FADEC系統(tǒng)安全性分析研究

章旗

安全性分析不僅是民用航空器研制過程中提高系統(tǒng)安全性水平的主要手段，同時也是重要的適航性驗證方法。本文研究的全權(quán)限數(shù)字電子控制（FADEC）系統(tǒng)是典型的高集成復(fù)雜系統(tǒng)，其故障模式表現(xiàn)出動態(tài)與多狀態(tài)特性。傳統(tǒng)的概率安全性分析方法通常是以構(gòu)建故障樹（FTA）模型為主，首先依據(jù)產(chǎn)品設(shè)計方案構(gòu)建模型，然后進行定量分析暴露出設(shè)計中的薄弱環(huán)節(jié)，進而提出改進方案來提高系統(tǒng)的安全性，然而故障樹是典型的靜態(tài)分析方法，無法對動態(tài)性的系統(tǒng)進行分析。

針對該種系統(tǒng)，本文在此基礎(chǔ)上采用基于馬爾可夫模型的動態(tài)故樹安全性分析方法，將系統(tǒng)故障模塊化，利用功能邏輯門建立故障模型。對FADCE系統(tǒng)的安全性進行分析。

動態(tài)故障樹是指至少包含了一個動態(tài)邏輯門的故障樹，其把傳統(tǒng)的故障樹分析方法適用范圍擴大到動態(tài)系統(tǒng)，能夠?qū)哂许樞蛳嚓P(guān)、資源共享、可修復(fù)，以及冷、熱備份等特性的系統(tǒng)進行可靠性建模。動態(tài)故障樹分析方法綜合了傳統(tǒng)故障樹分析方法和馬爾可夫模型兩者的優(yōu)點?？梢灾庇^形象的描述系統(tǒng)的動態(tài)和時序的過程，解決系統(tǒng)的動態(tài)時序過程。因此，利用動態(tài)故障樹分析法，可以建立靜態(tài)故障樹分析法無法表示的動態(tài)系統(tǒng)的可靠性模型，建立系統(tǒng)的動態(tài)故障樹，并分析計算系統(tǒng)的可靠性指標。

以某型發(fā)動機“反推失效事件”為例，針對反推裝置的工作原理，對與FADEC系統(tǒng)有關(guān)的部分進行動態(tài)故障樹分析。如圖所示。

X1—活門卡阻。X2—連接活門的電插頭故障。X3—靜態(tài)繼電器不通電。X4—供電繼電器不通電。X5—壓力電門電磁線圈不通電。X6—A通道發(fā)生無法接受信號的故障。X7—B通道發(fā)生無法接受信號的故障。X8—A通道發(fā)生無法輸出信號的故障。X9—B通道發(fā)生無法輸出信號的故障。

上圖為與FADEC系統(tǒng)相關(guān)的反推失效動態(tài)故障樹

將ECU雙通道的PAND門轉(zhuǎn)化為馬爾可夫鏈模型，如圖所示。

上圖為 PAND門的馬爾可夫鏈模型

將上訴故障的故障率進行計算。該動態(tài)故障樹中，馬爾可夫鏈模型鏈長為2，則故障率公式為：

其中：λA1=1.5*10^-6/小時=λB1，λA2=1.7*10^-6/小時=λB2。

由于或門連接選取各個小模塊中故障率最高的作為整個模塊的故障率，故ECU傳遞信號故障的故障率為P=4.0139*10^-12。

X1的故障率為3.0*10^-12，X2的故障率為3.2*10^-12，X3的故障率為2.0*10^-12，X4的故障率為2.0*10^-12，X5的故障率為1.5*10^-12。

綜上所述，與FADEC系統(tǒng)相關(guān)的反推失效事件的故障率為4.0139*10^-12。根據(jù)CCAR-33-R2規(guī)章表明，單個失效引起的危害性發(fā)動機后果的概率不大于10^-8次/發(fā)動機飛行小時，則符合條款。

動態(tài)故障樹的優(yōu)缺點：

動態(tài)故障樹是指至少包含了一個動態(tài)邏輯門的故障樹，其把傳統(tǒng)的故障樹分析方法適用范圍擴大到動態(tài)系統(tǒng)，能夠?qū)哂许樞蛳嚓P(guān)、資源共享、可修復(fù)，以及冷、熱備份等特性的系統(tǒng)進行可靠性建模。

其優(yōu)點：動態(tài)故障樹分析方法綜合了傳統(tǒng)故障樹分析方法和馬爾可夫模型兩者的優(yōu)點?？梢灾庇^形象的描述系統(tǒng)的動態(tài)和時序的過程，解決系統(tǒng)的動態(tài)時序過程。因此，利用動態(tài)故障樹分析法，可以建立靜態(tài)故障樹分析法無法表示的動態(tài)系統(tǒng)的可靠性模型，建立系統(tǒng)的動態(tài)故障樹，并分析計算系統(tǒng)的可靠性指標。利用馬爾可夫轉(zhuǎn)化鏈計算出系統(tǒng)或者設(shè)備的故障率。

局限性：動態(tài)故障樹只能將系統(tǒng)或部件模塊化，并不能像靜態(tài)故障樹那樣將所有可能發(fā)生的低事件全部表示出來。