閆 鋒，徐文韜

(中國民用航空飛行學(xué)院 航空工程學(xué)院，四川 廣漢 618307)

0 引言

全權(quán)限數(shù)字發(fā)動機控制系統(tǒng)(Full Authority Digital Engine Control System，F(xiàn)ADEC)是連接飛機控制系統(tǒng)和動力系統(tǒng)的中間件，作為動力系統(tǒng)中樞對當代發(fā)動機故障監(jiān)測隔離與健康管理等愈加重要。以GE GP7000為代表的第三代FADEC系統(tǒng)的雙通道冗余架構(gòu)，直接影響發(fā)動機故障派遣決策的安全性和經(jīng)濟性需求。因此，對各類故障安全評估后的限時派遣(Time-Limited Dispatch，TLD)決策是近年來的研究熱點。

我國民航航班飛行架次平均每年的增長率為15%以上，而中國民用航空綜合司報告的航空器使用困難報告(SDR)中動力控制系統(tǒng)故障占16%左右，民航局對于機場放行正點率要求為80%以上[1]，因此可依據(jù)法規(guī)評估故障影響，選擇執(zhí)行帶故障間隔派遣時間間隔決策，提高在新冠疫情下航班的正點率。

在航空器最初適航審定階段，對于FADEC系統(tǒng)限時派遣的分析方法有故障數(shù)據(jù)驅(qū)動的故障模式影響分析(FMEA)等[2]。傳統(tǒng)方法僅考慮了控制系統(tǒng)安全性目標，未將控制系統(tǒng)放在整體發(fā)動機系統(tǒng)中建立系統(tǒng)可靠性目標，不能達成安全性和經(jīng)濟性需求優(yōu)化目標。本文利用系統(tǒng)理論分析(Systematic Theory Process Analysis，STPA)方法定義系統(tǒng)危險邊界，并基于系統(tǒng)模型識別不安全的控制動作及原因，考慮組間交互等因素影響，建立以系統(tǒng)簽派可靠度和經(jīng)濟性為目標的安全約束，在故障模擬環(huán)境下識別不安全控制行為(Unsafe Control Action，UCA)，對于復(fù)雜控制系統(tǒng)可以有效識別系統(tǒng)失效狀態(tài)和影響嚴重性級別。此方法可滿足簽派安全需求，提高航班正點率要求，從而滿足民航經(jīng)濟性運營需求。

1 決策安全性需求分析

基于航空法規(guī)制定的安全約束是FADEC系統(tǒng)限時派遣的安全需求基礎(chǔ)，F(xiàn)ADEC系統(tǒng)限時派遣的安全需求可分解為：航空發(fā)動機部件安全需求；控制部安全需求。本研究依據(jù)ARP5107C、CCAR33部規(guī)定討論限時派遣要求下的安全性需求及方法。

1.1 控制系統(tǒng)安全性需求分析

ARP5107C是限時派遣技術(shù)應(yīng)用于FADEC系統(tǒng)推力控制可靠性的方法，適用于當代商用運輸機上開發(fā)和運用TLD的部件結(jié)構(gòu)，也可適用于其他FADEC系統(tǒng)故障影響或其他系統(tǒng)，如反推裝置、超速保護系統(tǒng)等。適航申請者必須評估控制系統(tǒng)故障狀態(tài)以及影響發(fā)動機推力程度，確定故障造成的所有可能后果及其失效狀態(tài)。ARP5107C定義了限時派遣的四種類型[3]：不可派遣(No Dispatch，ND)；短時派遣(Short Dispatch，ST)；長時派遣(Long Dispatch，LT)；輕微發(fā)動機影響(Minor engines effects),FADEC系統(tǒng)限時派遣策略方案如表1所示。限時派遣以推力控制喪失(Loss of Thrust Control，LOTC)作為核心的安全標準，通過控制系統(tǒng)可靠性水平保障整機安全性在可派遣范圍內(nèi)，對電子系統(tǒng)LOTC事件發(fā)生概率應(yīng)小于10-5次/飛行小時。

表1 FADEC系統(tǒng)限時派遣策略方案

1.2 發(fā)動機安全性需求分析

CCAR33部第33.28條[4]是對于發(fā)動機控制系統(tǒng)要求：“適航申請人必須表明當故障或失效導(dǎo)致控制系統(tǒng)轉(zhuǎn)移到備份系統(tǒng)時，發(fā)動機不會超出任何使用限制，發(fā)動機推力調(diào)節(jié)響應(yīng)具有足夠靈敏度和不產(chǎn)生任何不可接受推力振蕩?！毕到y(tǒng)安全評估可預(yù)見失效或故障導(dǎo)致危害發(fā)動機系統(tǒng)，確定故障或失效在安全頻率之下。對控制系統(tǒng)進行適航驗證分析：申請者需設(shè)計發(fā)動機控制系統(tǒng)發(fā)生LOTC/LOPC事件概率在安全目標裕度內(nèi)；控制系統(tǒng)能容忍經(jīng)民航局確定的“單點故障”；系統(tǒng)部件單點失效不會危害發(fā)動機系統(tǒng)造成嚴重后果。

2 TLD安全性評估決策

限時派遣是失去推力或功率控制(LOTC/LOPC)事件發(fā)生概率與安全目標要求一致性下在規(guī)定時間內(nèi)執(zhí)行派遣任務(wù)，在符合CCAR33.28和75規(guī)定時必須對航空發(fā)動機控制系統(tǒng)進行安全性評估。

2.1 功能映射關(guān)聯(lián)分析

航空發(fā)動機控制系統(tǒng)做故障保留派遣決策，限時派遣的基礎(chǔ)要素如圖1所示?？刂葡到y(tǒng)故障后選擇做故障保留派遣決策時，依據(jù)現(xiàn)有的航空安全法規(guī)評估安全派遣時間?？刂葡到y(tǒng)的故障危害性通過上層發(fā)動機系統(tǒng)性能波動危險性表現(xiàn)出來，根據(jù)控制系統(tǒng)功能邏輯、時序分析功能接口數(shù)據(jù)對發(fā)動機控制輸出，如燃油量調(diào)整、壓氣機靜子葉片和放氣活門、渦輪主動間隙控制等?；诎l(fā)動機的狀態(tài)/模式，分析與前序控制系統(tǒng)功能關(guān)聯(lián)以及細化故障模式和失效狀態(tài)的對應(yīng)情況。

圖1 限時派遣的基礎(chǔ)要素

2.2 安全性決策方法分析

FADEC系統(tǒng)產(chǎn)生故障從全勤(FU)狀態(tài)向LOTC狀態(tài)轉(zhuǎn)移可建立可靠性模型模擬計算狀態(tài)頻率，在SAE5107文件中建議了開環(huán)馬爾可夫模型方法[5]，從控制系統(tǒng)轉(zhuǎn)移狀態(tài)和派遣選擇出發(fā)建立馬爾可夫轉(zhuǎn)移狀態(tài)圖。馬爾可夫方法在單目標情況下可以有效計算系統(tǒng)平均LOTC事件發(fā)生概率，并確定容錯派遣方案，在系統(tǒng)ND狀態(tài)下也可在多目標情況下，馬爾可夫轉(zhuǎn)移模型容易出現(xiàn)復(fù)雜關(guān)系狀態(tài)圖、數(shù)學(xué)計算難度頗高等情況，基于此在處置ST、LT狀態(tài)下繼發(fā)故障的限時派遣分析時提出蒙特卡羅方法[6]。

基于控制危險性可建立STPA安全性評估方法，深入分析控制系統(tǒng)與發(fā)動機系統(tǒng)的不安全交互，識別可能導(dǎo)致推力喪失控制事件的不安全控制狀態(tài)。單位化控制系統(tǒng)功能可有效定義系統(tǒng)狀態(tài)/模式，并與上層推進系統(tǒng)產(chǎn)生關(guān)聯(lián)映射，在發(fā)動機復(fù)雜運行條件和工況下較為精確分析系統(tǒng)功能失效導(dǎo)致的LOTC事件?？刂葡到y(tǒng)故障表現(xiàn)為復(fù)雜系統(tǒng)控制出現(xiàn)不恰當或不足行為，執(zhí)行機構(gòu)不完全行為，信息反饋失敏等。

3 TLD的STPA分析程序

基于STAMP模型上發(fā)展的STPA安全性分析方法，從分析系統(tǒng)風(fēng)險、建立安全性需求、確定安全約束、分析安全性流程形成安全性分析流程。

3.1 分析危險輸入

FADEC系統(tǒng)作為航空發(fā)動機的中樞系統(tǒng)，在控制功能之外對發(fā)動機具有故障監(jiān)測與健康管理等功能，基于控制系統(tǒng)隨發(fā)動機的工作是隨時間動態(tài)變化的過程，分析帶故障派遣所帶來的安全風(fēng)險，根據(jù)故障部件功能特性預(yù)測可能面臨的系統(tǒng)安全風(fēng)險。

評估最壞故障結(jié)果下受FADEC系統(tǒng)控制，功能喪失，定義系統(tǒng)級風(fēng)險。發(fā)動機作為飛機的推進系統(tǒng)在本文中以LOTC事件概率安全分析，給出系統(tǒng)級風(fēng)險：危害性的發(fā)動機影響；重大發(fā)動機影響；輕微發(fā)動機影響等(如表1所示制造商評估適航派遣時間)。例如發(fā)動機接口組件(EIU)失效導(dǎo)致自動推力喪失，需飛行員手動控制推力。

3.2 UCA失效模式分析

FADEC系統(tǒng)安全性分析流程通常不僅僅局限于系統(tǒng)本身失效狀態(tài)，需同時考慮對發(fā)動機系統(tǒng)以及整機系統(tǒng)造成的影響，由FADEC系統(tǒng)產(chǎn)生交互識別UCA行為：FADEC系統(tǒng)控制行為消失造成危險；控制行為未按指令進行或出現(xiàn)時序錯誤；控制行為不完全導(dǎo)致危險。依據(jù)FADEC適航要求識別UCA，并將控制配置組件故障分析評估，F(xiàn)ADEC系統(tǒng)的UCA模式如表2所示。

表2 FADEC系統(tǒng)的UCA模式

3.3 建立控制系統(tǒng)STAMP模型

根據(jù)FADEC系統(tǒng)功能劃分，F(xiàn)ADEC系統(tǒng)控制結(jié)構(gòu)如圖2所示，整個控制交互過程分成5個部分：傳感器(HM)分布在發(fā)動機中；液壓機械組件(HMU)；ECU、EIU等；IMA航電系統(tǒng)；執(zhí)行機構(gòu)(壓氣機控制、間隙控制、起動控制等)?？刂菩畔⒔换グ豢剡^程、控制算法、失效模式，這些構(gòu)成FADEC系統(tǒng)控制結(jié)構(gòu)的STAMP模型。

圖2 FADEC系統(tǒng)控制結(jié)構(gòu)

3.4 建立安全目標約束

FADEC系統(tǒng)基于STAMP模型建立安全約束包含：民航適航法規(guī)要求；FADEC系統(tǒng)故障導(dǎo)致航空發(fā)動機喪失推力控制(LOTC)的失效狀態(tài)。第一點要求如限時派遣劃分(見表1)，在此主要論述航空發(fā)動機在LOTC狀態(tài)下的具體故障表現(xiàn)以及失效狀態(tài)。

STPA分析的安全性方法相較于傳統(tǒng)方法可以在FHA分析基礎(chǔ)上從安全約束控制角度避免出現(xiàn)傳統(tǒng)方法的上述極端情況?？筛鶕?jù)航空發(fā)動機制造商評估建立安全裕度下的容錯派遣時間限制，不可派遣故障，長時派遣，短時派遣，多個故障組合(在聯(lián)系實際飛機高修復(fù)率情況下多重故障發(fā)生率不足5%出現(xiàn)LOTC事件)，不可檢測故障等。FADEC系統(tǒng)功能失效識別流程如圖3所示。

圖3 FADEC系統(tǒng)功能失效識別流程

3.5 STPA方法的TLD安全性討論

STPA方法應(yīng)用于TLD分析中，相較于FADEC系統(tǒng)的FHA方法[7]，在傳統(tǒng)方法基礎(chǔ)上定義FADEC系統(tǒng)的控制模型：避免與系統(tǒng)運行過程分析導(dǎo)致較大誤差，難以與理論結(jié)合分析；可靈活結(jié)合多種算法避免分析故障模式出現(xiàn)太過于復(fù)雜的指數(shù)級計算，例馬爾可夫法[8]在分析繼發(fā)性多重故障時會出現(xiàn)計算過于復(fù)雜難以得出結(jié)果。

FADEC系統(tǒng)故障一般間接從發(fā)動機整體性能表現(xiàn)出來，基于此可建立分層控制結(jié)構(gòu)分析建模，分析動態(tài)系統(tǒng)狀態(tài)轉(zhuǎn)移時間概率關(guān)系是否滿足系統(tǒng)安全性需求?；诎l(fā)動機健康管理(EHM)的FADEC系統(tǒng)自我故障檢測的數(shù)據(jù)分布在發(fā)動機上的傳感器等電子元件中。由于發(fā)動機工況復(fù)雜多變導(dǎo)致系統(tǒng)故障種類復(fù)雜，并要求適應(yīng)系統(tǒng)分布式架構(gòu)遷移需求，控制系統(tǒng)可以整合發(fā)動機復(fù)雜動態(tài)信息接入多種診斷算法(如貝葉斯算法、人工智能模糊融合算法[9])給出機體自適應(yīng)的最優(yōu)化健康管理輸出。

3.6 實例分析

以某型發(fā)動機T3傳感器的控制邏輯應(yīng)用TLD為例。T3傳感器測量高壓壓氣機排氣溫度數(shù)據(jù)并傳遞給EEC控制BSV(燃燒分級活門)和HPTACC(高壓渦輪主動間隙控制),發(fā)動機T3傳感器控制邏輯如圖4所示。

圖4 發(fā)動機T3傳感器控制邏輯

進行T3傳感器失效模式以及影響分析(FMEA)的UCA失效模式主要是部件失效、T3線束故障、T3反饋數(shù)據(jù)失常等。在FADEC控制系統(tǒng)由全勤狀態(tài)向LOTC狀態(tài)轉(zhuǎn)移過程中，T3傳感器依據(jù)FAA適航要求得出隨時間變化的頻率分布。依據(jù)某型適航資料可知在一定時間內(nèi)部件失效概率為3.79×10-7,線束失效概率為2.84×10-6，數(shù)據(jù)反饋失效為1.14×10-7，依據(jù)適航規(guī)定，概率分布在10-7～10-5之間可判定為重大的發(fā)動機影響。線束失效影響將直接導(dǎo)致LOTC事件的發(fā)生，據(jù)此可判定發(fā)動機由全勤狀態(tài)進入ND狀態(tài)。

4 結(jié)論

FADEC系統(tǒng)冗余故障通過外部發(fā)動機工況體現(xiàn)出來，用系統(tǒng)理論分析法分析建立限時派遣模型得出結(jié)論：建立分層控制模型，輔助分析不恰當控制對發(fā)動機影響程度定義UCA失效；對限時派遣決策劃清危險邊界為不安全控制行為提供一種建模方法，可作為建立FADEC安全性限時派遣策略評估的方法儲備。