章旗
安全性分析不仅是民用航空器研制过程中提高系统安全性水平的主要手段,同时也是重要的适航性验证方法。本文研究的全权限数字电子控制(FADEC)系统是典型的高集成复杂系统,其故障模式表现出动态与多状态特性。传统的概率安全性分析方法通常是以构建故障树(FTA)模型为主,首先依据产品设计方案构建模型,然后进行定量分析暴露出设计中的薄弱环节,进而提出改进方案来提高系统的安全性,然而故障树是典型的静态分析方法,无法对动态性的系统进行分析。
针对该种系统,本文在此基础上采用基于马尔可夫模型的动态故树安全性分析方法,将系统故障模块化,利用功能逻辑门建立故障模型。对FADCE系统的安全性进行分析。
动态故障树是指至少包含了一个动态逻辑门的故障树,其把传统的故障树分析方法适用范围扩大到动态系统,能够对具有顺序相关、资源共享、可修复,以及冷、热备份等特性的系统进行可靠性建模。动态故障树分析方法综合了传统故障树分析方法和马尔可夫模型两者的优点。可以直观形象的描述系统的动态和时序的过程,解决系统的动态时序过程。因此,利用动态故障树分析法,可以建立静态故障树分析法无法表示的动态系统的可靠性模型,建立系统的动态故障树,并分析计算系统的可靠性指标。
以某型发动机“反推失效事件”為例,针对反推装置的工作原理,对与FADEC系统有关的部分进行动态故障树分析。如图所示。
X1—活门卡阻。X2—连接活门的电插头故障。X3—静态继电器不通电。X4—供电继电器不通电。X5—压力电门电磁线圈不通电。X6—A通道发生无法接受信号的故障。X7—B通道发生无法接受信号的故障。X8—A通道发生无法输出信号的故障。X9—B通道发生无法输出信号的故障。
上图为与FADEC系统相关的反推失效动态故障树
将ECU双通道的PAND门转化为马尔可夫链模型,如图所示。
上图为 PAND门的马尔可夫链模型
将上诉故障的故障率进行计算。该动态故障树中,马尔可夫链模型链长为2,则故障率公式为:
其中:λA1=1.5*10^-6/小时=λB1,λA2=1.7*10^-6/小时=λB2。
由于或门连接选取各个小模块中故障率最高的作为整个模块的故障率,故ECU传递信号故障的故障率为P=4.0139*10^-12。
X1的故障率为3.0*10^-12,X2的故障率为3.2*10^-12,X3的故障率为2.0*10^-12,X4的故障率为2.0*10^-12,X5的故障率为1.5*10^-12。
综上所述,与FADEC系统相关的反推失效事件的故障率为4.0139*10^-12。根据CCAR-33-R2规章表明,单个失效引起的危害性发动机后果的概率不大于10^-8次/发动机飞行小时,则符合条款。
动态故障树的优缺点:
动态故障树是指至少包含了一个动态逻辑门的故障树,其把传统的故障树分析方法适用范围扩大到动态系统,能够对具有顺序相关、资源共享、可修复,以及冷、热备份等特性的系统进行可靠性建模。
其优点:动态故障树分析方法综合了传统故障树分析方法和马尔可夫模型两者的优点。可以直观形象的描述系统的动态和时序的过程,解决系统的动态时序过程。因此,利用动态故障树分析法,可以建立静态故障树分析法无法表示的动态系统的可靠性模型,建立系统的动态故障树,并分析计算系统的可靠性指标。利用马尔可夫转化链计算出系统或者设备的故障率。
局限性:动态故障树只能将系统或部件模块化,并不能像静态故障树那样将所有可能发生的低事件全部表示出来。