基于STPA的FADEC系统TLD安全性方法研究

2023-01-04徐文韬

西安航空学院学报 2022年5期

闫锋，徐文韬

(中国民用航空飞行学院航空工程学院，四川广汉 618307)

0 引言

全权限数字发动机控制系统(Full Authority Digital Engine Control System，FADEC)是连接飞机控制系统和动力系统的中间件，作为动力系统中枢对当代发动机故障监测隔离与健康管理等愈加重要。以GE GP7000为代表的第三代FADEC系统的双通道冗余架构，直接影响发动机故障派遣决策的安全性和经济性需求。因此，对各类故障安全评估后的限时派遣(Time-Limited Dispatch，TLD)决策是近年来的研究热点。

我国民航航班飞行架次平均每年的增长率为15%以上，而中国民用航空综合司报告的航空器使用困难报告(SDR)中动力控制系统故障占16%左右，民航局对于机场放行正点率要求为80%以上[1]，因此可依据法规评估故障影响，选择执行带故障间隔派遣时间间隔决策，提高在新冠疫情下航班的正点率。

在航空器最初适航审定阶段，对于FADEC系统限时派遣的分析方法有故障数据驱动的故障模式影响分析(FMEA)等[2]。传统方法仅考虑了控制系统安全性目标，未将控制系统放在整体发动机系统中建立系统可靠性目标，不能达成安全性和经济性需求优化目标。本文利用系统理论分析(Systematic Theory Process Analysis，STPA)方法定义系统危险边界，并基于系统模型识别不安全的控制动作及原因，考虑组间交互等因素影响，建立以系统签派可靠度和经济性为目标的安全约束，在故障模拟环境下识别不安全控制行为(Unsafe Control Action，UCA)，对于复杂控制系统可以有效识别系统失效状态和影响严重性级别。此方法可满足签派安全需求，提高航班正点率要求，从而满足民航经济性运营需求。

1 决策安全性需求分析

基于航空法规制定的安全约束是FADEC系统限时派遣的安全需求基础，FADEC系统限时派遣的安全需求可分解为：航空发动机部件安全需求；控制部安全需求。本研究依据ARP5107C、CCAR33部规定讨论限时派遣要求下的安全性需求及方法。

1.1 控制系统安全性需求分析

ARP5107C是限时派遣技术应用于FADEC系统推力控制可靠性的方法，适用于当代商用运输机上开发和运用TLD的部件结构，也可适用于其他FADEC系统故障影响或其他系统，如反推装置、超速保护系统等。适航申请者必须评估控制系统故障状态以及影响发动机推力程度，确定故障造成的所有可能后果及其失效状态。ARP5107C定义了限时派遣的四种类型[3]：不可派遣(No Dispatch，ND)；短时派遣(Short Dispatch，ST)；长时派遣(Long Dispatch，LT)；轻微发动机影响(Minor engines effects),FADEC系统限时派遣策略方案如表1所示。限时派遣以推力控制丧失(Loss of Thrust Control，LOTC)作为核心的安全标准，通过控制系统可靠性水平保障整机安全性在可派遣范围内，对电子系统LOTC事件发生概率应小于10-5次/飞行小时。

表1 FADEC系统限时派遣策略方案

1.2 发动机安全性需求分析

CCAR33部第33.28条[4]是对于发动机控制系统要求：“适航申请人必须表明当故障或失效导致控制系统转移到备份系统时，发动机不会超出任何使用限制，发动机推力调节响应具有足够灵敏度和不产生任何不可接受推力振荡。”系统安全评估可预见失效或故障导致危害发动机系统，确定故障或失效在安全频率之下。对控制系统进行适航验证分析：申请者需设计发动机控制系统发生LOTC/LOPC事件概率在安全目标裕度内；控制系统能容忍经民航局确定的“单点故障”；系统部件单点失效不会危害发动机系统造成严重后果。

2 TLD安全性评估决策

限时派遣是失去推力或功率控制(LOTC/LOPC)事件发生概率与安全目标要求一致性下在规定时间内执行派遣任务，在符合CCAR33.28和75规定时必须对航空发动机控制系统进行安全性评估。

2.1 功能映射关联分析

航空发动机控制系统做故障保留派遣决策，限时派遣的基础要素如图1所示。控制系统故障后选择做故障保留派遣决策时，依据现有的航空安全法规评估安全派遣时间。控制系统的故障危害性通过上层发动机系统性能波动危险性表现出来，根据控制系统功能逻辑、时序分析功能接口数据对发动机控制输出，如燃油量调整、压气机静子叶片和放气活门、涡轮主动间隙控制等。基于发动机的状态/模式，分析与前序控制系统功能关联以及细化故障模式和失效状态的对应情况。

图1 限时派遣的基础要素

2.2 安全性决策方法分析

FADEC系统产生故障从全勤(FU)状态向LOTC状态转移可建立可靠性模型模拟计算状态频率，在SAE5107文件中建议了开环马尔可夫模型方法[5]，从控制系统转移状态和派遣选择出发建立马尔可夫转移状态图。马尔可夫方法在单目标情况下可以有效计算系统平均LOTC事件发生概率，并确定容错派遣方案，在系统ND状态下也可在多目标情况下，马尔可夫转移模型容易出现复杂关系状态图、数学计算难度颇高等情况，基于此在处置ST、LT状态下继发故障的限时派遣分析时提出蒙特卡罗方法[6]。

基于控制危险性可建立STPA安全性评估方法，深入分析控制系统与发动机系统的不安全交互，识别可能导致推力丧失控制事件的不安全控制状态。单位化控制系统功能可有效定义系统状态/模式，并与上层推进系统产生关联映射，在发动机复杂运行条件和工况下较为精确分析系统功能失效导致的LOTC事件。控制系统故障表现为复杂系统控制出现不恰当或不足行为，执行机构不完全行为，信息反馈失敏等。

3 TLD的STPA分析程序

基于STAMP模型上发展的STPA安全性分析方法，从分析系统风险、建立安全性需求、确定安全约束、分析安全性流程形成安全性分析流程。

3.1 分析危险输入

FADEC系统作为航空发动机的中枢系统，在控制功能之外对发动机具有故障监测与健康管理等功能，基于控制系统随发动机的工作是随时间动态变化的过程，分析带故障派遣所带来的安全风险，根据故障部件功能特性预测可能面临的系统安全风险。

评估最坏故障结果下受FADEC系统控制，功能丧失，定义系统级风险。发动机作为飞机的推进系统在本文中以LOTC事件概率安全分析，给出系统级风险：危害性的发动机影响；重大发动机影响；轻微发动机影响等(如表1所示制造商评估适航派遣时间)。例如发动机接口组件(EIU)失效导致自动推力丧失，需飞行员手动控制推力。

3.2 UCA失效模式分析

FADEC系统安全性分析流程通常不仅仅局限于系统本身失效状态，需同时考虑对发动机系统以及整机系统造成的影响，由FADEC系统产生交互识别UCA行为：FADEC系统控制行为消失造成危险；控制行为未按指令进行或出现时序错误；控制行为不完全导致危险。依据FADEC适航要求识别UCA，并将控制配置组件故障分析评估，FADEC系统的UCA模式如表2所示。

表2 FADEC系统的UCA模式

3.3 建立控制系统STAMP模型

根据FADEC系统功能划分，FADEC系统控制结构如图2所示，整个控制交互过程分成5个部分：传感器(HM)分布在发动机中；液压机械组件(HMU)；ECU、EIU等；IMA航电系统；执行机构(压气机控制、间隙控制、起动控制等)。控制信息交互包含被控过程、控制算法、失效模式，这些构成FADEC系统控制结构的STAMP模型。

图2 FADEC系统控制结构

3.4 建立安全目标约束

FADEC系统基于STAMP模型建立安全约束包含：民航适航法规要求；FADEC系统故障导致航空发动机丧失推力控制(LOTC)的失效状态。第一点要求如限时派遣划分(见表1)，在此主要论述航空发动机在LOTC状态下的具体故障表现以及失效状态。

STPA分析的安全性方法相较于传统方法可以在FHA分析基础上从安全约束控制角度避免出现传统方法的上述极端情况。可根据航空发动机制造商评估建立安全裕度下的容错派遣时间限制，不可派遣故障，长时派遣，短时派遣，多个故障组合(在联系实际飞机高修复率情况下多重故障发生率不足5%出现LOTC事件)，不可检测故障等。FADEC系统功能失效识别流程如图3所示。

图3 FADEC系统功能失效识别流程

3.5 STPA方法的TLD安全性讨论

STPA方法应用于TLD分析中，相较于FADEC系统的FHA方法[7]，在传统方法基础上定义FADEC系统的控制模型：避免与系统运行过程分析导致较大误差，难以与理论结合分析；可灵活结合多种算法避免分析故障模式出现太过于复杂的指数级计算，例马尔可夫法[8]在分析继发性多重故障时会出现计算过于复杂难以得出结果。

FADEC系统故障一般间接从发动机整体性能表现出来，基于此可建立分层控制结构分析建模，分析动态系统状态转移时间概率关系是否满足系统安全性需求。基于发动机健康管理(EHM)的FADEC系统自我故障检测的数据分布在发动机上的传感器等电子元件中。由于发动机工况复杂多变导致系统故障种类复杂，并要求适应系统分布式架构迁移需求，控制系统可以整合发动机复杂动态信息接入多种诊断算法(如贝叶斯算法、人工智能模糊融合算法[9])给出机体自适应的最优化健康管理输出。

3.6 实例分析

以某型发动机T3传感器的控制逻辑应用TLD为例。T3传感器测量高压压气机排气温度数据并传递给EEC控制BSV(燃烧分级活门)和HPTACC(高压涡轮主动间隙控制),发动机T3传感器控制逻辑如图4所示。

图4 发动机T3传感器控制逻辑

进行T3传感器失效模式以及影响分析(FMEA)的UCA失效模式主要是部件失效、T3线束故障、T3反馈数据失常等。在FADEC控制系统由全勤状态向LOTC状态转移过程中，T3传感器依据FAA适航要求得出随时间变化的频率分布。依据某型适航资料可知在一定时间内部件失效概率为3.79×10-7,线束失效概率为2.84×10-6，数据反馈失效为1.14×10-7，依据适航规定，概率分布在10-7～10-5之间可判定为重大的发动机影响。线束失效影响将直接导致LOTC事件的发生，据此可判定发动机由全勤状态进入ND状态。