基于貝葉斯網(wǎng)絡(luò)的某型航空發(fā)動機(jī)失去推力控制分析

易陽 陸中 李超 楊宇平

摘要：針對某型航空發(fā)動機(jī)控制系統(tǒng)失去推力控制，提出了一種規(guī)范化的安全性建模方法。首先，給出了該航空發(fā)動機(jī)推力控制系統(tǒng)的功能與組成，分析了導(dǎo)致失去推力控制事件的故障原因，構(gòu)建了用于描述該航空發(fā)動機(jī)推力控制功能的功能框圖。其次，利用貝葉斯網(wǎng)絡(luò)節(jié)點表示系統(tǒng)部件，考慮部件之間因果關(guān)系和條件概率，提出了基于功能框圖自動生成貝葉斯網(wǎng)絡(luò)的建模方法，并給出了基于團(tuán)樹算法的貝葉斯網(wǎng)絡(luò)概率推理算法。最后，給出了工程案例，并與故障樹分析方法進(jìn)行了對比，驗證了本文所提方法的有效性，本文方法避免了傳統(tǒng)安全性分析模型過于依賴人員經(jīng)驗的問題，適用于失效具有多態(tài)特性的高集成復(fù)雜航空發(fā)動機(jī)系統(tǒng)。

關(guān)鍵詞：LOTC；貝葉斯網(wǎng)絡(luò)；團(tuán)樹算法；航空發(fā)動機(jī)；適航

中圖分類號：V233.6+15文獻(xiàn)標(biāo)識碼：ADOI：10.19452/j.issn1007-5453.2021.11.014

安全性分析既是飛機(jī)研制過程中開展安全性設(shè)計、提高飛機(jī)系統(tǒng)安全性的主要手段，也是審定過程中根據(jù)適航標(biāo)準(zhǔn)針對民用飛機(jī)系統(tǒng)開展符合性驗證與適航審定的重要方法[1-2]。在《航空發(fā)動機(jī)適航規(guī)定》第33.28條要求發(fā)動機(jī)控制系統(tǒng)設(shè)計和構(gòu)造時失去推力控制（LOTC）事件的發(fā)生率與預(yù)期應(yīng)用的安全目標(biāo)一致，保證發(fā)動機(jī)控制系統(tǒng)部件的單點失效不會導(dǎo)致危害性發(fā)動機(jī)后果[3]。在美國聯(lián)邦航空局（FAA）咨詢通告文件AC 33.28-3中，LOTC是指渦輪（活塞式）發(fā)動機(jī)上的控制系統(tǒng)故障事件，導(dǎo)致在正常運行條件下無法獲得至少90%（85%）的額定推力或調(diào)節(jié)推力，并要求LOTC分析作為系統(tǒng)安全性分析的一部分[4]。AC 33.28-3中，規(guī)定了對于渦輪發(fā)動機(jī)，發(fā)動機(jī)電子控制系統(tǒng)（EECS）不應(yīng)導(dǎo)致每10萬發(fā)動機(jī)飛行小時超過一個LOTC事件；對于第23部I、II、III類的活塞式發(fā)動機(jī)，EECS可接受水平的上限為每百萬發(fā)動機(jī)飛行小時45次（或每22222發(fā)動機(jī)飛行小時1次）的LOTC率。為了滿足條款要求，有必要對導(dǎo)致LOTC事件進(jìn)行安全性分析。

LOTC事件涉及發(fā)動機(jī)控制系統(tǒng)等，其部件具有多種不同的失效模式，呈現(xiàn)出典型的多狀態(tài)特性。而傳統(tǒng)的安全性分析方法（如故障樹、可靠性框圖）都是典型的靜態(tài)二元方法，并不完全適用失效具有多態(tài)特性的系統(tǒng)[5-6]；馬爾可夫模型雖然可以描述失效的多態(tài)性，但是極易出現(xiàn)狀態(tài)空間爆炸問題[7]。為了克服上述傳統(tǒng)方法的不足，近年來貝葉斯網(wǎng)絡(luò)被廣泛應(yīng)用于復(fù)雜系統(tǒng)的可靠性與安全性評估。貝葉斯網(wǎng)絡(luò)在表示多狀態(tài)單元和系統(tǒng)，以及不確定概率推理方面有明顯優(yōu)勢[8]。綜上，目前開展安全性分析主要存在如下不足：（1）傳統(tǒng)安全性分析方法大多是基于二態(tài)性假設(shè)的，且利用貝葉斯網(wǎng)絡(luò)建模方法也大多基于故障樹構(gòu)建，已經(jīng)構(gòu)建好的故障樹映射為貝葉斯網(wǎng)絡(luò)，此時貝葉斯網(wǎng)絡(luò)的節(jié)點仍然是二態(tài)性的；（2）目前，安全性分析模型的構(gòu)建過于依賴分析人員的經(jīng)驗，沒有針對系統(tǒng)安全性建模，提出一種規(guī)范化的安全性建模方法；（3）現(xiàn)有安全性分析方法主要是計算LOTC發(fā)生概率，對LOTC事件發(fā)生時各部件發(fā)生概率的研究較少。

本文將根據(jù)系統(tǒng)的功能框圖，建立基于貝葉斯網(wǎng)絡(luò)的航空發(fā)動機(jī)的LOTC分析模型。首先對發(fā)動機(jī)控制系統(tǒng)功能進(jìn)行介紹，然后對LOTC涉及的部件失效特性進(jìn)行分析，用貝葉斯網(wǎng)絡(luò)節(jié)點表示部件，節(jié)點之間的有向邊表示部件之間的功能邏輯關(guān)系，然后利用團(tuán)樹算法對建立的模型進(jìn)行正向推理與反向推理，確定LOTC失效概率及導(dǎo)致LOTC失效的關(guān)鍵部件。最后，通過實例分析與故障樹對比對本文方法的有效性進(jìn)行了驗證。

1某型發(fā)動機(jī)控制系統(tǒng)功能描述

某型商用航空發(fā)動機(jī)是先進(jìn)的高涵道比渦輪風(fēng)扇發(fā)動機(jī)，通過發(fā)動機(jī)控制系統(tǒng)來運行，發(fā)動機(jī)控制系統(tǒng)通過對來自飛機(jī)的輸入指令做出反應(yīng)來完全控制發(fā)動機(jī)系統(tǒng)，也為飛機(jī)提供信息，用于駕駛艙指示、發(fā)動機(jī)狀態(tài)監(jiān)控、維修報告與故障排除。該發(fā)動機(jī)控制系統(tǒng)由電子控制組件（ECU）、液壓機(jī)械組件（HMU）和外圍部件三部分組成。

1.1 ECU

一臺雙通道的ECU通過電子方式執(zhí)行發(fā)動機(jī)控制、計算和監(jiān)控發(fā)動機(jī)狀態(tài)，并且具有超速保護(hù)功能。ECU的兩個通道A和B是完全相同且同時各自獨立進(jìn)行工作的，通過交叉通道數(shù)據(jù)鏈（CCDL）進(jìn)行連接，當(dāng)一個通道的重要輸入信息輸入失效時，ECU的兩通道仍然能正常運行。

ECU接收發(fā)動機(jī)傳感器的各類信號，包括壓力傳感器收集到的環(huán)境靜壓p0、發(fā)動機(jī)靜壓ps1；溫度傳感器收集到的風(fēng)扇進(jìn)口溫度T12、高壓壓氣機(jī)進(jìn)口溫度T25、高壓壓氣機(jī)排氣溫度T3、發(fā)動機(jī)滑油溫度Teo、高壓壓氣機(jī)機(jī)匣溫度Tcase；速度傳感器收集到的低壓轉(zhuǎn)子轉(zhuǎn)速N1、高壓轉(zhuǎn)子轉(zhuǎn)速N2。ECU通過計算輸出可變排氣閥門（VBV）、可變定子葉片（VSV）、過渡引氣閥門（TBV）、燃燒室分級閥門（BSV）、高壓渦輪間隙控制閥門（HPTCCV）、低壓渦輪間隙控制閥門（LPTCCV）等執(zhí)行機(jī)構(gòu)的控制信號。

1.2 HMU

一臺HMU將源于ECU的電信號轉(zhuǎn)換為液壓壓力，以驅(qū)動發(fā)動機(jī)閥門與作動筒。HMU內(nèi)部有燃油計量系統(tǒng)和伺服機(jī)械部分，本文主要涉及燃油計量系統(tǒng)。

1.3外圍部件

外圍部件包括用于控制與監(jiān)控的閥門、作動筒以及傳感器。其中，與發(fā)動機(jī)控制系統(tǒng)相關(guān)的功能包括推力控制功能、反推力控制功能、點火功能、指示功能、起動功能。本文重點對推力控制功能進(jìn)行分析。推力控制功能是發(fā)動機(jī)控制系統(tǒng)的燃油控制與分配、幾何控制及冷卻控制的上一層次功能。其涉及的燃油系統(tǒng)具有燃油分配與流量控制、推力管理控制、溫度與壓力等關(guān)鍵參數(shù)信號的采集、可變幾何外形控制等功能，操縱系統(tǒng)的燃油關(guān)斷控制（高壓燃油關(guān)斷控制、低壓燃油關(guān)斷控制）等功能，空氣系統(tǒng)的冷卻空氣等功能。

2失去推力控制故障原因分析

飛機(jī)LOTC分析的范圍包括發(fā)動機(jī)電子控制系統(tǒng)、燃油系統(tǒng)、可變幾何與引氣系統(tǒng)、發(fā)動機(jī)滑油/潤滑系統(tǒng)、動力裝置系統(tǒng)與安裝等，本文針對發(fā)動機(jī)控制系統(tǒng)開展LOTC分析，僅針對發(fā)動機(jī)控制系統(tǒng)的相關(guān)部件，其他系統(tǒng)的部件不在本文研究范疇之內(nèi)。

發(fā)動機(jī)推力控制功能由ECU、燃油計量閥（FMV）、FMV扭矩馬達(dá)、FMV解析儀、調(diào)速先導(dǎo)閥、Δp閥、旁通閥、高壓關(guān)斷閥（HPSOV）、HPSOV電磁線圈及駕駛艙面板等部件完成。發(fā)動機(jī)的燃油關(guān)閉功能由HPSOV實施，HPSOV可以由ECU通過FMV關(guān)閉或者駕駛艙面板接收到信號后控制HPSOV電磁線圈來使HPSOV關(guān)閉。ECU接受FMV解析儀反饋信號后計算FMV的位置，并通過FMV來控制HPSOV的關(guān)閉和開啟。FMV根據(jù)ECU的指令控制流向發(fā)動機(jī)燃油噴嘴的燃油。FMV扭矩馬達(dá)接收到來自ECU的電信號，并將其轉(zhuǎn)換為HPSOV的軸向運動。FMV解析儀為ECU提供與FMV位置成比例的電反饋信號，以實現(xiàn)閉環(huán)控制。Δp閥和旁通閥通過在閥門上保持恒定壓降來確保計量燃油與FMV面積成比例。Δp閥壓力檢測器感測到FMV兩端的壓力差。當(dāng)Δp閥感知到的FMV壓力差發(fā)生變化時，旁通閥開啟或關(guān)閉來增加或減少燃油壓力。調(diào)速先導(dǎo)閥通過調(diào)節(jié)流向Δp閥的壓力來使得旁通閥開啟或增加。

推力控制功能框圖如圖1所示，F(xiàn)MV故障、FMV力矩馬達(dá)故障以及ECU輸出推力控制信號錯誤都可能導(dǎo)致LOTC事件。具體部件故障原因如下。

（1）ECU故障模式及原因分析

ECU的故障模式為輸出喪失，將導(dǎo)致LOTC事件、輸出錯誤信號或者未輸出信號給FMV扭矩馬達(dá)，其故障原因為：接收錯誤的FMV解析儀反饋信號、計算錯誤。

（2）FMV故障模式及原因分析

FMV的故障模式為卡滯，將導(dǎo)致其不能控制適當(dāng)?shù)娜加土?，也無法在ECU控制下關(guān)閉HPSOV。FMV的故障原因為：旁通閥輸出喪失、機(jī)械故障。

（3）FMV扭矩馬達(dá)故障及原因分析

FMV扭矩馬達(dá)故障模式為輸出喪失，但由于系統(tǒng)冗余設(shè)計，此時故障模式為：1個/2個/3個/4個/5個/6個輸出喪失。當(dāng)FMV扭矩馬達(dá)全部故障時將影響HPSOV的軸向運動。其故障原因為：ECU輸出喪失、機(jī)械故障。

（4）FMV解析儀故障模式及原因分析

FMV解析儀的故障模式為輸出喪失，發(fā)生故障時將導(dǎo)致不能輸出正確信息給ECU。其故障原因為：FMV卡滯、機(jī)械故障。

（5）調(diào)速先導(dǎo)閥、Δp閥和旁通閥故障模式及原因分析

調(diào)速先導(dǎo)閥、Δp閥、旁通閥的故障模式均為輸出故障。調(diào)速先導(dǎo)閥故障時將無法輸送合適的燃油壓力給Δp閥；Δp閥故障時將無法感知到FMV兩端的壓力差，無法傳遞正確指令給旁通閥；旁通閥故障時，無法按照指令開啟來增加或減少燃油壓力。調(diào)速先導(dǎo)閥的故障原因為機(jī)械故障；ΔP閥門的故障原因為：調(diào)速先導(dǎo)閥輸出喪失、機(jī)械故障；旁通閥的故障原因為：Δp閥輸出喪失、機(jī)械故障。

（6）HPSOV及其電磁線圈故障模式及原因分析

HPSOV的故障模式為輸出喪失，HPSOV電磁線圈的故障模式為不工作。HPSOV故障時無法實現(xiàn)燃油關(guān)閉功能，HPSOV電磁線圈故障時無法通電使HPSOV關(guān)閉。HPSOV的故障原因為：HPSOV線圈不工作、FMV卡滯、FMV扭矩馬達(dá)輸出喪失、機(jī)械故障。HPSOV電磁線圈的故障原因為：駕駛艙面板輸出喪失、機(jī)械故障。

（7）駕駛艙面板故障模式及原因分析

駕駛艙面板故障模式為輸出喪失，故障時無法傳遞正確的信號，使得HPSOV關(guān)閉。其故障原因為機(jī)械故障。

3基于貝葉斯網(wǎng)絡(luò)的LOTC分析

貝葉斯網(wǎng)絡(luò)是一個有向無環(huán)的圖解模型。用節(jié)點表示隨機(jī)變量，有向弧表示變量間的關(guān)系[9-11]。每個節(jié)點都附有一個概率分布，根節(jié)點所附的是邊緣分布，非根節(jié)點所附的是條件概率。貝葉斯網(wǎng)絡(luò)更新由事件觸發(fā)，是基于診斷的推理過程。一個簡單的貝葉斯網(wǎng)絡(luò)如圖2所示[12]。

3.1基于功能框圖的貝葉斯網(wǎng)絡(luò)構(gòu)建

一般情況下，貝葉斯網(wǎng)絡(luò)基于故障樹與貝葉斯網(wǎng)絡(luò)之間的映射關(guān)系進(jìn)行建模，這種建模過程較為繁瑣，本文直接利用功能框圖進(jìn)行航空發(fā)動機(jī)LOTC事件的建模。依據(jù)功能框圖建立貝葉斯網(wǎng)絡(luò)的步驟如下。

（1）建立功能框圖

功能框圖是表示系統(tǒng)各個組成部分所承擔(dān)的任務(wù)或功能間的相互關(guān)系，以及系統(tǒng)約定層次間的功能邏輯順序、信息流與接口的功能模型[13]，是本文開展貝葉斯網(wǎng)絡(luò)建模的基礎(chǔ)。構(gòu)建功能框圖時，第一步是根據(jù)失效狀態(tài)確定相關(guān)的功能，并根據(jù)功能確定實現(xiàn)該功能的相關(guān)系統(tǒng)。第二步是對系統(tǒng)部件分類，按照部件的具體功能將其分為三類：傳感檢測部件，主要包括各類傳感器，對工作狀態(tài)參數(shù)進(jìn)行檢測，并將信息傳給信息處理與控制部件；信息處理與控制部件，主要由電子計算機(jī)及其接口組成，對收到的信息進(jìn)行處理并實現(xiàn)控制；執(zhí)行部件，主要包括各類作動器，完成信息處理與控制部件的各項具體動作。第三步是確定完成功能所需的執(zhí)行部件，單個執(zhí)行部件如圖3所示。此時，分析導(dǎo)致功能失效的執(zhí)行部件、導(dǎo)致執(zhí)行部件失效的信息處理與控制部件及導(dǎo)致信息處理與控制部件失效的傳感檢測部件，最后按照反方向順序進(jìn)行連接。若為兩個及以上執(zhí)行部件，如圖4所示。此時，先對每一個執(zhí)行部件按照單個執(zhí)行部件情況進(jìn)行分析，然后考慮兩層部件之間是否有聯(lián)系。若為相同部件，則進(jìn)行合并；若部件之間存在作用關(guān)系，則進(jìn)行節(jié)點連接。同樣地，按照分析順序的反方向進(jìn)行連接。為了進(jìn)行功能框圖的簡化，與功能失效有關(guān)的其他影響因素直接用虛框表示。

（2）生成貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)

基于功能框圖的貝葉斯網(wǎng)絡(luò)有兩個層次，第一層是部件層節(jié)點，全部來自于功能框圖中涉及的部件，其中虛框內(nèi)的部件稱為外部節(jié)點。第二層是功能失效節(jié)點。

將功能框圖中的部件作為貝葉斯網(wǎng)的節(jié)點，按照部件間的邏輯關(guān)系連接節(jié)點。基于功能框圖的貝葉斯網(wǎng)絡(luò)連接形式主要有順連、分連和匯連三種，如圖5所示。

依據(jù)對功能失效事件的分析，將部件節(jié)點組合指向功能失效節(jié)點。由此，生成了貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)。

（3）確定貝葉斯網(wǎng)絡(luò)參數(shù)

本文貝葉斯網(wǎng)絡(luò)參數(shù)包括兩種：一種是確定性邏輯關(guān)系，它主要是對各個部件不同失效狀態(tài)之間的因果關(guān)系分析得到的；另一種是部件不確定性，即當(dāng)父節(jié)點代表的部件正常狀態(tài)時，部件仍失效的概率。

3.2基于團(tuán)樹算法的貝葉斯網(wǎng)絡(luò)推理

團(tuán)樹傳播算法是先構(gòu)造一個團(tuán)樹，把概率推理計算轉(zhuǎn)為團(tuán)樹節(jié)點之間消息的傳遞，本質(zhì)也是局部因子之間的乘積和求和運算[14]。本文采用團(tuán)樹傳播算法對建立的貝葉斯網(wǎng)絡(luò)模型進(jìn)行精確推理，具體步驟如下。

（1）構(gòu)造端正圖

設(shè)y為一個有向無圈圖。如果將y中每個節(jié)點的不同父節(jié)點結(jié)合，即在它們之間加一條邊，然后去掉所有邊的方向，所得到的無向圖稱為y的端正圖。

（2）變量消元順序的確定

采用最大勢搜索算法[13]確定消元順序。規(guī)則如下：第一步，任選一個節(jié)點作為最后一個消元點，編號為n；第二步，對擁有最多相鄰已編號節(jié)點的未編號節(jié)點，編號為n-1號；第k步，按照第二步的方法找到此未編號節(jié)點，將其編號為n-k+1號。若在某一步中可選擇的未編號節(jié)點有多個，任選一個編號即可。當(dāng)所有節(jié)點都被編號后，按編號從小到大的順序作為變量消元的順序。

（3）團(tuán)樹的構(gòu)建

采用圖消元的算法來構(gòu)建團(tuán)樹[15]。按照一定順序?qū)Χ苏龍D中的變量節(jié)點進(jìn)行消元。消去一個變量A之前，先構(gòu)造一個由A及A所有相鄰的變量節(jié)點組成的團(tuán)；消元結(jié)束后，將過程中所產(chǎn)生的團(tuán)用一定的方式連接起來，得到一顆覆蓋貝葉斯網(wǎng)絡(luò)的團(tuán)樹。

（4）后驗概率計算流程

4實例分析

LOTC在相應(yīng)咨詢通告（AC）中要求其發(fā)生概率小于10-5每發(fā)動機(jī)工作小時[4]，民用機(jī)載系統(tǒng)或設(shè)備不滿足適航要求將無法裝機(jī)使用[17]。對某型航空發(fā)動機(jī)失去推力控制（LOTC）事件，涉及功能框圖如圖1所示，按照功能框圖與貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)的映射關(guān)系建立LOTC的貝葉斯網(wǎng)絡(luò)模型，如圖7所示。對建立的BN模型中每個節(jié)點的不同父節(jié)點進(jìn)行連接并去掉所有邊的方向，得到LOTC模型的端正圖，如圖8所示。按照最大勢搜索算法可得到消元順序為：調(diào)速先導(dǎo)閥、Δp閥、旁通閥、FMV解析儀、LOTC、FMV、ECU、FMV扭矩馬達(dá)、HPSOV、HPSOV電磁線圈、駕駛艙面板。按照確定的消元順序，對端正圖進(jìn)行消元，得到的團(tuán)樹如圖9所示。對各個部件節(jié)點，不僅考慮了部件之間的相互作用關(guān)系，還考慮了當(dāng)上一層影響部件正常時，故障率根據(jù)某航空公司機(jī)隊運行數(shù)據(jù)統(tǒng)計分析得到，具體見表1。

假設(shè)飛行時間為1h，代入上述故障率，應(yīng)用已有貝葉斯網(wǎng)絡(luò)工具GeNIe2.0中的團(tuán)樹算法，對貝葉斯網(wǎng)絡(luò)進(jìn)行正向推理，得到LOTC故障概率為2.2599808×10-5，滿足要求的概率范圍10-5。當(dāng)需要采用一定措施降低LOTC事件的發(fā)生概率時，可以假設(shè)LOTC一定發(fā)生，即設(shè)置證據(jù)P（LOTC=1）=1，進(jìn)行反向推理分別得到各個部件故障發(fā)生概率，見表2。

當(dāng)LOTC事件發(fā)生時，HPSOV、HPSOV電磁線圈、駕駛艙面板對LOTC事件的影響幾乎可以忽略，即為LOTC的非關(guān)鍵部件。此時，ECU、FMV、FMV解析儀發(fā)生故障的概率較高。為了降低LOTC事件的發(fā)生概率，需要對ECU、FMV、FMV解析儀等部件的相關(guān)參數(shù)設(shè)定更嚴(yán)格的概率要求。

為了驗證模型的有效性，對失去推力控制事件進(jìn)行故障樹構(gòu)建。如圖10所示，故障樹構(gòu)建從分析頂事件發(fā)生的原因開始，逐層分析，找出每層事件，直到找出底事件為止。機(jī)械故障的概率表（見表1）已給出，代入數(shù)據(jù)，故障樹分析求得的頂事件概率為2.7609687×10-5，與基于貝葉斯網(wǎng)絡(luò)模型求得的概率2.2499808×10-5非常接近，說明本文所建立的基于貝葉斯網(wǎng)絡(luò)的航空發(fā)動機(jī)失去推力控制模型的有效性。此外，對比故障樹與貝葉斯網(wǎng)絡(luò)模型可以知道，利用BN進(jìn)行建模極大地簡化了模型結(jié)構(gòu)，避免重復(fù)。

5結(jié)束語

本文基于貝葉斯網(wǎng)絡(luò)對航空發(fā)動機(jī)失去推力控制（LOTC）事件進(jìn)行了分析，提出針對系統(tǒng)的安全性建模方法，從某型發(fā)動機(jī)控制系統(tǒng)功能進(jìn)行描述，再基于系統(tǒng)功能框圖進(jìn)行故障原因分析，利用貝葉斯網(wǎng)絡(luò)進(jìn)行建模與概率求解，所提出的一套流程化規(guī)范化的建模方法有效避免了傳統(tǒng)安全性分析模型過于依賴人員經(jīng)驗的問題。同時，本文直接利用功能框圖建立貝葉斯網(wǎng)絡(luò)，避免了先建立故障樹再轉(zhuǎn)化為貝葉斯網(wǎng)絡(luò)的繁瑣過程，用節(jié)點狀態(tài)表示部件不同失效狀態(tài)，彌補(bǔ)了故障樹轉(zhuǎn)化為貝葉斯網(wǎng)絡(luò)時的二態(tài)性假設(shè)的不足；基于團(tuán)樹傳播進(jìn)行正向推理，得到LOTC發(fā)生概率，同時進(jìn)行反向推理，找到LOTC的關(guān)鍵部件，并與故障樹分析方法進(jìn)行對比，驗證了本文方法的有效性和實用性。

參考文獻(xiàn)

[1]Filippo D F. Airworthiness：An introduction to aircraft certification，guide to understanding JAA，EASA and FAA standards[M]. Oxford：Butterworth-Heinemann Ltd.，2006.

[2]丁水汀，張弓，蔚奪魁，等.航空發(fā)動機(jī)適航概率風(fēng)險評估方法研究綜述[J].航空動力學(xué)報，2011，26（7）：1441-1451. Ding Shuiting， Zhang Gong， Yu Duokui， et al. Reviewing of probabilistic risk assessment on aero-engine airworthiness[J]. Journal of Aerospace Power，2011，26（7）：1141-1151. （in Chinese）

[3]中國民用航空局. CCAR-33-R2航空發(fā)動機(jī)適航規(guī)定[S].北京：中國民用航空局，2011. Civil Aviation Administration of China. CCAR-33-R2 Airworthiness standards： aircraft engines[S]. Beijing： CAAC， 2011. （in Chinese）

[4]Federal Aviation Administration. Airworthiness standards：aircraft engines FAR part 33 amendment33-28[S]. Washington DC：FederalAviation onAdministration，2014.

[5]Ding L，Wang H，Jiang J，et al. SIL verification for SRS with diverse redundancy based on system degradation using reliability block diagram[J]. Reliability Engineering and System Safety，2017，165（9）：170-187.

[6]Ghadhab M，Junges S，Katoen J P，et al. Safety analysis for vehicle guidance systems with dynamic fault trees[J]. Reliability Engineering and System Safety，2019，186（6）：37-50.

[7]Zhang L，Zhang D，Hua T，et al. Reliability evaluation of modular multilevel converter based on Markov model[J]. Journal of Modern Power Systems & Clean Energy，2019，7（5）：1355-1363.

[8]Wood A P. Multistate block diagrams and fault trees[J]. IEEE Transactions on Reliability，1985，34（3）：236-240.

[9]Helge L，Luigi P. Bayesian networks in reliability[J]. Reliability Engineering and System Safety，2005，92（1）：92-108.

[10]Schneider R，Th？ns S，Straub D. Reliability analysis and updating of deteriorating systems with subset simulation[J]. Structural Safety，2017，64（1）：20-36.

[11]Mi J，Li Y F，Peng W，et al. Reliability analysis of com-plex multi-state system with common cause failure based on evidential networks[J]. Reliability Engineering and System Safety，2018，174（1）：71-81.

[12]徐琳，宋萬強(qiáng)，嚴(yán)沖，等.基于威脅評估和擴(kuò)展Voronoi圖的戰(zhàn)術(shù)飛行軌跡規(guī)劃方法[J].航空科學(xué)技術(shù)，2019，30（1）：35-43. Xu Lin， Song Wanqiang， Yan Chong， et al. Tactical flight trajectory planning method based on threat assessment and extendedVoronoidiagram[J].AeronauticalScience& Technology， 2019，30（1）：35-43. （in Chinese）

[13]Wood A P. Multistate block diagrams and fault trees[J]. IEEE Transactions on Reliability，1985，34（3）：236-240.

[14]王飛，劉大有，薛萬欣.基于遺傳算法的Bayesian網(wǎng)中連續(xù)變量離散化的研究[J].計算機(jī)學(xué)報，2002，25（8）：794-800. Wang Fei， Liu Dayou， Xue Wanxin. Discretizing continuous variables of Bayesian networks based on genetic algorithms[J]. Chinese Journal of Computers，2002，25（8）：794-800. （in Chinese）

[15]李志瑤，宗芳，張屹山.貝葉斯網(wǎng)絡(luò)推理分析的團(tuán)樹傳播算法：以停車行為分析為例[J].長春大學(xué)學(xué)報，2012，22（5）：505-509. Li Zhiyao， Zong Fang， Zhang Yishan. Cluster tree propagation algorithm for bayesian network reasoning analysis：taking parking behavior analysis as an example[J]. Journal of Changchun University， 2012， 22（5）： 505-509. （in Chinese）

[16]張連文，郭海鵬.貝葉斯網(wǎng)引論[M].北京：科學(xué)出版社，2006. Zhang Lianwen， Guo Haipeng. Introduction to Bayesian nets[M]. Beijing： Science Press， 2006. （in Chinese）

[17]李哲，張浩馳，王輝，等.民用機(jī)載系統(tǒng)與設(shè)備適航取證研究[J].航空科學(xué)技術(shù)，2019，30（12）：30-37. Li Zhe， Zhang Haochi， Wang Hui， et al. Study on airworthiness forensicsofcivilairbornesystemsandequipment[J]. Aeronautical Science & Technology， 2019， 30（12）： 30-37. （in Chinese）

Analysis of Loss of Thrust Control for a Certain Aeroengine Based on Bayesian Network

Yi Yang1，Lu Zhong1，Li Chao1，Yang Yuping2

1. Nanjing University of Aeronautics and Astronautics，Nanjing 211106，China

2. Zhenjiang Technician College，Zhenjiang 212114，China

Abstract： In view of the loss of thrust control of a certain type of aeroengine control system， this paper proposes a standardized safety modeling method for a certain type of aeroengine control system. Firstly， the function and composition of the thrust control system of the aeroengine are given， the causes of the failures leading to the loss of thrust control events are analyzed， and a functional block diagram describing the thrust control functions of the aeroengine is constructed. Secondly， Bayesian network nodes are used to represent system components， taking into account the causal relationship and conditional probabilities between components. A modeling method for automatically generating Bayesian networks based on functional block diagrams is proposed， and Bayesian networks based on clique tree algorithm are presented. Probabilistic inference algorithm on Bayesian network using clique tree algorithm is carried out. Finally， the analysis of the example is carried out and compared with the fault tree analysis method， which verifies the effectiveness of the method proposed in this paper. The method in this paper avoids the problem that the traditional safety analysis model relies too much on personnel experience， and is suitable for highly integrated and complex aeroengine systems with polymorphic failure characteristics.

Key Words： LOTC； Bayesian network； clique tree algorithm； aeroengine； airworthiness