闫 锋,侯甲栋
(中国民用航空飞行学院航空工程学院,四川广汉618307)
时间限制派遣(Time Limited Dispatch,TLD)允许航空发动机控制系统存在已知故障的有限的时间派遣,是发动机冗余控制系统降级使用的一种技术模式。但TLD实施时,必须使系统满足适航要求的可靠性[1,2]。该水平设定为早期使用的液压机械控制系统所需安全性的水平相匹配,并指定每百万飞行小时10个故障的最大限制,作为系统用于丧失推力控制LOTC的平均完整性水平。在满足这个平均值水平时,可以根据系统的瞬时LOTC率所在范围对派遣类型及其类型分类,时间根据系统中存在的故障的重要性而定。因此为减少飞机的地面停场和维护时间,有必要对航空发动机FADEC系统的TLD分析,当FADEC系统的冗余单元发生故障时,允许在执行维修活动之前在限定的时间内带故障运行,避免飞机由于非计划维修导致的航班延误或取消,在保障飞机安全性的基础上,提高了飞机准点率,改善了运行的经济性。
时间限制派遣技术实施的基础是适航规章。如FAR-33部规章规定发动机的LOTC率要低于10-5次/小时[3,4]。另外工业标准提供了实施时间限制派遣策略的建议方法。SAE-ARP-5107B《电子发动机控制系统的限时派遣分析指南》明确给出了时间加权平均法(TWA)、马尔可夫模型法(MA)用于TLD的步骤与计算过程,两种方法在解决发动机状态复杂随机性问题方面较为局限[5,6]。英国拉夫堡大学学者Prescott DR和Andrews JD首先提出了使用蒙特卡罗仿真的方法应用于FADEC系统TLD分析的研究,但分析对象多为单故障派遣的情况[7]。陆中等学者对比了单状态马尔科夫模型和蒙特卡罗模型的优劣[8]。
本文采用蒙特卡罗模拟的方法可以模拟任何状态下的发动机可靠性模型,解决了航空发动机状态复杂随机性问题,对不同维修策略下的多故障FADEC进行TLD分析。
因为FADEC系统采用余度技术设计,具有较高的可靠性。正常情况下,冗余元件的单点故障不会直接导致LOTC事件,多故障可能会导致LOTC事件,此时系统的失效率λLOTC(t)是时间的函数,即失效率随着派遣时间间隔的增加而增大[9]。
单点故障在马尔科夫模型TLD分析中是在派遣结束时将其完全修复[10]。但对于多故障模型,派遣间隔结束时,可能仍存在有多个部件故障未修复的情况,在使系统的瞬时LOTC率满足要求的平均完整性水平条件下,运营人可以根据当时所处的维修环境选择修复其中的部分故障,使系统重新进入可派遣状态,如:系统处于限时派遣状态时,故障部件可按照“先坏先修”的原则进行;若系统处于LOTC状态,则按照关键部件优先维修的原则进行。
在蒙特卡罗仿真中,默认采用便于操作最小工作量的维修策略,即只对派遣间隔结束的故障进行修理。①TLT为的最长限时派遣间隔,故障保留时间达到TLT时必须完成维修;②当ND类故障发生后,可以选择立即修复在此发生之前的故障,使其满足ST或LT类派遣的要求,从而将故障派遣间隔调整为TST或TLT;遵循以上两条原则的前提下,对FADEC系统的多故障TLD分析。
TLD分析的蒙特卡罗仿真程序可概述为:通过蒙特卡罗模型生成服从系统组成单元可靠性分布的随机寿命,即单元的MTTF。当某单元工作时间达到随机寿命时,认为此时单元发生故障,计算瞬时LOTC率,并根据系统的瞬时LOTC率来判断派遣类型与时间间隔,同时按照选定的最小工作量的维修策略确定故障修复时间。当单元的故障导致系统进入LOTC状态时仿真终止,记录仿真从开始到结束时间即为系统的LOTC状态前时间(TLOTC),进行多次仿真就可得到系统在给定派遣间隔下的平均LOTC时间(TMTL),其倒数为系统的平均LOTC率(FLOTC)。给定不同的TST与TLT,经过程序仿真可得到与之对应的一系列FLOTC,进而得出函数关系FLOTC=f(TST,TLT)。
蒙特卡罗仿真的步骤如下(图1所示):
1)根据FADEC系统的组成和工作方式建立可靠性模型,给定可靠性模型中组成单元的失效率λi,根据各单元的可靠度分布函数Ri以及建立模型的可靠性关系,确定系统的可靠度分布函数Rs。
2)定义向量TLOTC用于记录每次导致系统进入LOTC状态的时间;定义向量TMTL用于储存变化向量TLOTC的不同均值时间;输入给定的派遣时间间隔TST与TLT。
3)根据TMTL的变化率判断是仿真否的终止,认为当TMTL的变化率ΔTMTL小于0.1%时认为其收敛,此次仿真结束,输出FLOTC=1/TMTL(N)。否则进入步骤4)。
4)初始化各元件的可靠度函数Ri,根据给定各元件的失效率λi生成一组服从元件寿命的分布的随机寿命trand(i),组成向量T;定义由0和1组成的状态向量S(0表示元件故障,1表示正常);
5)在T中选出随机寿命最小的元件m,及其寿命值tm=min(T);若此时元件完好Sm=1,认为其在tm时刻发生故障,令Sm=0且Rm=0,进入步骤6);若元件m已经进行故障保留sm=0,则令sm=1,更新R(m),表示单元m在tm时刻被修复,进入步骤8)。
6)判断系统是否进入LOTC状态,根据Rm的变化重新计算Rs,若Rs=0,则进入LOTC状态,TLOTC=max(tm),TMTL=TLOTC,返回步骤3);否则,进入步骤7)。
7)确定派遣类别。由Rs和式(1)计算系统的瞬时LOTC率λLOTC,根据λLOTC的值确定故障的派遣类别:
(a).LT:更新T,tm=tm+TLT;
(b).ST:更新T,tm=tm+TST;
(c).ND:更新T:tm=tm+trand;更新S:Sm=1;更新R(m);
8)更新T:tm=tm+trand;返回步骤5)。
TLD分析只考虑系统中可能导致LOTC事件的元件故障[6]。LOTC事件的定义参考文献[11],导致LOTC事件的元件参考文献[12]。
控制系统中控制传感器都是双冗余度,EEC的一条控制通道输入的同时可以通过跨通道数据链CCDL被另一个通道获取,当部分输入信号失效后仍允许EEC双通道保持工作。FADEC系统的串并联模型(如图2所示)。
图1 多故障TLD分析的蒙特卡罗模拟仿真流程
图2 FADEC系统的可靠性模型
FADEC系统的可靠度分布函数为
(1)
系统元器件的失效率如表1所示。
表1 FADEC系统组成元器件失效率
在仿真计算过程中,假设初始时间和修复结束时的所有元件都为新件,且各元件寿命均服从指数分布。系统模型一旦因组成单元故障而失效,则时间停止,未发生故障的部件将不会继续工作且不会发生故障,忽略修复元件的时间对系统LOTC时间的影响。
在此前提下,取短时派遣间隔上限TST=250h,长时派遣间隔分别取TLT=1000h,2000h,3000h,4000h,5000h,6000h,7000h。编写的蒙特卡罗程序对FADEC系统时间限制派遣多次仿真,求得不同派遣间隔下所对应的LOTC率FLOTC的仿真结果如表2所示。
表2 系统在不同派遣间隔下的LOTC率
拟合函数关系FLOTC=f(TLT)如图4所示。
从图中可以看出,FLOTC随着TLT的增加而增大,拟合函数为
(2)
在系统满足平均安全性要求FLOTC=10-5h-1的条件下,即可求得系统最大派遣时间TLT=2992h。
从图3中和拟合的函数关系可以得出系统的FLOTC曲线为开口向下的抛物线,LOTC率前期的增长速度随着派遣时间的不断增加的逐渐变缓。
图3 FADEC系统的FLOTC曲线
由FADEC系统多故障TLD的蒙特卡罗模拟仿真分析可知,对FADEC系统的多故障采用较为保守的维修策略,即ST类(小于500h)和LT类(不小于500h)故障可派遣间隔结束后需立即修理,不延长故障保留时间,维修策略缩短了部分元件的维修间隔,损失了一定的经济性,但却很大程度的保证了FADEC系统在限时派遣阶段的可靠性。但当派遣间隔超过7000h时,为持续保证系统的平均安全性水平,长时间的故障保留会使派遣间隔内发生故障的维修次数增加,系统的平均LOTC率会出现略有下降或维持不变的趋势,但是因为维修次数增多,维修成本随着增加,故不建议对任何长时多故障进行保留派遣,即长时类(大于7000h)多故障不执行故障保留策略。