胡 维，蔡 景

（1.武汉第二船舶设计研究所，武汉 430074；2.南京航空航天大学民航学院，南京 211106）

航空发动机全权限电子控制系统(FADEC,full authority digital engine control）的时间限制性派遣（TLD,time-limited dispatch）分析是飞机系统安全性分析的重要内容，是商用飞机及航空发动机型号合格审定的一项必要工作[1]。为了保证FADEC 系统的可靠性，采用双通道全备份设计，且通道之间采用交叉链路数据通道（CCDL,cross channel digital line） 进行数据交互，FADEC 系统概念图如图1所示。

图1 FADEC 系统概念图Fig.1 Concept map of FADEC system

在TLD 分析指导性文件ARP5107B[2]中，给出两种推荐的TLD 分析方法：一种是时间加权平均（TWA,time weighted average）方法；另一种是马尔科夫模型（MM,Markov model）方法。无论哪种方法都需要获得一个重要数据，即FADEC 系统部件失效后的推力控制丧失（LOTC,loss of thrust control）率。在ARP5107B中，根据FADEC 系统的特点（双通道全备份冗余设计），推荐采用功能分析法来获得这一数据。功能分析法通过寻找故障发生后会导致系统进入LOTC 状态的单个继发故障，来确定部件失效后系统LOTC 率。如油门杆角度（TLA,thrust level angle）信号丢失故障发生后，能造成FADEC 系统进入LOTC 状态的单个继发故障，即只有另一通道CPU、电源或备份油门杆角度信号也丢失，才会使系统进入LOTC 状态，TLA 故障后，系统LOTC 率可表示为这3 个故障的失效率之和。该方法在系统复杂程度不高时，应用较为简单，但随着FADEC 系统复杂程度增加，功能分析法会出现分析过于复杂且不够全面、多故障耦合问题分析困难等问题。如当CCDL 发生故障时，由于不存在发生LOTC 事件的单个继发故障，故功能分析法不适用。目前，国内外对于FADEC系统的TLD 分析开展了不少研究，如Prescott 等[3]提出使用蒙特卡罗仿真方法进行TLD 分析，陆中等[4-5]将任务可靠度与平均安全水平概念引入到TLD 分析中。而这些研究在进行TLD 分析时，都使用功能分析法得到部件失效后系统LOTC 率。

故障树方法作为一种系统可靠性的分析模型，具有定性与定量分析功能。通过分析FADEC 系统原理，结合失效模式与影响分析（FMEA,failure model and effect analyze），建立以发动机LOTC 为顶事件、底层部件失效为底事件的故障树模型，以此来替代功能分析法在TLD 分析中的作用[6]。

1 TLD 分析

ARP5107B 中推荐的两个TLD 分析方法中，TWA方法只是将FADEC 系统LOTC 率表示为几类故障的失效率时间加权之和，精度较低。而目前主流飞机制造商如波音、空客在进行TLD 分析时都采用MM 方法。FADEC 系统具有低失效率、高修复率的特点，系统在带故障派遣期间发生新故障的概率非常低，多故障同时出现的概率较小，因此，在实践中美国联邦航空管理局（FAA,Federal Aviation Administration）允许使用单故障马尔科夫模型进行TLD 分析。

单故障马尔科夫模型只考虑系统发生单个故障状态，其对应的马尔科夫模型如图2所示。其中：P1为系统无故障状态的概率；Pi为部件i 处于故障状态的概率；PLOTC为系统处于LOTC 状态的概率；λi为部件i的失效率；λi-LOTC为部件i 失效后系统的LOTC 率；λHM+UC为机械/液压故障与未覆盖故障失效率之和；μi为部件i 的修复率，即派遣时长的倒数；μFB为系统从LOTC 状态修复到全勤状态的修复率。

图2 单故障马尔科夫模型Fig.2 Markov model with single fault

根据故障发生后对系统冗余度的影响，将直接导致系统进入LOTC 状态的故障归为不准派遣故障（ND,no dispatch），将对系统冗余度影响较大的故障归为短时派遣故障（ST,short term），将对系统冗余度影响较小的故障归为长时派遣故障（LT,long term），且为每类故障规定了不同的派遣时长。

对于n 状态系统，以1 状态为完好状态，2 到n-1为中间故障状态，n 状态为LOTC 状态。在TLD 分析指导性文件ARP5107B[2]中，FADEC 系统LOTC 率定义为系统进入LOTC 状态的概率Pin-LOTC与系统处在非LOTC 状态的概率之比，可表示为

式中

在系统达到稳定状态时，即可认为进入与离开某个状态概率相等，即dPi/dt=0，且系统处在各状态概率之和为1，可得

再根据式（2）和式（3），将式（1）转化为

式中

代入式（4）得到

由于部件失效率λi及机械/液压故障与未覆盖故障失效率之和λHM+UC已知，只要得到部件i 失效后系统LOTC 率即可得到系统在修复率μi下的LOTC 率，即可完成TLD分析。

2 故障树应用实例

为了获得部件失效后FADEC 系统的λi-LOTC，以某一在役FADEC 系统为例建立故障树，系统共有85个部件。

故障树建立的第一步是确定故障树的分析目标，即确定故障树的顶事件。以FADEC 系统失效导致发动机进入LOTC 状态为顶事件，记为TP1。在顶事件确定后，需要找到直接导致发动机控制系统LOTC 事件的直接原因，通过前期对发动机控制系统故障机理的分析，并结合发动机控制系统及其主要部件的功能危害分析（FHA,functional hazard analysis）和FMEA，确定导致LOTC 的直接原因有：燃油不能实现连续控制，推力振荡导致机组不得不关闭发动机，错误参数限制推力和由数控系统导致的发动机停车[7]。对上述4 个中间事件继续进行原因分析，分别找出导致这4 个中间事件的全部直接原因。继续按此方式进行分析，直至追查到已知的原始故障机理或概率分布，最终形成完整的故障树。

若失效会对飞机造成LOTC，则该故障会被纳入到TLD 分析范围。FMEA 分析主要记录以下内容：故障或失效模式、故障或失效对系统的影响及故障发生的概率。通过FMEA 分析，得到发动机LOTC 事件所有可能的故障模式与原因。这些故障模式与原因构成了故障树的中间事件与底事件。

由于发动机控制系统结构复杂，故障树共包含19个逻辑门和18 个中间事件，最终得到85 个底事件，故障树部分模型如图3所示。每个底事件的失效率记作λi（i=1，2，…，85），底事件失效率来源于FHA 与FMEA分析，部分部件失效率数据如表1所示。通过设置底层部件失效，得到部件失效后系统LOTC 率，并依据ARP5107B 中故障分类标准，判断部件故障类别。

表1 部分部件失效率数据Tab.1 Partial failure rate data

图3 FADEC 系统部分故障树Fig.3 Partial fault tree diagram of FADEC system

通过故障树的最小割集分析发现有10 个故障会直接导致系统进入LOTC 状态，为ND 类故障；有2 个故障对系统冗余度影响较大，为ST 类故障；剩下73个故障对系统冗余度影响较小，为LT 类故障。

3 故障后系统LOTC 率计算与分析

通过可靠性软件Isograph 建立FADEC 系统LOTC故障树后，设置FADEC 底层部件失效率。通过修改单个部件失效率为1 后，通过软件自带故障树分析，可直接得到部件失效后系统LOTC 率λi-LOTC。将得到的结果与功能分析法相比较，部分结果如表2所示。

通过比较表中两种方法得到的λi-LOTC发现，功能分析法得到的结果总是略大于故障树方法。原因是功能分析法简单将λi-LOTC表示为几种故障失效率之和，从可靠性角度来看，该方法重复计算了几种故障同时发生的概率。部分部件失效后系统LOTC 率很难通过功能分析法得到，如CCDL 故障。从功能角度来看，只要FADEC 系统双通道各发生一个故障，使得两个通道都处于不可用状态，则系统就会进入LOTC 状态，而这种情况下，双通道之间不能进行数据交互，不存在导致系统进入LOTC 状态的单个继发故障，因此，功能分析法无法得到CCDL 故障后系统LOTC 率。针对这种情况，用故障树方法得到的数据代替功能分析法不能获得的数据，得到两种分析方法下完整失效率表。取短时派遣间隔TS=125 h，进行TLD 分析，得到系统LOTC率随长时派遣间隔TL变化的情况，如图4所示。

从图4中可以看出，在TL较小时，两种方法得到的λi-LOTC基本相等，但随着TL增大，两种方法得到的λi-LOTC相差越来越大。结合表2和图4，发现即使两种方法得到的部件失效后λi-LOTC相差较小，在进行TLD分析时，得到的结果λi-LOTC相对误差较大（2%）。这是由于功能分析法得到的每个部件故障后系统λi-LOTC都偏大，最后在TLD 分析时，这部分误差相叠加，使得TLD 分析结果过于保守。

表2 部件失效后系统LOTC 率Tab.2 LOTC rate of the system with component failure

图4 TLD 分析结果Fig.4 TLD analysis result

4 结语

通过对FADEC 系统进行FMEA 分析，建立系统LOTC 故障的故障树，用于FADEC 系统的TLD 分析。通过分析发现：①与功能分析方法相比，故障树方法对FADEC系统建模，可用于任意复杂FADEC 系统，得到的结果更加精确；②故障树方法弥补了功能分析法分析结果过于保守、分析不够全面、在不存在单个继发故障引起LOTC 情况时不适用的缺点。

随着FADEC 系统复杂程度提高，故障树方法与功能分析法相比分析误差更小，可较好地应用于限时派遣技术中。