基于模型的FMEA分析方法研究

■ 盧波 高亞輝 姜成平 劉明 朱靜 尹明明 / 中國航發(fā)動(dòng)控所

針對(duì)當(dāng)前全權(quán)限數(shù)字式電子控制（FADEC）系統(tǒng)研制過程中安全性評(píng)估工作不充分和不準(zhǔn)確的問題，中國航發(fā)動(dòng)控所創(chuàng)新團(tuán)隊(duì)開展了基于模型仿真的“失效模式和影響分析”（FMEA）工作，實(shí)現(xiàn)了故障模式對(duì)系統(tǒng)功能、性能影響的定性、定量和動(dòng)態(tài)化分析，顯著提高了復(fù)雜系統(tǒng)安全性評(píng)估的準(zhǔn)確性和效率，降低了數(shù)控系統(tǒng)的研發(fā)成本，縮短了研制周期。

全權(quán)限數(shù)字式電子控制（FADEC）系統(tǒng)是關(guān)系到飛行安全的關(guān)鍵系統(tǒng)，適航標(biāo)準(zhǔn)對(duì)控制系統(tǒng)的安全性也做出了明確的要求。例如，美國和歐洲的適航標(biāo)準(zhǔn)規(guī)定申請(qǐng)人必須通過設(shè)計(jì)和驗(yàn)證來表明控制系統(tǒng)的安全性符合要求，可能對(duì)發(fā)動(dòng)機(jī)產(chǎn)生危險(xiǎn)性影響的單個(gè)元件的一次性失效必須在安全性分析中說明；我國的《航空發(fā)動(dòng)機(jī)適航規(guī)定》 （CCAR-33R2）中規(guī)定，在全勤構(gòu)型中，對(duì)于失去推力或功率控制（LOTC/LOPC）事件相關(guān)的電子和電氣的失效，發(fā)動(dòng)機(jī)控制系統(tǒng)必須能容忍單點(diǎn)故障，并且申請(qǐng)人必須完成發(fā)動(dòng)機(jī)控制系統(tǒng)的安全評(píng)估。

目前，F(xiàn)ADEC系統(tǒng)的安全性評(píng)估主要采用傳統(tǒng)的人工安全性評(píng)估流程和分析方法進(jìn)行——通過非形式化設(shè)計(jì)模型和需求文件來人工進(jìn)行安全性分析工作，如故障樹分析（FTA）等。然而，這種分析非常主觀，很大程度依賴分析人員的個(gè)人經(jīng)驗(yàn)。安全性分析人員由于受專業(yè)領(lǐng)域和認(rèn)知水平的限制，很難準(zhǔn)確評(píng)估最小設(shè)計(jì)單元失效對(duì)系統(tǒng)行為的影響，分析結(jié)果也無法做到完整、準(zhǔn)確。

中國航發(fā)動(dòng)控所創(chuàng)新團(tuán)隊(duì)針對(duì)傳統(tǒng)航空發(fā)動(dòng)機(jī)控制系統(tǒng)研制過程中安全性評(píng)估流程與分析方法的局限性，在基于模型的系統(tǒng)工程（MBSE）方法論的指導(dǎo)下，開展了FADEC系統(tǒng)的多學(xué)科聯(lián)合仿真建模研究；在此基礎(chǔ)上，開展部件故障建模，基于故障注入開展故障影響分析和安全性仿真，實(shí)現(xiàn)故障模式對(duì)系統(tǒng)功能、性能影響的定量和動(dòng)態(tài)化分析，將安全性評(píng)估工作從人工保證轉(zhuǎn)為工具保證，從而顯著提高了復(fù)雜系統(tǒng)安全性評(píng)估的準(zhǔn)確性和效率。

FADEC系統(tǒng)的模型化

基于模型的FADEC系統(tǒng)安全性評(píng)估與分析的首要問題是解決FADEC系統(tǒng)的模型化。航空發(fā)動(dòng)機(jī)數(shù)控系統(tǒng)主要由電子、液壓、軟件和傳感器等組成，航空發(fā)動(dòng)機(jī)各部件涉及的領(lǐng)域和專業(yè)各不相同，且均使用各自領(lǐng)域內(nèi)的專業(yè)建模工具。航空發(fā)動(dòng)機(jī)FADEC系統(tǒng)全數(shù)字仿真模型主要包括發(fā)動(dòng)機(jī)模型、電子控制器模型、控制軟件模型、液壓模型、傳感器模型等，各模型都使用不同的建模方法、不同的建模工具、不同的求解器形成各自的動(dòng)態(tài)仿真模型。

發(fā)動(dòng)機(jī)模型主要采用部件級(jí)建模方法，先對(duì)發(fā)動(dòng)機(jī)各個(gè)部件進(jìn)行獨(dú)立模塊建模，然后根據(jù)部件間的物理聯(lián)系將各模塊裝配在一起，構(gòu)成滿足共同工作條件的動(dòng)態(tài)數(shù)學(xué)模型。

電子控制器模型主要由電子控制器硬件電路模型組成，為了設(shè)計(jì)精確的控制參數(shù)、進(jìn)行高精度的性能仿真以及實(shí)現(xiàn)故障注入，必須建立電子控制器電路的結(jié)構(gòu)模型，一般采用Saber系統(tǒng)仿真軟件來建立。

控制軟件模型是控制邏輯和控制規(guī)律的載體，用來按照既定的邏輯和計(jì)劃對(duì)發(fā)動(dòng)機(jī)進(jìn)行控制，控制軟件模型可以采用C語言編程實(shí)現(xiàn)，也可使用MATLAB中的可視化仿真工具Simulink等圖形化建模方法實(shí)現(xiàn)。

液壓模型是對(duì)燃油泵、液壓機(jī)械組件（HMU）和執(zhí)行機(jī)構(gòu)的統(tǒng)一建模，可模擬不同狀態(tài)下燃油與作動(dòng)子系統(tǒng)的工作過程，具有燃油計(jì)量模擬、燃油分配模擬和作動(dòng)反饋模擬等功能。為了提高仿真精度、實(shí)現(xiàn)故障注入，同樣必須采用結(jié)構(gòu)化建模方法，常用的建模與仿真工具為AMESim軟件。

傳感器模型的目標(biāo)是模擬傳感器工作時(shí)的靜態(tài)和動(dòng)態(tài)特性，同時(shí)其輸入/輸出接口應(yīng)與發(fā)動(dòng)機(jī)模型、電子控制器模型相匹配。常用的傳感器建模工具為Saber或Simulink。

通過對(duì)以上FADEC系統(tǒng)各部件的常規(guī)建模工具與方法的分析可知，如果想要完成基于模型的系統(tǒng)安全性評(píng)估，首先就要解決這些多源異構(gòu)模型的數(shù)據(jù)互聯(lián)、仿真協(xié)同調(diào)度，以及故障注入等關(guān)鍵技術(shù)，即FADEC系統(tǒng)各部件的多學(xué)科聯(lián)合仿真技術(shù)。

多學(xué)科聯(lián)合仿真平臺(tái)的建立

圖1 基于CosiMate的FADEC系統(tǒng)多學(xué)科聯(lián)合仿真

通過對(duì)本項(xiàng)目的不斷探索與實(shí)踐，創(chuàng)新團(tuán)隊(duì)采用總線集成式方案解決多源異構(gòu)模型的數(shù)據(jù)互聯(lián)、仿真協(xié)調(diào)調(diào)度。總線集成式方案是將各學(xué)科模型掛接在第三方虛擬總線上，由總線進(jìn)行數(shù)據(jù)交互和仿真調(diào)度管理。CosiMate協(xié)同仿真計(jì)算平臺(tái)是一種開放架構(gòu)的協(xié)同仿真總線，可進(jìn)行多點(diǎn)集成和不同仿真工具間的數(shù)據(jù)通信和傳遞，同時(shí)能對(duì)跨越各種網(wǎng)絡(luò)環(huán)境的模型進(jìn)行仿真，優(yōu)化中央處理器（CPU）的利用率，提升仿真計(jì)算的效率?；贑osiMate的FADEC系統(tǒng)多學(xué)科聯(lián)合仿真原理如圖1所示。

實(shí)現(xiàn)故障注入的手段主要是各部件模型必須采用結(jié)構(gòu)化建模方法且建模層級(jí)要追溯到最小元器件單元，通過對(duì)部件的詳細(xì)建模，采用基于時(shí)間觸發(fā)或事件觸發(fā)的方式實(shí)現(xiàn)故障模式的注入，從而通過失效模式遍歷仿真獲得元器件失效對(duì)系統(tǒng)級(jí)的影響域分析，實(shí)現(xiàn)基于模型的安全性分析。

基于多學(xué)科聯(lián)合仿真的FMEA技術(shù)實(shí)施路徑

在完成上述基礎(chǔ)工作之后，創(chuàng)新團(tuán)隊(duì)制定了基于多學(xué)科聯(lián)合仿真的FMEA技術(shù)實(shí)施路徑，如圖2所示。

圖2 基于多學(xué)科聯(lián)合仿真的FMEA技術(shù)實(shí)施路徑

圖3 實(shí)現(xiàn)故障自動(dòng)遍歷仿真的過程

首先，由系統(tǒng)工程師完成多學(xué)科聯(lián)合仿真的方案設(shè)計(jì)，然后協(xié)同各部件專業(yè)完成數(shù)據(jù)流和模型接口的定義。

其次，各部件專業(yè)在已達(dá)成共識(shí)的各自約束條件下完成各部件的詳細(xì)建模。各部件模型需要實(shí)現(xiàn)部件的功能、性能、失效模式等仿真。開展故障失效影響分析的前提是識(shí)別和定義故障模式，并建立對(duì)應(yīng)的故障模型，故障模式根據(jù)部件的最小單元進(jìn)行劃分，每個(gè)最小單元有幾種失效模式，進(jìn)行遍歷性建模，各部件建模人員需要對(duì)各自模型的準(zhǔn)確性負(fù)責(zé)。

然后，由系統(tǒng)工程師對(duì)各部件模型進(jìn)行綜合，開展聯(lián)合仿真調(diào)試。確認(rèn)各自模型綜合出的系統(tǒng)模型涌現(xiàn)性符合預(yù)期，然后根據(jù)各部件的最小單元失效模式進(jìn)行遍歷仿真，分析元器件級(jí)的失效對(duì)系統(tǒng)級(jí)的影響，系統(tǒng)級(jí)現(xiàn)有的故障檢測與處理方法是否滿足預(yù)期。

最后，通過建立自動(dòng)比對(duì)測試平臺(tái)實(shí)現(xiàn)對(duì)各元器件失效模式的遍歷性仿真結(jié)果的確認(rèn)，獲取FMEA分析結(jié)果。由系統(tǒng)工程師根據(jù)結(jié)果分析故障覆蓋度和項(xiàng)目風(fēng)險(xiǎn)，完成FMEA分析報(bào)告。

基于多學(xué)科聯(lián)合仿真的FMEA自動(dòng)化技術(shù)

由于FADEC系統(tǒng)本身的復(fù)雜程度較高，在具體實(shí)施過程中，基于多學(xué)科聯(lián)合仿真的安全性評(píng)估工作量非常大，需要修改故障用例、配置用例、仿真和結(jié)果分析測試等，故障用例庫也非常龐大，如果全部由人工來實(shí)現(xiàn)，效率非常低。因此，在工具鏈的基礎(chǔ)上，創(chuàng)新團(tuán)隊(duì)通過二次開發(fā)，實(shí)現(xiàn)了基于MATLAB、Saber、AMESim等仿真軟件的FADEC系統(tǒng)多學(xué)科全自動(dòng)批次聯(lián)合仿真技術(shù)。

根據(jù)梳理的失效模式列表，結(jié)合仿真模型，實(shí)現(xiàn)故障的批次注入。以電子控制器的故障自動(dòng)注入為例，SaberRD軟件的故障仿真模塊能實(shí)現(xiàn)故障模式批量錄入、批量設(shè)置、故障模式定時(shí)觸發(fā)、多個(gè)故障模式并發(fā)、故障自動(dòng)遍歷仿真的功能?；赟aberRD的故障仿真模塊實(shí)現(xiàn)故障自動(dòng)遍歷仿真的過程如圖3所示。

在實(shí)現(xiàn)故障自動(dòng)注入后的仿真過程中，跨工具進(jìn)行數(shù)據(jù)抽取與交互將各工具的實(shí)施運(yùn)行結(jié)果傳遞到MATLAB中，再通過二次開發(fā)，實(shí)時(shí)掃描數(shù)據(jù)并進(jìn)行非覆蓋性批次存儲(chǔ)，再結(jié)合標(biāo)稱模型和故障模型各截面數(shù)據(jù)的自動(dòng)分析判斷，實(shí)現(xiàn)仿真結(jié)果報(bào)表的自動(dòng)生成。

實(shí)施效果

創(chuàng)新團(tuán)隊(duì)通過研究，實(shí)現(xiàn)了基于模型的故障模式與效應(yīng)仿真分析，并實(shí)現(xiàn)了過程自動(dòng)化以及并行仿真等提高仿真效率的關(guān)鍵技術(shù)。隨后，創(chuàng)新團(tuán)隊(duì)將相關(guān)成果在渦扇發(fā)動(dòng)機(jī)數(shù)控系統(tǒng)的溫度電路進(jìn)行技術(shù)應(yīng)用與驗(yàn)證。結(jié)果表明，通過基于模型的故障模式與效應(yīng)仿真分析，使得溫度電路96個(gè)故障模式和效應(yīng)的掃描分析的時(shí)間從人工80h縮短為6h，效率提升了13倍，另外通過多電腦集群并行仿真技術(shù)，效率還可進(jìn)一步提升N倍（N表示參與并行計(jì)算的計(jì)算資源節(jié)點(diǎn)數(shù)量）?；诙鄬W(xué)科聯(lián)合仿真進(jìn)行控制系統(tǒng)安全性評(píng)估，發(fā)現(xiàn)了系統(tǒng)潛在安全性風(fēng)險(xiǎn)，為故障檢測手段改進(jìn)優(yōu)化提供了理論依據(jù)，對(duì)提高系統(tǒng)的故障檢測率具有重要意義。

結(jié)束語

相比較于現(xiàn)有的安全性分析方法，創(chuàng)新團(tuán)隊(duì)實(shí)施的方法不僅可以開展失效影響的定量化、顯形化分析，而且通過自動(dòng)化技術(shù)降低人工成本，顯著提高效率和準(zhǔn)確度，對(duì)系統(tǒng)安全性的提高具有重要的現(xiàn)實(shí)意義。另外，該項(xiàng)成果還可直接向其他項(xiàng)目和安全性評(píng)估等領(lǐng)域進(jìn)行應(yīng)用推廣。