基于概率风险分析的航空发动机控制系统故障风险评估

鲍 晗，左洪福，蔡 景，周 迪

(南京航空航天大学民航学院， 南京 210016)

发动机控制系统是发动机的核心子系统，一方面，其功能丧失可能会造成空中停车、完全推力丧失等飞机级功能失效和严重后果。另一方面，控制系统是非线性多变量控制复杂系统，故障率高。

传统的安全寿命管理方法将某一存活率下零部件萌生规定长度裂纹所需的循环数定义为部件的批准寿命，通过限制使用寿命来保障发动机关键部件的安全性[1]。但是由于标准制定或标准符合、设计制造和运行环境中的不确定因素，发动机控制系统的实际运行风险往往高于预期[2]，传统的确定性方法在分析风险时存在较大偏差。

为了克服传统安全寿命方法的缺点，进一步提高发动机关键部件的安全性，Shah A R等学者提出运用PRA方法，通过对关键部件随机性和缺陷分布的定量分析，在不具备完整描述的条件下更加准确地反映发动机部件的实际运行状态[3]。在此框架下，美国西南研究院联合通用电气等发动机厂商提出了DARWIN(Design Assessment of Reliability with Inspection)，该方法由有限元分析、概率断裂力学模型和无损探伤检查模型组成，基于失效机理对发动机概率风险进行预测[4]。随后FAA颁布了咨询通告AC39-8，针对航空发动机提出了一种基于部件故障统计、威布尔分析和蒙特卡罗仿真的风险评估方法[5]。尽管以上两种PRA方法都为发动机控制系统故障风险评估提供了可借鉴的实施思路，但由于系统的复杂性以及运行数据量不足，针对发动机控制系统的风险评估一直未能有效开展。

近年来，风险模型的不断优化、计算效率的不断提高、航空基础数据库的构建等都为使用PRA方法识别和分析复杂系统实际风险提供契机[6]。本文结合控制系统的故障风险模式和实际运营数据，将发动机推力控制丧失(LOTC)事件作为控制系统风险评估的桥梁，运用PRA方法，建立了从底层故障到飞机级严重后果的发动机控制系统故障风险评估模型，并结合实际案例对模型进行演示验证。

1 发动机控制系统故障风险模式分析

航空发动机控制系统的关键部件包含电子控制器(EEC)、液压机械组件(HMU)、作动部件和传感器4个主要部分，典型的发动机控制系统如图1。EEC根据飞机控制命令和进入EEC的各个传感器测量信号，计算控制目标值并将其转化成执行机构的电指令，经由HMU进行电液转换和液压功率放大，控制作动部件实现对控制对象的控制。通过这一过程实现燃油控制，发动机推力管理，VBV、VSV、TBV、LPTCC等控制以及发动机的启动、关闭、点火控制等功能。

根据发动机控制系统的结构和工作原理，表1从4个方面介绍发动机控制系统故障模式及风险类型[7]。

表1 发动机控制系统故障风险类型

2 发动机控制系统故障风险评估模型

LOTC事件是发动机控制系统的顶层故障事件，定义为不能通过油门杆对发动机在慢车与90%的最大额定推力之间进行调节，或发动机不能满足33部的工作特性要求，或发动机推力以不可接受的方式振荡[9]，LOTC率是衡量发动机安全性的重要标志。由于直接估计单个故障对整机的安全性影响难度较大，故可以结合设计阶段的安全性分析基础，将LOTC事件作为风险分析的桥梁。如图 2所示，先通过故障建模的方法分析底层故障发展成为LOTC事件的风险，再通过事件链建模评估LOTC事件发展成飞机级严重后果的风险。最后将实际风险与适航标准比较，不满足适航要求时需要立即采取纠正措施并对纠正后的风险进行重新评估。

2.1 发动机控制系统故障建模

通过故障建模确定从发动机控制系统底层故障发展到LOTC事件的实际风险，主要考虑两个方面：单个部件的故障概率和单个故障发展成LOTC事件的概率。

1) 单个部件的故障概率λ(t)

根据美国宇航局的统计数据表明，航空设备故障率大致可以分为6种类型，其中双参数威布尔分布是航空发动机故障分析中最有价值的分布函数[10]。在实际风险评估过程中，由于相同部件在不同使用环境下表现出来的故障规律各不相同，参数的随机性对概率风险评估结果的影响很大[6]，因此考虑部件的实际运维情况。

已知双参数威布尔分布的密度函数为

(1)

其中：m为形状参数；η为尺度参数。考虑到实际的故障数据中有部分是因预防性维修而更换的右截尾寿命数据，m和η可以根据式(2)的超越方程，通过数值方法迭代求解得到[11]。

(2)

其中：n为数据组数；r为完全数据；(n-r)为右截尾数据；tp为预防性更换时间。

在已知故障率分布的情况下，综合考虑部件已使用时间T和检查间隔τ[12]，在下一个检查周期[T，T+τ]内，部件故障概率λ(t)可以表示为

(3)

2) 单个故障发展成LOTC事件的条件概率μ

单个故障A发展成LOTC事件的条件概率μ可以转化成在该故障的暴露时间内，相关故障发生的概率。根据发动机控制系统LOTC事件的故障树，可以通过上行法或者下行法找出包含A故障的最小割集，即导致LOTC事件发生的最低限度基本事件的组合[13]。最小割集中除了A故障以外的其他故障，即为A故障的相关故障。

如图3，如果在[T，T+τ]内的t时刻发生第一个故障，那么该故障的暴露时间为T+τ-t，则该故障暴露时间的期望为

(4)

再结合相关故障的平均故障率λi，i=1,2,…，因此条件概率的表达式为

(5)

如果最小割集中仅包含单个元素，则说明该故障会直接导致LOTC事件，则相应条件概率μ的值为1。

2.2 发动机控制系统事件链建模

事件链建模主要用于建立从LOTC事件发展到各种飞机级严重后果的整体过程，如图4。将数控系统LOTC作为事件链的初因事件，通过建立事件树或者事件序列图模型，推演从LOTC事件经由一系列中间事件，最终导致飞机空中解体、坠毁等严重不安全后果。

事件链中的条件概率根据故障的循环比近似得出，循环比定义为损伤从当前状态发展到下一个状态需要的平均飞行循环数与部件使用寿命之比，循环比越高，表明损伤发展速度越快，从当前状态发展到下一个状态的可能性也就越高。表2是条件概率对应表，由FAA和波音公司根据历史数据制定[14]。在条件概率不明的情况下，一般将条件概率保守假设为1。

表2 循环比对应的条件概率

针对不安全后果的衡量标准很多，CCAR25.1309中用轻微的、严重的、灾难性的等严重性等级定性地表示后果的严重程度。在定量分析中，FAA提出通过人员损伤率表示不安全后果的严重程度[15]，损伤率IR的表达式如下

(6)

其中：nfatal表示事故中死亡的人数，包括事故中机上和地面的致死人员；nonboard表示飞机的全部乘员，包括机组和旅客。根据FAA的统计，不同类别飞机各种严重后果的损伤率见表3。

表3 不安全后果损伤率对应

注：CFIT，即Controlled Flight Into Terrain，可控飞行撞地。

2.3 发动机控制系统故障风险评估

结合故障模型和事件链模型，可以将发动机控制系统故障风险R表示为

R=λ(t)·μ·∑(CPi·IRi),i=1,2,…

(7)

其中：λ(t)是单个故障在下一次检查前发生的概率，见式(3)；μ是在已知故障暴露期间内其相关故障发生且导致LOTC事件的概率，见式(5)；CPi是LOTC事件发展到第i种严重后果的条件概率，IRi是第i种严重后果的损伤率。

风险计算结果需要与适航标准进行比较，进而确定是否需要采取对应的风险控制措施。根据AC-21-AA-2013-19要求，持续适航阶段的实际风险水平的目标值是飞机设计所必须遵循的最大风险水平[1]。对于发动机控制系统而言，由发动机控制系统故障导致的单机风险水平必须低于1×10-7/FH[5]。在实际风险超出适航要求时，必须采取改正或改进措施，包括调整检查间隔、提早进行更换，在涉及重要检查和设计更改时发布适航指令(AD)等强制措施。

3 案例分析

以波音737飞机CFM56-7B发动机可调静子叶片(VSV)作动筒故障情况为例对发动机控制系统故障实际风险进行分析。

在CFM56-7B世界机队故障统计中,VSV故障频率较高,在造成飞机延误/取消的原因中排第一位。VSV作动筒是安全关键部件，主要的故障模式包括作动筒的渗漏和卡阻，故障会引起VSV控制异常，造成发动机喘振，进而引起发动机空中停车，可能造成人员死亡、坠毁等严重后果。同时每台发动机的VSV作动筒无备份,因而有必要对机队VSV作动筒的实际风险进行监控和分析。

CFM56-7B发动机VSV系统主要由VSV作动筒、电液伺服阀和位移传感器等组成[16]，HMU根据EEC指令为作动筒提供伺服燃油,从而驱动VSV摇臂,进而改变VSV的角度,保证发动机的进气流量合适，作动筒本身带有的线性差动传感器(LVDT)将实际位置反馈给EEC,如图5所示。

在设计阶段，根据供应商提供的测试数据，该型VSV作动筒的平均故障率是1.55×10-7，由统计得到相应的风险因子是0.005，因此该VSV作动筒的风险为0.775×10-9/FH，远低于规章规定的10-7/FH，符合安全标准，但该风险显然没有充分考虑不同的运行环境因素和部件退化的影响。

表4收集并整理了某航空公司CFM56-7B型发动机机队VSV作动筒的实际使用寿命，单位为FH，其中标记“*”的为预防性更换数据。

表4 某发动机机队VSV作动筒的寿命数据

采用基于截尾数据的威布尔参数极大似然法，根据式(2)得到威布尔分布的参数为m=8.136，η=16 467，将其代入式(3)，则在下一次检查前该类VSV作动筒的故障概率表示为

图6是发动机数控系统LOTC的部分故障树，可以看出，VSV作动筒故障会直接引发燃油作动部件导致的VSV开度异常，进而导致VSV控制异常，引发推力振荡导致机组不得不关闭发动机，最终引起LOTC事件。也就是说，VSV作动筒故障会直接导致LOTC事件，即条件概率μ=1。

根据表2中的条件概率和表3中的损伤率IR可以建立数控系统LOTC事件导致飞机空中解体、坠毁和偏离跑道等严重后果的事件树，如图7所示。

因此可以计算得出∑(CPi·IRi)=0.007。

查询该航空公司的飞机维修方案和相关工程指令，得知目前该航空公司定期对机队VSV作动筒进行检查和必要的润滑及清洁，检查间隔是250FH，则VSV作动筒故障的单机风险是一个关于运行时间T的函数，表达式为

随着运行时间的增加，由VSV作动筒故障引起的风险水平逐渐增加，如图8所示，在运行时间超过4 000FH后，风险水平快速升高。将实际风险与适航风险标准1×10-7/FH进行比较，运行时间达到6550FH左右时实际运行风险超出适航安全要求。

由表4可知目前该机队VSV作动筒的使用时间均超过了6 550FH，存在安全风险。在不考虑改变该VSV作动筒设计构型的情况下，可以从控制作动筒的实际使用时间T和缩短检查间隔τ两个角度控制实际风险。

在使用时间T不变的情况下，通过优化VSV作动筒的检查间隔τ来控制风险水平。图9中5条曲线分别表示检查间隔为100 h、150 h、200 h、250 h和300 h时，实际风险随使用时间增加而增大的情况。如将使用寿命限制在7 000 h，图9中竖线与5条直线的交点分别表示运行时间为7 000 h时不同检查间隔对应的风险水平。可以发现只有当检查间隔小于150 h，风险水平满足要求。

在检查间隔τ确定的情况下，通过提前更换或清洁来控制VSV作动筒的实际使用时间T来控制风险水平。图10中4条曲线分别表示使用时间分别为5 500 h、6 000 h、6 500 h和7 000 h时，实际风险随着检查间隔的增加而增大的情况。若保持目前的检查间隔250 h不变，仅当运行时间控制在6 500 h以内时，风险水平满足要求。

由于所有发动机控制系统事件均可转化为LOTC事件，其他相关故障均可借鉴此案例中的风险分析过程。

4 结束语

针对发动机控制系统实际风险高于预期问题，对控制系统故障模式进行分析，基于PRA建立控制系统故障模型、事件链模型和风险模型。以CFM56-7B发动机VSV作动筒故障为例进行实际风险评估，并分析运行时间和检查间隔对风险的影响。该模型具有一定通用性，为局方在评估不安全事件风险时提供定量参考，同时为航空公司制定使用和维护计划提供定量的依据。