鮑 晗，左洪福，蔡 景，周 迪

(南京航空航天大學(xué)民航學(xué)院， 南京 210016)

發(fā)動(dòng)機(jī)控制系統(tǒng)是發(fā)動(dòng)機(jī)的核心子系統(tǒng)，一方面，其功能喪失可能會(huì)造成空中停車(chē)、完全推力喪失等飛機(jī)級(jí)功能失效和嚴(yán)重后果。另一方面，控制系統(tǒng)是非線性多變量控制復(fù)雜系統(tǒng)，故障率高。

傳統(tǒng)的安全壽命管理方法將某一存活率下零部件萌生規(guī)定長(zhǎng)度裂紋所需的循環(huán)數(shù)定義為部件的批準(zhǔn)壽命，通過(guò)限制使用壽命來(lái)保障發(fā)動(dòng)機(jī)關(guān)鍵部件的安全性[1]。但是由于標(biāo)準(zhǔn)制定或標(biāo)準(zhǔn)符合、設(shè)計(jì)制造和運(yùn)行環(huán)境中的不確定因素，發(fā)動(dòng)機(jī)控制系統(tǒng)的實(shí)際運(yùn)行風(fēng)險(xiǎn)往往高于預(yù)期[2]，傳統(tǒng)的確定性方法在分析風(fēng)險(xiǎn)時(shí)存在較大偏差。

為了克服傳統(tǒng)安全壽命方法的缺點(diǎn)，進(jìn)一步提高發(fā)動(dòng)機(jī)關(guān)鍵部件的安全性，Shah A R等學(xué)者提出運(yùn)用PRA方法，通過(guò)對(duì)關(guān)鍵部件隨機(jī)性和缺陷分布的定量分析，在不具備完整描述的條件下更加準(zhǔn)確地反映發(fā)動(dòng)機(jī)部件的實(shí)際運(yùn)行狀態(tài)[3]。在此框架下，美國(guó)西南研究院聯(lián)合通用電氣等發(fā)動(dòng)機(jī)廠商提出了DARWIN(Design Assessment of Reliability with Inspection)，該方法由有限元分析、概率斷裂力學(xué)模型和無(wú)損探傷檢查模型組成，基于失效機(jī)理對(duì)發(fā)動(dòng)機(jī)概率風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)[4]。隨后FAA頒布了咨詢通告AC39-8，針對(duì)航空發(fā)動(dòng)機(jī)提出了一種基于部件故障統(tǒng)計(jì)、威布爾分析和蒙特卡羅仿真的風(fēng)險(xiǎn)評(píng)估方法[5]。盡管以上兩種PRA方法都為發(fā)動(dòng)機(jī)控制系統(tǒng)故障風(fēng)險(xiǎn)評(píng)估提供了可借鑒的實(shí)施思路，但由于系統(tǒng)的復(fù)雜性以及運(yùn)行數(shù)據(jù)量不足，針對(duì)發(fā)動(dòng)機(jī)控制系統(tǒng)的風(fēng)險(xiǎn)評(píng)估一直未能有效開(kāi)展。

近年來(lái)，風(fēng)險(xiǎn)模型的不斷優(yōu)化、計(jì)算效率的不斷提高、航空基礎(chǔ)數(shù)據(jù)庫(kù)的構(gòu)建等都為使用PRA方法識(shí)別和分析復(fù)雜系統(tǒng)實(shí)際風(fēng)險(xiǎn)提供契機(jī)[6]。本文結(jié)合控制系統(tǒng)的故障風(fēng)險(xiǎn)模式和實(shí)際運(yùn)營(yíng)數(shù)據(jù)，將發(fā)動(dòng)機(jī)推力控制喪失(LOTC)事件作為控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的橋梁，運(yùn)用PRA方法，建立了從底層故障到飛機(jī)級(jí)嚴(yán)重后果的發(fā)動(dòng)機(jī)控制系統(tǒng)故障風(fēng)險(xiǎn)評(píng)估模型，并結(jié)合實(shí)際案例對(duì)模型進(jìn)行演示驗(yàn)證。

1 發(fā)動(dòng)機(jī)控制系統(tǒng)故障風(fēng)險(xiǎn)模式分析

航空發(fā)動(dòng)機(jī)控制系統(tǒng)的關(guān)鍵部件包含電子控制器(EEC)、液壓機(jī)械組件(HMU)、作動(dòng)部件和傳感器4個(gè)主要部分，典型的發(fā)動(dòng)機(jī)控制系統(tǒng)如圖1。EEC根據(jù)飛機(jī)控制命令和進(jìn)入EEC的各個(gè)傳感器測(cè)量信號(hào)，計(jì)算控制目標(biāo)值并將其轉(zhuǎn)化成執(zhí)行機(jī)構(gòu)的電指令，經(jīng)由HMU進(jìn)行電液轉(zhuǎn)換和液壓功率放大，控制作動(dòng)部件實(shí)現(xiàn)對(duì)控制對(duì)象的控制。通過(guò)這一過(guò)程實(shí)現(xiàn)燃油控制，發(fā)動(dòng)機(jī)推力管理，VBV、VSV、TBV、LPTCC等控制以及發(fā)動(dòng)機(jī)的啟動(dòng)、關(guān)閉、點(diǎn)火控制等功能。

根據(jù)發(fā)動(dòng)機(jī)控制系統(tǒng)的結(jié)構(gòu)和工作原理，表1從4個(gè)方面介紹發(fā)動(dòng)機(jī)控制系統(tǒng)故障模式及風(fēng)險(xiǎn)類型[7]。

表1 發(fā)動(dòng)機(jī)控制系統(tǒng)故障風(fēng)險(xiǎn)類型

2 發(fā)動(dòng)機(jī)控制系統(tǒng)故障風(fēng)險(xiǎn)評(píng)估模型

LOTC事件是發(fā)動(dòng)機(jī)控制系統(tǒng)的頂層故障事件，定義為不能通過(guò)油門(mén)桿對(duì)發(fā)動(dòng)機(jī)在慢車(chē)與90%的最大額定推力之間進(jìn)行調(diào)節(jié)，或發(fā)動(dòng)機(jī)不能滿足33部的工作特性要求，或發(fā)動(dòng)機(jī)推力以不可接受的方式振蕩[9]，LOTC率是衡量發(fā)動(dòng)機(jī)安全性的重要標(biāo)志。由于直接估計(jì)單個(gè)故障對(duì)整機(jī)的安全性影響難度較大，故可以結(jié)合設(shè)計(jì)階段的安全性分析基礎(chǔ)，將LOTC事件作為風(fēng)險(xiǎn)分析的橋梁。如圖 2所示，先通過(guò)故障建模的方法分析底層故障發(fā)展成為L(zhǎng)OTC事件的風(fēng)險(xiǎn)，再通過(guò)事件鏈建模評(píng)估LOTC事件發(fā)展成飛機(jī)級(jí)嚴(yán)重后果的風(fēng)險(xiǎn)。最后將實(shí)際風(fēng)險(xiǎn)與適航標(biāo)準(zhǔn)比較，不滿足適航要求時(shí)需要立即采取糾正措施并對(duì)糾正后的風(fēng)險(xiǎn)進(jìn)行重新評(píng)估。

2.1 發(fā)動(dòng)機(jī)控制系統(tǒng)故障建模

通過(guò)故障建模確定從發(fā)動(dòng)機(jī)控制系統(tǒng)底層故障發(fā)展到LOTC事件的實(shí)際風(fēng)險(xiǎn)，主要考慮兩個(gè)方面：?jiǎn)蝹€(gè)部件的故障概率和單個(gè)故障發(fā)展成LOTC事件的概率。

1) 單個(gè)部件的故障概率λ(t)

根據(jù)美國(guó)宇航局的統(tǒng)計(jì)數(shù)據(jù)表明，航空設(shè)備故障率大致可以分為6種類型，其中雙參數(shù)威布爾分布是航空發(fā)動(dòng)機(jī)故障分析中最有價(jià)值的分布函數(shù)[10]。在實(shí)際風(fēng)險(xiǎn)評(píng)估過(guò)程中，由于相同部件在不同使用環(huán)境下表現(xiàn)出來(lái)的故障規(guī)律各不相同，參數(shù)的隨機(jī)性對(duì)概率風(fēng)險(xiǎn)評(píng)估結(jié)果的影響很大[6]，因此考慮部件的實(shí)際運(yùn)維情況。

已知雙參數(shù)威布爾分布的密度函數(shù)為

(1)

其中：m為形狀參數(shù)；η為尺度參數(shù)?？紤]到實(shí)際的故障數(shù)據(jù)中有部分是因預(yù)防性維修而更換的右截尾壽命數(shù)據(jù)，m和η可以根據(jù)式(2)的超越方程，通過(guò)數(shù)值方法迭代求解得到[11]。

(2)

其中：n為數(shù)據(jù)組數(shù)；r為完全數(shù)據(jù)；(n-r)為右截尾數(shù)據(jù)；tp為預(yù)防性更換時(shí)間。

在已知故障率分布的情況下，綜合考慮部件已使用時(shí)間T和檢查間隔τ[12]，在下一個(gè)檢查周期[T，T+τ]內(nèi)，部件故障概率λ(t)可以表示為

(3)

2) 單個(gè)故障發(fā)展成LOTC事件的條件概率μ

單個(gè)故障A發(fā)展成LOTC事件的條件概率μ可以轉(zhuǎn)化成在該故障的暴露時(shí)間內(nèi)，相關(guān)故障發(fā)生的概率。根據(jù)發(fā)動(dòng)機(jī)控制系統(tǒng)LOTC事件的故障樹(shù)，可以通過(guò)上行法或者下行法找出包含A故障的最小割集，即導(dǎo)致LOTC事件發(fā)生的最低限度基本事件的組合[13]。最小割集中除了A故障以外的其他故障，即為A故障的相關(guān)故障。

如圖3，如果在[T，T+τ]內(nèi)的t時(shí)刻發(fā)生第一個(gè)故障，那么該故障的暴露時(shí)間為T(mén)+τ-t，則該故障暴露時(shí)間的期望為

(4)

再結(jié)合相關(guān)故障的平均故障率λi，i=1,2,…，因此條件概率的表達(dá)式為

(5)

如果最小割集中僅包含單個(gè)元素，則說(shuō)明該故障會(huì)直接導(dǎo)致LOTC事件，則相應(yīng)條件概率μ的值為1。

2.2 發(fā)動(dòng)機(jī)控制系統(tǒng)事件鏈建模

事件鏈建模主要用于建立從LOTC事件發(fā)展到各種飛機(jī)級(jí)嚴(yán)重后果的整體過(guò)程，如圖4。將數(shù)控系統(tǒng)LOTC作為事件鏈的初因事件，通過(guò)建立事件樹(shù)或者事件序列圖模型，推演從LOTC事件經(jīng)由一系列中間事件，最終導(dǎo)致飛機(jī)空中解體、墜毀等嚴(yán)重不安全后果。

事件鏈中的條件概率根據(jù)故障的循環(huán)比近似得出，循環(huán)比定義為損傷從當(dāng)前狀態(tài)發(fā)展到下一個(gè)狀態(tài)需要的平均飛行循環(huán)數(shù)與部件使用壽命之比，循環(huán)比越高，表明損傷發(fā)展速度越快，從當(dāng)前狀態(tài)發(fā)展到下一個(gè)狀態(tài)的可能性也就越高。表2是條件概率對(duì)應(yīng)表，由FAA和波音公司根據(jù)歷史數(shù)據(jù)制定[14]。在條件概率不明的情況下，一般將條件概率保守假設(shè)為1。

表2 循環(huán)比對(duì)應(yīng)的條件概率

針對(duì)不安全后果的衡量標(biāo)準(zhǔn)很多，CCAR25.1309中用輕微的、嚴(yán)重的、災(zāi)難性的等嚴(yán)重性等級(jí)定性地表示后果的嚴(yán)重程度。在定量分析中，F(xiàn)AA提出通過(guò)人員損傷率表示不安全后果的嚴(yán)重程度[15]，損傷率IR的表達(dá)式如下

(6)

其中：nfatal表示事故中死亡的人數(shù)，包括事故中機(jī)上和地面的致死人員；nonboard表示飛機(jī)的全部乘員，包括機(jī)組和旅客。根據(jù)FAA的統(tǒng)計(jì)，不同類別飛機(jī)各種嚴(yán)重后果的損傷率見(jiàn)表3。

表3 不安全后果損傷率對(duì)應(yīng)

注：CFIT，即Controlled Flight Into Terrain，可控飛行撞地。

2.3 發(fā)動(dòng)機(jī)控制系統(tǒng)故障風(fēng)險(xiǎn)評(píng)估

結(jié)合故障模型和事件鏈模型，可以將發(fā)動(dòng)機(jī)控制系統(tǒng)故障風(fēng)險(xiǎn)R表示為

R=λ(t)·μ·∑(CPi·IRi),i=1,2,…

(7)

其中：λ(t)是單個(gè)故障在下一次檢查前發(fā)生的概率，見(jiàn)式(3)；μ是在已知故障暴露期間內(nèi)其相關(guān)故障發(fā)生且導(dǎo)致LOTC事件的概率，見(jiàn)式(5)；CPi是LOTC事件發(fā)展到第i種嚴(yán)重后果的條件概率，IRi是第i種嚴(yán)重后果的損傷率。

風(fēng)險(xiǎn)計(jì)算結(jié)果需要與適航標(biāo)準(zhǔn)進(jìn)行比較，進(jìn)而確定是否需要采取對(duì)應(yīng)的風(fēng)險(xiǎn)控制措施。根據(jù)AC-21-AA-2013-19要求，持續(xù)適航階段的實(shí)際風(fēng)險(xiǎn)水平的目標(biāo)值是飛機(jī)設(shè)計(jì)所必須遵循的最大風(fēng)險(xiǎn)水平[1]。對(duì)于發(fā)動(dòng)機(jī)控制系統(tǒng)而言，由發(fā)動(dòng)機(jī)控制系統(tǒng)故障導(dǎo)致的單機(jī)風(fēng)險(xiǎn)水平必須低于1×10-7/FH[5]。在實(shí)際風(fēng)險(xiǎn)超出適航要求時(shí)，必須采取改正或改進(jìn)措施，包括調(diào)整檢查間隔、提早進(jìn)行更換，在涉及重要檢查和設(shè)計(jì)更改時(shí)發(fā)布適航指令(AD)等強(qiáng)制措施。

3 案例分析

以波音737飛機(jī)CFM56-7B發(fā)動(dòng)機(jī)可調(diào)靜子葉片(VSV)作動(dòng)筒故障情況為例對(duì)發(fā)動(dòng)機(jī)控制系統(tǒng)故障實(shí)際風(fēng)險(xiǎn)進(jìn)行分析。

在CFM56-7B世界機(jī)隊(duì)故障統(tǒng)計(jì)中,VSV故障頻率較高,在造成飛機(jī)延誤/取消的原因中排第一位。VSV作動(dòng)筒是安全關(guān)鍵部件，主要的故障模式包括作動(dòng)筒的滲漏和卡阻，故障會(huì)引起VSV控制異常，造成發(fā)動(dòng)機(jī)喘振，進(jìn)而引起發(fā)動(dòng)機(jī)空中停車(chē)，可能造成人員死亡、墜毀等嚴(yán)重后果。同時(shí)每臺(tái)發(fā)動(dòng)機(jī)的VSV作動(dòng)筒無(wú)備份,因而有必要對(duì)機(jī)隊(duì)VSV作動(dòng)筒的實(shí)際風(fēng)險(xiǎn)進(jìn)行監(jiān)控和分析。

CFM56-7B發(fā)動(dòng)機(jī)VSV系統(tǒng)主要由VSV作動(dòng)筒、電液伺服閥和位移傳感器等組成[16]，HMU根據(jù)EEC指令為作動(dòng)筒提供伺服燃油,從而驅(qū)動(dòng)VSV搖臂,進(jìn)而改變VSV的角度,保證發(fā)動(dòng)機(jī)的進(jìn)氣流量合適，作動(dòng)筒本身帶有的線性差動(dòng)傳感器(LVDT)將實(shí)際位置反饋給EEC,如圖5所示。

在設(shè)計(jì)階段，根據(jù)供應(yīng)商提供的測(cè)試數(shù)據(jù)，該型VSV作動(dòng)筒的平均故障率是1.55×10-7，由統(tǒng)計(jì)得到相應(yīng)的風(fēng)險(xiǎn)因子是0.005，因此該VSV作動(dòng)筒的風(fēng)險(xiǎn)為0.775×10-9/FH，遠(yuǎn)低于規(guī)章規(guī)定的10-7/FH，符合安全標(biāo)準(zhǔn)，但該風(fēng)險(xiǎn)顯然沒(méi)有充分考慮不同的運(yùn)行環(huán)境因素和部件退化的影響。

表4收集并整理了某航空公司CFM56-7B型發(fā)動(dòng)機(jī)機(jī)隊(duì)VSV作動(dòng)筒的實(shí)際使用壽命，單位為FH，其中標(biāo)記“*”的為預(yù)防性更換數(shù)據(jù)。

表4 某發(fā)動(dòng)機(jī)機(jī)隊(duì)VSV作動(dòng)筒的壽命數(shù)據(jù)

采用基于截尾數(shù)據(jù)的威布爾參數(shù)極大似然法，根據(jù)式(2)得到威布爾分布的參數(shù)為m=8.136，η=16 467，將其代入式(3)，則在下一次檢查前該類VSV作動(dòng)筒的故障概率表示為

圖6是發(fā)動(dòng)機(jī)數(shù)控系統(tǒng)LOTC的部分故障樹(shù)，可以看出，VSV作動(dòng)筒故障會(huì)直接引發(fā)燃油作動(dòng)部件導(dǎo)致的VSV開(kāi)度異常，進(jìn)而導(dǎo)致VSV控制異常，引發(fā)推力振蕩導(dǎo)致機(jī)組不得不關(guān)閉發(fā)動(dòng)機(jī)，最終引起LOTC事件。也就是說(shuō)，VSV作動(dòng)筒故障會(huì)直接導(dǎo)致LOTC事件，即條件概率μ=1。

根據(jù)表2中的條件概率和表3中的損傷率IR可以建立數(shù)控系統(tǒng)LOTC事件導(dǎo)致飛機(jī)空中解體、墜毀和偏離跑道等嚴(yán)重后果的事件樹(shù)，如圖7所示。

因此可以計(jì)算得出∑(CPi·IRi)=0.007。

查詢?cè)摵娇展镜娘w機(jī)維修方案和相關(guān)工程指令，得知目前該航空公司定期對(duì)機(jī)隊(duì)VSV作動(dòng)筒進(jìn)行檢查和必要的潤(rùn)滑及清潔，檢查間隔是250FH，則VSV作動(dòng)筒故障的單機(jī)風(fēng)險(xiǎn)是一個(gè)關(guān)于運(yùn)行時(shí)間T的函數(shù)，表達(dá)式為

隨著運(yùn)行時(shí)間的增加，由VSV作動(dòng)筒故障引起的風(fēng)險(xiǎn)水平逐漸增加，如圖8所示，在運(yùn)行時(shí)間超過(guò)4 000FH后，風(fēng)險(xiǎn)水平快速升高。將實(shí)際風(fēng)險(xiǎn)與適航風(fēng)險(xiǎn)標(biāo)準(zhǔn)1×10-7/FH進(jìn)行比較，運(yùn)行時(shí)間達(dá)到6550FH左右時(shí)實(shí)際運(yùn)行風(fēng)險(xiǎn)超出適航安全要求。

由表4可知目前該機(jī)隊(duì)VSV作動(dòng)筒的使用時(shí)間均超過(guò)了6 550FH，存在安全風(fēng)險(xiǎn)。在不考慮改變?cè)揤SV作動(dòng)筒設(shè)計(jì)構(gòu)型的情況下，可以從控制作動(dòng)筒的實(shí)際使用時(shí)間T和縮短檢查間隔τ兩個(gè)角度控制實(shí)際風(fēng)險(xiǎn)。

在使用時(shí)間T不變的情況下，通過(guò)優(yōu)化VSV作動(dòng)筒的檢查間隔τ來(lái)控制風(fēng)險(xiǎn)水平。圖9中5條曲線分別表示檢查間隔為100 h、150 h、200 h、250 h和300 h時(shí)，實(shí)際風(fēng)險(xiǎn)隨使用時(shí)間增加而增大的情況。如將使用壽命限制在7 000 h，圖9中豎線與5條直線的交點(diǎn)分別表示運(yùn)行時(shí)間為7 000 h時(shí)不同檢查間隔對(duì)應(yīng)的風(fēng)險(xiǎn)水平?？梢园l(fā)現(xiàn)只有當(dāng)檢查間隔小于150 h，風(fēng)險(xiǎn)水平滿足要求。

在檢查間隔τ確定的情況下，通過(guò)提前更換或清潔來(lái)控制VSV作動(dòng)筒的實(shí)際使用時(shí)間T來(lái)控制風(fēng)險(xiǎn)水平。圖10中4條曲線分別表示使用時(shí)間分別為5 500 h、6 000 h、6 500 h和7 000 h時(shí)，實(shí)際風(fēng)險(xiǎn)隨著檢查間隔的增加而增大的情況。若保持目前的檢查間隔250 h不變，僅當(dāng)運(yùn)行時(shí)間控制在6 500 h以內(nèi)時(shí)，風(fēng)險(xiǎn)水平滿足要求。

由于所有發(fā)動(dòng)機(jī)控制系統(tǒng)事件均可轉(zhuǎn)化為L(zhǎng)OTC事件，其他相關(guān)故障均可借鑒此案例中的風(fēng)險(xiǎn)分析過(guò)程。

4 結(jié)束語(yǔ)

針對(duì)發(fā)動(dòng)機(jī)控制系統(tǒng)實(shí)際風(fēng)險(xiǎn)高于預(yù)期問(wèn)題，對(duì)控制系統(tǒng)故障模式進(jìn)行分析，基于PRA建立控制系統(tǒng)故障模型、事件鏈模型和風(fēng)險(xiǎn)模型。以CFM56-7B發(fā)動(dòng)機(jī)VSV作動(dòng)筒故障為例進(jìn)行實(shí)際風(fēng)險(xiǎn)評(píng)估，并分析運(yùn)行時(shí)間和檢查間隔對(duì)風(fēng)險(xiǎn)的影響。該模型具有一定通用性，為局方在評(píng)估不安全事件風(fēng)險(xiǎn)時(shí)提供定量參考，同時(shí)為航空公司制定使用和維護(hù)計(jì)劃提供定量的依據(jù)。