前风挡玻璃的固定框之间，以便两个驾驶员了解结冰情况。结冰探测棒装有一聚光灯，以照明探测棒，保证夜间飞行使用。

(a) 实物图 (b) 结构图

图2 结冰探测棒

Fig.2 Icing indicator

1.3 结冰探测系统方案

典型的结冰探测系统方案如图3所示。当遇到结冰条件时，结冰探测器通过总线(例如CRJ190采用ARINC429总线)和硬线向系统数据采集计算机(SDAC)发送结冰告警信息，再由SDAC处理后通过总线传输给独立的两台飞行告警计算机(FWC)。同时，结冰探测器还以硬线方式直接将结冰信息传输给飞行告警计算机(FWC)。飞行告警计算机(FWC)将结冰告警信息以文字显示、灯光和语音等方式传递给飞行机组人员。左边结冰探测器和右边结冰探测器相互独立，互不影响。结冰探测棒用来观察飞机结冰情况，给飞行机组人员在结冰天气提供直观的指示。夜间飞行时，飞行机组人员可以接通防结冰探测棒灯(ICE-IN)，保障飞行员夜间可以通过观察结冰探测棒的结冰，了解飞机结冰情况。

图3 典型结冰探测系统方案

2 建立故障树

故障树是描述系统中各种事件之间的因果关系，表明系统哪些组成部分的故障或外界事件或其组合将导致系统发生一种给定故障的逻辑图[17]。故障树分析方法是一种图形演绎的分析方法，将不希望出现的事件作为顶事件，通过对可能造成系统故障的各种因素进行分析，按照树状结构逐层细化，分析导致顶事件发生的所有可能的直接因素及其相互间的逻辑关系，直到故障树的底事件(事故发生的基本原因)或满足顶事件的分析要求为止[18]。由此可见，故障树分析方法的关键在于建立合理的故障树。

2.1 顶事件

结冰探测系统主要功能是在结冰条件下及时探测飞机结冰情况，并且及时将结冰信息告知于飞行机组人员。若丧失结冰探测告警与指示功能，有可能在遇到结冰环境时，飞行机组人员无法获得结冰信息而不能及时打开机翼或尾翼防除冰系统，或者不能驾驶飞机及时躲避结冰气象区域，使飞机因机翼、尾翼等关键部件结冰而暴露于危险的飞行状态[19]。这一故障的发生，有可能因结冰情形而极大地降低飞机的飞行安全裕度，飞行员需要通过其他途径获知结冰信息[20]以避免飞机在结冰状态下运行，会极大地增加飞行机组人员的工作负担。通过综合评估，此故障风险在故障等级中属于危险级故障，这就要求飞机在设计时对此类故障的发生概率应控制在小于10-7次/每飞行小时[21-22]。

建立该故障树的边界条件为：不考虑人为因素、电器线路互联系统等造成的故障。

2.2 中间事件

根据结冰探测系统方案，导致顶事件“结冰探测告警与指示功能丧失”发生的原因主要由两部分组成：一方面由结冰探测棒组成的可视化探测系统失效；另一方面由结冰探测器组成的结冰告警功能失效。而对于结冰告警功能涉及结冰探测系统部分功能和其他系统(如机电或航电)的信号处理与传输功能等。

2.3 底事件

从图3中可以分析出，导致结冰探测棒失效的底事件可能有控制开关故障、探测棒灯故障和直流电源故障。而对于结冰告警信号功能失效，可能由于机电设备故障、航电设备故障和结冰探测器故障等导致。本文重点关注结冰探测系统构架，对航电和机电不进行深层次的分析。

3 故障树及简化

3.1 故障树

结冰探测系统的故障树如图4所示，图中各符号的含义如表1所示。

图4 故障树图

符 号性 质含 义符 号性 质含 义TOPAND丧失结冰探测告警与指示功能G14ANDSDAC2输入FWC1告警信号丧失G1OR视觉探测功能丧失E1Basic供电丧失G2OR结冰探测告警功能丧失E2Basic控制开关故障G3AND告警信息丧失E3Basic探测棒灯故障G4ANDFWC告警功能故障E4BasicFWC1故障G5ANDFWC1告警信息丧失E5BasicFWC2故障G6ORFWC2告警信息丧失E5BasicFWC2故障G7ORFWC1总线信号丧失E6Basic左ID硬线信号输出丧失G8ANDFWC1硬线信号丧失E7Basic右ID硬线信号输出丧失G9ANDFWC2硬线信号丧失E8BasicSDAC1故障G10ORFWC2总线信号丧失E9BasicSDAC2故障G11ORSDAC告警信号功能故障E10Basic左ID总线信号输出丧失G12ANDSDAC输入FWC1告警信号丧失E11Basic右ID总线信号输出丧失G13ANDSDAC1输入FWC1告警信号丧失

3.2 故障树简化

在进行分析时，对于底事件在故障树中不止出现一次的情况，通常需要采用结合律、分配律和吸收律等布尔运算法则进行工程简化，以避免顶事件发生的概率偏离真实值。大量的重复底事件均在G3门之下，因此化简工作主要是针对G3门开展。

例如：

G6=G9G10=(E6E7)(G11+G12)

=(E6E7)(E8E9+G13G14)

=(E6E7)(E8E9+E6E7E10E11)

=E6E7E8E9+E6E7E6E7E10E11

(1)

使用布尔代数逻辑规则，有E6E7E6E7=E6E7，代入式(1)得：

G6=E6E7E8E9+E6E7E10E11

(2)

同理，可以得出：

G3=E6E7(E8E9+E10E11)

(3)

由此，故障树可以简化为如图5所示。

图5 简化后的故障树

简化后的故障树中，新增了或门G15、与门G16和与门G17，这些新增的逻辑运算门通常不具有实际的物理意义，主要用来满足故障树逻辑运算使用。

4 安全性分析

4.1 定性分析

按照上述计算方法，可以得出：

TOP= E1E4E5+E2E4E5+E3E4E5+

E1E6E7E8E9+E2E6E7E8E9+E3E6E7E8E9+

E1E6E7E10E11+E2E6E7E10E11+E3E6E7E10E11

(4)

从式(4)可以得出：该故障树有9个最小割集，分别是{E1E4E5}、{E2E4E5}、{E3E4E5}、{E1E6E7E8E9}、{E2E6E7E8E9}、{E3E6E7E8E9}、{E1E6E7E10E11}、{E2E6E7E10E11}和{E3E6E7E10E11}。

从最小割集可以看出：最小的阶数为3阶，而且E4和E5在每个割集中重复出现，故E4和E5应该确定为重要的设备；根据在低阶最小割集出现的底事件比高阶中出现的底事件重要，又可以确定出E1、E2和E3为同一级重要的设备；同理，在5阶中，E6和E7出现次数较多，可以判断为5阶中的重要设备。

根据以上分析，可以对所有设备重要性由高到低进行排序，如表2所示。

表2 设备重要程度排序表

为了避免顶事件的发生，应保证这些最小割集事件的独立性。因此，在飞机顶层设计时，需要考虑导致这些最小割集事件同时发生的共因事件，例如区域安全性分析、特定风险分析(鸟撞事件、转子爆破等)和共模分析。

4.2 定量分析

顶事件发生概率的计算分两种情况进行。

(1) 最小割集之间不相交

已知故障树的全部最小割集为K1，K2，…，Kn，并且假定在一个很短的时间间隔内不考虑同时发生两个或两个以上最小割集的概率，且各最小割集中没有重复出现的底事件，即假定最小割集之间是不相交的，则有[17]：

(5)

(6)

式中：Kj(t)为时刻t第j个最小割集发生的概率；Fi(t)为时刻t第j个最小割集中第i个部件的故障概率。

则有[17]：

(7)

式中：Nk为最小割集个数。

(2) 最小割集之间相交

如果底事件在最小割集中重复出现，即最小割集之间是相交的，从该最小割集计算顶事件发生的概率须用相容事件的概率公式[17]：

P(TOP) =P(K1+K2+…+Kn)

(-1)n-1P(K1K2…Kn)

(8)

式中：Ki(i=1，2，…，n)为第i个最小割集。

按照故障树的逻辑图，假定各底事件的失效概率如表3所示，并假定设备暴露时间t=5 h，通过计算可以得出顶事件发生的计算概率值为2.35×10-7次/每飞行架次，小于设计要求的5×10-7次/每飞行架次的危险级定量概率要求，因此结冰探测系统的设计可以满足飞机安全性要求。

表3 设备失效概率表

5 结 论

(1) 本文应用故障树分析方法，对结冰探测系统中丧失结冰探测告警与指示功能进行了详细分析，其结果表明符合结冰探测系统的安全性设计要求。

(2) 本文分析过程中很大程度上评价了结冰探测系统的安全性，可以为结冰探测系统的设计提供参考。但仍然存在一定的局限性，例如共因分析，因结冰探测系统各部件在不同型号飞机中的所处的环境、位置等不同，而未能展开详细分析，需要在后续的研制工作中对其展开进一步的研究。

[1] 裘燮纲, 韩凤华. 飞机防冰系统[M]. 北京: 国防工业出版社, 2004.

Qiu Xiegang, Han Fenghua. Aircraft anti-icing system[M]. Beijing: National Defense Industry Press, 2004.(in Chinese)

[2] 周莉, 徐浩军, 龚胜科, 等. 飞机结冰特性及防除冰技术研究[J]. 中国安全科学, 2010, 20(6): 105-110.

Zhou Li, Xu Haojun, Gong Shengke, et al. Research of aircraft icing characteristics and anti-icing and de-icing technology[J]. China Safety Science Journal, 2010, 20(6): 105-110.(in Chinese)

[3] 岳丽娜. 民机安全性分析系统的设计与实现[D]. 长春: 吉林大学, 2015.

Yue Lina. Designed and implementation of civil aircraft safety analysis system[D]. Changchun: Jilin University, 2015.(in Chinese)

[4] 章倩. 民航业务系统的安全性分析与验证方法研究[D]. 南京: 南京航空航天大学, 2015.

Zhang Qian. Safety analysis and verification methods study on civil aviation business system[D]. Nanjing: Nanjing University of Aeronautics and Astronautics, 2015.(in Chinese)

[5] 邬龙. 基于环控系统的安全性分析方法研究[D]. 天津: 中国民航大学, 2017.

Wu Long. Research on safety analysis methods based on environment control system[D]. Tianjin: Civil Aviation University of China, 2017.(in Chinese)

[6] Jose K A, Sunil G, Varadan V K. Wireless IDT ice sensor[J]. IEEE MT T S Digest, 2002, 42(2): 655-659.

[7] Ikiades A A. Direct ice detection based on fiber optic sensor architecture[J]. Applied Physics Letters, 2007, 91(10): 1-3.

[8] Ray M, Nesnidal M, Socha D. Optical detection of airbone ice crystals and liquid water droplets[C]∥AIAA Atmospheric and Space Environments conference, 2013.

[9] Gagnon R E, Groves J, Pearson W. Remote ice detection equipment-RIDE[J]. Cold Regions Science & Technology 2012, 72(1): 7-16.

[10] 张杰, 周磊, 张洪, 等. 飞机结冰探测技术[J]. 仪器仪表学报, 2006, 27(12): 1578-1586.

Zhang Jie, Zhou Lei, Zhang Hong, et al. Aircraft icing detection technology[J]. Chinese Journal of Scientific Instrument, 2006, 27(12): 1578-1586.(in Chinese)

[11] 王起达, 王同光. 机翼结冰探测技术进展[J]. 航空制造技术, 2009(3): 62-64.

Wang Qida, Wang Tongguang. Development of detecting icing technology for aircraft wing[J]. Aeronautical Manufacturing Technology, 2009(3): 62-64.(in Chinese)

[12] 杨蓉, 张杰, 郑英, 等. 结冰探测技术研究[J]. 电子测量与仪器学报, 2010(增刊1): 199-206.

Yang Rong, Zhang Jie, Zheng Ying, et al. Novel technology of icing detection[J]. Journal of Electronic Measurement and Instrument, 2010(S1): 199-206.(in Chinese)

[13] 周灿, 葛俊锋, 叶林, 等. 飞机过冷大水滴结冰探测器设计及试验[J]. 仪器仪表学报, 2013, 34(10): 2213-2218.

Zhou Can, Ge Junfeng, Ye Lin, et al. Design and experiment of aircraft SLD icing detector[J]. Chinese Journal of Scientific Instrument, 2013, 34(10): 2213-2218.(in Chinese)

[14] 张洪, 叶林, 张杰. 飞机结冰探测技术初探[J]. 国际航空, 2007(10): 65-67.

Zhang Hong, Ye Lin, Zhang Jie. Discussion on problems of aircraft ice detection[J]. International Aviation, 2007(10): 65-67.(in Chinese)

[15] 刘治军. 基于FPGA的结冰探测系统设计与实现[D]. 武汉: 华中科技大学, 2013.

Liu Zhijun. Design and implementation of FPGA-based icing detection system[D]. Wuhan: Huazhong University of Science & Technology, 2013.(in Chinese)

[16] 王小辉, 朱丽. 飞机结冰探测技术及工程应用[C]. 西安: 中国航空学会, 2015: 421-424.

Wang Xiaohui, Zhu Li. Icing detection technology on aircraft and engineering application[C]. Xi’an: Chinese Society of Aeronautics and Astronautics, 2015: 421-424.(in Chinese)

[17] 修忠信. 民用飞机系统安全性设计与评估技术概论[M]. 上海: 上海交通大学出版社, 2013.

Xiu Zhongxin. System safety design & assessment in civil circraft[M]. Shanghai: Shanghai Jiao Tong University Press, 2013.(in Chinese)

[18] 杨军, 闫锋. 基于FTA的飞机空调组件关断的故障分析[J]. 中国民航大学学报, 2011, 29(1): 8-12.

Yang Jun, Yan Feng. Fault analysis of conditioning pack valve shut off based on FTA[J]. Journal of Civil Aviation University of China, 2011, 29(1): 8-12.(in Chinese)

[19] FAA. Airplane and engine certification requirements in supercooled large drop, mixed phase, and ice crystal icing conditions[EB/OL]. [2017-11-03] http:∥www.gpo.gov/fdsys/pkg/FR-2010-06-29/pdf/2010-15726.pdf.

[20] 杨长进. 民航概论[M]. 北京: 航空工业出版社, 2014.

Yang Changjin. An introduction to civil aviation[M]. Beijing: Aviation Industry Press, 2014.(in Chinese)

[21] SAE. SAE ARP4761 Guideline and methods for conducting the safety assessment process on civil airborne systems and equipment[S]. US: SAE, 1996.

[22] FAA. FAA-AC 25.1309-1B[Draft]. System design and analysis[S]. US: FAA, 2002.