基于FTA的某型航空发动机电子控制系统安全性分析

文/董力 吴雨婷 韩冰 陆中

1 引言

航空发动机电子控制系统完整性丧失通常表现为出现推力控制功能丧失（LOTC）事件，其事件的出现通常会对飞机安全造成严重后果。根据航空发动机适航规章CCAR-33-R2规定，航空发动机定型中需要对发动机控制系统进行安全评估，该项评估必须确定可能导致推力改变或影响发动机工作特性从而产生喘振或失速的故障以及这些故障的发生概率，并要求LOTC发生概率限制在1/105发动机工作小时。

故障树分析（FTA）是一种演绎性的失效分析方法，广泛应用于系统安全性评估工程领域，以揭示系统失效的原因。故障树分析中分析人员从某一特定的不希望事件（顶事件）开始，在低一级的下一个层次上，系统地确定系统功能模块中可能导致该事件发生的、全部可信的单一故障及失效组合，并逐级向下展开分析，最终相继通过更细化（即低一层）的设计层次揭示出所有的初级事件或满足该顶层危险事件的要求为止。

图1：ECU结构及其输入输出信号

图2：推力控制功能丧失故障树

图3：子树A

图4：子树B

本文以某型航空发动机电子控制系统为研究对象，在详细阐述其系统组成的基础之上借助故障树分析法对LOTC事件展开安全性分析，并利用CARMES软件工具绘制相应的故障树，通过对其事件开展定性、定量的安全性分析，验证其该系统设计方案能够满足规定的安全性要求。

2 与推力控制功能相关的系统组成

航空发动机电子控制系统一般由发动机电子控制组件（ECU）、机械液压组件（HMU）、伺服机构以及传感器等部件组成。

2.1 发动机电子控制组件ECU

ECU是由两台名为通道A与通道B的电子计算机组成，其主要功能是实现发动机控制计算以及监控发动机状态。通道A和通道B完全相同并且同时工作，但各自独立运行。通道A和通道B接收输入信号并分别进行信号处理，但是只有一个通道实施控制，输出指令，称为主用通道；另一个通道称为备用通道。为了提高ECU的可靠性，通道A与通道B通过交叉通道数据链（CCDL）连接，这使得两个通道内的输入信息互通，即使一个通道的重要输入信息输入失效时，也能保证ECU能够正常运行。ECU结构域输入输出信号示意图如图1所示。

2.1.1 ECU输入输出信号

对于关键参数，ECU的通道A和通道B分别从独立的信号源（传感器）接受信号，这些参数主要有：图1中右侧部分的机械液压组件中的执行机构、解析仪的位置传感器和一些活门的位置电门，如可变静子叶片（VSV）、可变引气活门（VBV）、燃油计量活门（FMV）、可变旋转差动传感器（RVDT）等；图1中左侧部分的静压（PS12、PS3、P0）、温度（T25、T12、T3等）以及转速（N1、N2）参数。对于重要程度稍低的参数，通道A和通道B从相同的信号源接收信号，如图1中部的推力杆角度（TLA）、发动机排气温度（EGT）等相关参数。

ECU根据上述输入参数与控制律计算并输出相关执行机构的控制信号。

2.1.2 ECU电源ECU的通道A与B均接受来自飞机的28V直流电源以及来自专用发电机的交流电源，其中通道A接受来自飞机的28V主直流电源与专用发动机电磁线圈A中的交流电源，通道B接受来自的飞机的28V应急直流电源以及专用发动机电磁线圈B中的交流电源，专用发电机的线圈A与B是独立的。这种余度设计能够防止ECU电源中断，保证某一电源失效时ECU仍然能够安全工作。

2.2 机械液压组件与伺服机构

HMU的主要功能是将电信号控制转化为液压作动，HMU分为两个子系统，一个是燃油计量系统，一个是伺服机构；燃油计量系统主要包括：FMV、FMV解算器、FMV马达、旁通活门、压差活门、增压和关断活门等；伺服机构主要包括：力矩马达、VSV、VBV、燃烧分级活门（BSV电磁活门）、瞬态引气活门（TBV）、高压涡轮间隙控制活门（HPTCC）、低压涡轮间隙控制活门（LPTCC）、超限保护装置等。

2.3 传感器

航空发动机状态传感器一般分为压力传感器、温度传感器、速度传感器、振动传感器四类。常见的压力传感器为石英电容压力传感器，石英器件的振动频率将随着气压产生的应力的变化而变化，从而计算出压力值。温度传感器通常包括热电阻与热电偶两种类型：热电阻传感器是利用其电阻值随物体温度变化而变化的特征来测量温度的；热电偶传感器利用热电势原理进行温度测量。速度传感器用于检测发动机的转速，利用曲轴位置传感器来检测发动机的转速并向ECU输出转速信号。振动传感器安装在发动机振动监控组件内，通常包括两个加速度计，用于感知并测量垂直位移。

3 发动机推力控制功能丧失分析

LOTC在航空发动机控制系统安全评估过程中是一种最主要顶层失效状态，这里以发动机LOTC事件为顶事件，通过构建相应的系统故障树，研究分析某型航空发动机电子控制系统设计方案是否满足规定安全性要求。

3.1 故障树构建

航空发动机的控制与调节功能主要由FMV来完成，其通过ECU由力矩马达控制，并借助解析仪将FMV位置信号反馈给ECU。因此FMV本身故障、FMV力矩马达故障以及ECU控制逻辑输出信号丧失都可能导致LOTC事件，ECU控制逻辑输出信号丧失又分为两种信号丧失情况。如图2给出了某型航空发动机以LOTC事件为顶事件的故障树，表1给出了故障树底事件及对应的故障率。

表1：故障树底事件及底事件故障率（故障率单位：1/h）

表2：故障树最小割集

3.2 最小割集及顶事件发生概率计算

最小割集是导致故障树顶事件发生的不能再减少的底事件的集合，对所构建的故障树求解，求得导致LOTC事件的所有最小割集如表2所示。

根据上述图2，表1、表2，求解顶事件LOTC发生概率7.59E-6/小时，可以看出，LOTC事件发生概率低于航空发动机电子控制系统安全性要求的1/105发动机工作小时，表明了该系统设计方案能够满足规定的安全性要求。分析中，FMV卡滞、FMV电磁线圈不工作等是导致LOTC事件中的单点故障，建议在航空发动机电子控制系统使用中应定期对该类部件进行检查，以减少单点故障事件发生。

4 结论

LOTC是航空发动机最主要的顶层失效状态，其事件的发生会对飞机安全造成严重后果。本文基于故障树分析方法对某型航空发动机电子控制系统开展了安全性分析，介绍了系统主要组成，利用CARMES软件工具绘制了以LOTC事件为顶事件的故障树，分析并揭示了LOTC事件产生原因，发生概率，从定性和定量分析两个方面验证了发动机电子控制系统满足规定的安全性要求。