基于STPA的FADEC系統(tǒng)TLD安全性方法研究

閆 鋒，徐文韜

(中國(guó)民用航空飛行學(xué)院 航空工程學(xué)院，四川 廣漢 618307)

0 引言

全權(quán)限數(shù)字發(fā)動(dòng)機(jī)控制系統(tǒng)(Full Authority Digital Engine Control System，F(xiàn)ADEC)是連接飛機(jī)控制系統(tǒng)和動(dòng)力系統(tǒng)的中間件，作為動(dòng)力系統(tǒng)中樞對(duì)當(dāng)代發(fā)動(dòng)機(jī)故障監(jiān)測(cè)隔離與健康管理等愈加重要。以GE GP7000為代表的第三代FADEC系統(tǒng)的雙通道冗余架構(gòu)，直接影響發(fā)動(dòng)機(jī)故障派遣決策的安全性和經(jīng)濟(jì)性需求。因此，對(duì)各類(lèi)故障安全評(píng)估后的限時(shí)派遣(Time-Limited Dispatch，TLD)決策是近年來(lái)的研究熱點(diǎn)。

我國(guó)民航航班飛行架次平均每年的增長(zhǎng)率為15%以上，而中國(guó)民用航空綜合司報(bào)告的航空器使用困難報(bào)告(SDR)中動(dòng)力控制系統(tǒng)故障占16%左右，民航局對(duì)于機(jī)場(chǎng)放行正點(diǎn)率要求為80%以上[1]，因此可依據(jù)法規(guī)評(píng)估故障影響，選擇執(zhí)行帶故障間隔派遣時(shí)間間隔決策，提高在新冠疫情下航班的正點(diǎn)率。

在航空器最初適航審定階段，對(duì)于FADEC系統(tǒng)限時(shí)派遣的分析方法有故障數(shù)據(jù)驅(qū)動(dòng)的故障模式影響分析(FMEA)等[2]。傳統(tǒng)方法僅考慮了控制系統(tǒng)安全性目標(biāo)，未將控制系統(tǒng)放在整體發(fā)動(dòng)機(jī)系統(tǒng)中建立系統(tǒng)可靠性目標(biāo)，不能達(dá)成安全性和經(jīng)濟(jì)性需求優(yōu)化目標(biāo)。本文利用系統(tǒng)理論分析(Systematic Theory Process Analysis，STPA)方法定義系統(tǒng)危險(xiǎn)邊界，并基于系統(tǒng)模型識(shí)別不安全的控制動(dòng)作及原因，考慮組間交互等因素影響，建立以系統(tǒng)簽派可靠度和經(jīng)濟(jì)性為目標(biāo)的安全約束，在故障模擬環(huán)境下識(shí)別不安全控制行為(Unsafe Control Action，UCA)，對(duì)于復(fù)雜控制系統(tǒng)可以有效識(shí)別系統(tǒng)失效狀態(tài)和影響嚴(yán)重性級(jí)別。此方法可滿足簽派安全需求，提高航班正點(diǎn)率要求，從而滿足民航經(jīng)濟(jì)性運(yùn)營(yíng)需求。

1 決策安全性需求分析

基于航空法規(guī)制定的安全約束是FADEC系統(tǒng)限時(shí)派遣的安全需求基礎(chǔ)，F(xiàn)ADEC系統(tǒng)限時(shí)派遣的安全需求可分解為：航空發(fā)動(dòng)機(jī)部件安全需求；控制部安全需求。本研究依據(jù)ARP5107C、CCAR33部規(guī)定討論限時(shí)派遣要求下的安全性需求及方法。

1.1 控制系統(tǒng)安全性需求分析

ARP5107C是限時(shí)派遣技術(shù)應(yīng)用于FADEC系統(tǒng)推力控制可靠性的方法，適用于當(dāng)代商用運(yùn)輸機(jī)上開(kāi)發(fā)和運(yùn)用TLD的部件結(jié)構(gòu)，也可適用于其他FADEC系統(tǒng)故障影響或其他系統(tǒng)，如反推裝置、超速保護(hù)系統(tǒng)等。適航申請(qǐng)者必須評(píng)估控制系統(tǒng)故障狀態(tài)以及影響發(fā)動(dòng)機(jī)推力程度，確定故障造成的所有可能后果及其失效狀態(tài)。ARP5107C定義了限時(shí)派遣的四種類(lèi)型[3]：不可派遣(No Dispatch，ND)；短時(shí)派遣(Short Dispatch，ST)；長(zhǎng)時(shí)派遣(Long Dispatch，LT)；輕微發(fā)動(dòng)機(jī)影響(Minor engines effects),FADEC系統(tǒng)限時(shí)派遣策略方案如表1所示。限時(shí)派遣以推力控制喪失(Loss of Thrust Control，LOTC)作為核心的安全標(biāo)準(zhǔn)，通過(guò)控制系統(tǒng)可靠性水平保障整機(jī)安全性在可派遣范圍內(nèi)，對(duì)電子系統(tǒng)LOTC事件發(fā)生概率應(yīng)小于10-5次/飛行小時(shí)。

表1 FADEC系統(tǒng)限時(shí)派遣策略方案

1.2 發(fā)動(dòng)機(jī)安全性需求分析

CCAR33部第33.28條[4]是對(duì)于發(fā)動(dòng)機(jī)控制系統(tǒng)要求：“適航申請(qǐng)人必須表明當(dāng)故障或失效導(dǎo)致控制系統(tǒng)轉(zhuǎn)移到備份系統(tǒng)時(shí)，發(fā)動(dòng)機(jī)不會(huì)超出任何使用限制，發(fā)動(dòng)機(jī)推力調(diào)節(jié)響應(yīng)具有足夠靈敏度和不產(chǎn)生任何不可接受推力振蕩。”系統(tǒng)安全評(píng)估可預(yù)見(jiàn)失效或故障導(dǎo)致危害發(fā)動(dòng)機(jī)系統(tǒng)，確定故障或失效在安全頻率之下。對(duì)控制系統(tǒng)進(jìn)行適航驗(yàn)證分析：申請(qǐng)者需設(shè)計(jì)發(fā)動(dòng)機(jī)控制系統(tǒng)發(fā)生LOTC/LOPC事件概率在安全目標(biāo)裕度內(nèi)；控制系統(tǒng)能容忍經(jīng)民航局確定的“單點(diǎn)故障”；系統(tǒng)部件單點(diǎn)失效不會(huì)危害發(fā)動(dòng)機(jī)系統(tǒng)造成嚴(yán)重后果。

2 TLD安全性評(píng)估決策

限時(shí)派遣是失去推力或功率控制(LOTC/LOPC)事件發(fā)生概率與安全目標(biāo)要求一致性下在規(guī)定時(shí)間內(nèi)執(zhí)行派遣任務(wù)，在符合CCAR33.28和75規(guī)定時(shí)必須對(duì)航空發(fā)動(dòng)機(jī)控制系統(tǒng)進(jìn)行安全性評(píng)估。

2.1 功能映射關(guān)聯(lián)分析

航空發(fā)動(dòng)機(jī)控制系統(tǒng)做故障保留派遣決策，限時(shí)派遣的基礎(chǔ)要素如圖1所示。控制系統(tǒng)故障后選擇做故障保留派遣決策時(shí)，依據(jù)現(xiàn)有的航空安全法規(guī)評(píng)估安全派遣時(shí)間。控制系統(tǒng)的故障危害性通過(guò)上層發(fā)動(dòng)機(jī)系統(tǒng)性能波動(dòng)危險(xiǎn)性表現(xiàn)出來(lái)，根據(jù)控制系統(tǒng)功能邏輯、時(shí)序分析功能接口數(shù)據(jù)對(duì)發(fā)動(dòng)機(jī)控制輸出，如燃油量調(diào)整、壓氣機(jī)靜子葉片和放氣活門(mén)、渦輪主動(dòng)間隙控制等。基于發(fā)動(dòng)機(jī)的狀態(tài)/模式，分析與前序控制系統(tǒng)功能關(guān)聯(lián)以及細(xì)化故障模式和失效狀態(tài)的對(duì)應(yīng)情況。

圖1 限時(shí)派遣的基礎(chǔ)要素

2.2 安全性決策方法分析

FADEC系統(tǒng)產(chǎn)生故障從全勤(FU)狀態(tài)向LOTC狀態(tài)轉(zhuǎn)移可建立可靠性模型模擬計(jì)算狀態(tài)頻率，在SAE5107文件中建議了開(kāi)環(huán)馬爾可夫模型方法[5]，從控制系統(tǒng)轉(zhuǎn)移狀態(tài)和派遣選擇出發(fā)建立馬爾可夫轉(zhuǎn)移狀態(tài)圖。馬爾可夫方法在單目標(biāo)情況下可以有效計(jì)算系統(tǒng)平均LOTC事件發(fā)生概率，并確定容錯(cuò)派遣方案，在系統(tǒng)ND狀態(tài)下也可在多目標(biāo)情況下，馬爾可夫轉(zhuǎn)移模型容易出現(xiàn)復(fù)雜關(guān)系狀態(tài)圖、數(shù)學(xué)計(jì)算難度頗高等情況，基于此在處置ST、LT狀態(tài)下繼發(fā)故障的限時(shí)派遣分析時(shí)提出蒙特卡羅方法[6]。

基于控制危險(xiǎn)性可建立STPA安全性評(píng)估方法，深入分析控制系統(tǒng)與發(fā)動(dòng)機(jī)系統(tǒng)的不安全交互，識(shí)別可能導(dǎo)致推力喪失控制事件的不安全控制狀態(tài)。單位化控制系統(tǒng)功能可有效定義系統(tǒng)狀態(tài)/模式，并與上層推進(jìn)系統(tǒng)產(chǎn)生關(guān)聯(lián)映射，在發(fā)動(dòng)機(jī)復(fù)雜運(yùn)行條件和工況下較為精確分析系統(tǒng)功能失效導(dǎo)致的LOTC事件。控制系統(tǒng)故障表現(xiàn)為復(fù)雜系統(tǒng)控制出現(xiàn)不恰當(dāng)或不足行為，執(zhí)行機(jī)構(gòu)不完全行為，信息反饋失敏等。

3 TLD的STPA分析程序

基于STAMP模型上發(fā)展的STPA安全性分析方法，從分析系統(tǒng)風(fēng)險(xiǎn)、建立安全性需求、確定安全約束、分析安全性流程形成安全性分析流程。

3.1 分析危險(xiǎn)輸入

FADEC系統(tǒng)作為航空發(fā)動(dòng)機(jī)的中樞系統(tǒng)，在控制功能之外對(duì)發(fā)動(dòng)機(jī)具有故障監(jiān)測(cè)與健康管理等功能，基于控制系統(tǒng)隨發(fā)動(dòng)機(jī)的工作是隨時(shí)間動(dòng)態(tài)變化的過(guò)程，分析帶故障派遣所帶來(lái)的安全風(fēng)險(xiǎn)，根據(jù)故障部件功能特性預(yù)測(cè)可能面臨的系統(tǒng)安全風(fēng)險(xiǎn)。

評(píng)估最壞故障結(jié)果下受FADEC系統(tǒng)控制，功能喪失，定義系統(tǒng)級(jí)風(fēng)險(xiǎn)。發(fā)動(dòng)機(jī)作為飛機(jī)的推進(jìn)系統(tǒng)在本文中以LOTC事件概率安全分析，給出系統(tǒng)級(jí)風(fēng)險(xiǎn)：危害性的發(fā)動(dòng)機(jī)影響；重大發(fā)動(dòng)機(jī)影響；輕微發(fā)動(dòng)機(jī)影響等(如表1所示制造商評(píng)估適航派遣時(shí)間)。例如發(fā)動(dòng)機(jī)接口組件(EIU)失效導(dǎo)致自動(dòng)推力喪失，需飛行員手動(dòng)控制推力。

3.2 UCA失效模式分析

FADEC系統(tǒng)安全性分析流程通常不僅僅局限于系統(tǒng)本身失效狀態(tài)，需同時(shí)考慮對(duì)發(fā)動(dòng)機(jī)系統(tǒng)以及整機(jī)系統(tǒng)造成的影響，由FADEC系統(tǒng)產(chǎn)生交互識(shí)別UCA行為：FADEC系統(tǒng)控制行為消失造成危險(xiǎn)；控制行為未按指令進(jìn)行或出現(xiàn)時(shí)序錯(cuò)誤；控制行為不完全導(dǎo)致危險(xiǎn)。依據(jù)FADEC適航要求識(shí)別UCA，并將控制配置組件故障分析評(píng)估，F(xiàn)ADEC系統(tǒng)的UCA模式如表2所示。

表2 FADEC系統(tǒng)的UCA模式

3.3 建立控制系統(tǒng)STAMP模型

根據(jù)FADEC系統(tǒng)功能劃分，F(xiàn)ADEC系統(tǒng)控制結(jié)構(gòu)如圖2所示，整個(gè)控制交互過(guò)程分成5個(gè)部分：傳感器(HM)分布在發(fā)動(dòng)機(jī)中；液壓機(jī)械組件(HMU)；ECU、EIU等；IMA航電系統(tǒng)；執(zhí)行機(jī)構(gòu)(壓氣機(jī)控制、間隙控制、起動(dòng)控制等)。控制信息交互包含被控過(guò)程、控制算法、失效模式，這些構(gòu)成FADEC系統(tǒng)控制結(jié)構(gòu)的STAMP模型。

圖2 FADEC系統(tǒng)控制結(jié)構(gòu)

3.4 建立安全目標(biāo)約束

FADEC系統(tǒng)基于STAMP模型建立安全約束包含：民航適航法規(guī)要求；FADEC系統(tǒng)故障導(dǎo)致航空發(fā)動(dòng)機(jī)喪失推力控制(LOTC)的失效狀態(tài)。第一點(diǎn)要求如限時(shí)派遣劃分(見(jiàn)表1)，在此主要論述航空發(fā)動(dòng)機(jī)在LOTC狀態(tài)下的具體故障表現(xiàn)以及失效狀態(tài)。

STPA分析的安全性方法相較于傳統(tǒng)方法可以在FHA分析基礎(chǔ)上從安全約束控制角度避免出現(xiàn)傳統(tǒng)方法的上述極端情況。可根據(jù)航空發(fā)動(dòng)機(jī)制造商評(píng)估建立安全裕度下的容錯(cuò)派遣時(shí)間限制，不可派遣故障，長(zhǎng)時(shí)派遣，短時(shí)派遣，多個(gè)故障組合(在聯(lián)系實(shí)際飛機(jī)高修復(fù)率情況下多重故障發(fā)生率不足5%出現(xiàn)LOTC事件)，不可檢測(cè)故障等。FADEC系統(tǒng)功能失效識(shí)別流程如圖3所示。

圖3 FADEC系統(tǒng)功能失效識(shí)別流程

3.5 STPA方法的TLD安全性討論

STPA方法應(yīng)用于TLD分析中，相較于FADEC系統(tǒng)的FHA方法[7]，在傳統(tǒng)方法基礎(chǔ)上定義FADEC系統(tǒng)的控制模型：避免與系統(tǒng)運(yùn)行過(guò)程分析導(dǎo)致較大誤差，難以與理論結(jié)合分析；可靈活結(jié)合多種算法避免分析故障模式出現(xiàn)太過(guò)于復(fù)雜的指數(shù)級(jí)計(jì)算，例馬爾可夫法[8]在分析繼發(fā)性多重故障時(shí)會(huì)出現(xiàn)計(jì)算過(guò)于復(fù)雜難以得出結(jié)果。

FADEC系統(tǒng)故障一般間接從發(fā)動(dòng)機(jī)整體性能表現(xiàn)出來(lái)，基于此可建立分層控制結(jié)構(gòu)分析建模，分析動(dòng)態(tài)系統(tǒng)狀態(tài)轉(zhuǎn)移時(shí)間概率關(guān)系是否滿足系統(tǒng)安全性需求。基于發(fā)動(dòng)機(jī)健康管理(EHM)的FADEC系統(tǒng)自我故障檢測(cè)的數(shù)據(jù)分布在發(fā)動(dòng)機(jī)上的傳感器等電子元件中。由于發(fā)動(dòng)機(jī)工況復(fù)雜多變導(dǎo)致系統(tǒng)故障種類(lèi)復(fù)雜，并要求適應(yīng)系統(tǒng)分布式架構(gòu)遷移需求，控制系統(tǒng)可以整合發(fā)動(dòng)機(jī)復(fù)雜動(dòng)態(tài)信息接入多種診斷算法(如貝葉斯算法、人工智能模糊融合算法[9])給出機(jī)體自適應(yīng)的最優(yōu)化健康管理輸出。

3.6 實(shí)例分析

以某型發(fā)動(dòng)機(jī)T3傳感器的控制邏輯應(yīng)用TLD為例。T3傳感器測(cè)量高壓壓氣機(jī)排氣溫度數(shù)據(jù)并傳遞給EEC控制BSV(燃燒分級(jí)活門(mén))和HPTACC(高壓渦輪主動(dòng)間隙控制),發(fā)動(dòng)機(jī)T3傳感器控制邏輯如圖4所示。

圖4 發(fā)動(dòng)機(jī)T3傳感器控制邏輯

進(jìn)行T3傳感器失效模式以及影響分析(FMEA)的UCA失效模式主要是部件失效、T3線束故障、T3反饋數(shù)據(jù)失常等。在FADEC控制系統(tǒng)由全勤狀態(tài)向LOTC狀態(tài)轉(zhuǎn)移過(guò)程中，T3傳感器依據(jù)FAA適航要求得出隨時(shí)間變化的頻率分布。依據(jù)某型適航資料可知在一定時(shí)間內(nèi)部件失效概率為3.79×10-7,線束失效概率為2.84×10-6，數(shù)據(jù)反饋失效為1.14×10-7，依據(jù)適航規(guī)定，概率分布在10-7～10-5之間可判定為重大的發(fā)動(dòng)機(jī)影響。線束失效影響將直接導(dǎo)致LOTC事件的發(fā)生，據(jù)此可判定發(fā)動(dòng)機(jī)由全勤狀態(tài)進(jìn)入ND狀態(tài)。

4 結(jié)論

FADEC系統(tǒng)冗余故障通過(guò)外部發(fā)動(dòng)機(jī)工況體現(xiàn)出來(lái)，用系統(tǒng)理論分析法分析建立限時(shí)派遣模型得出結(jié)論：建立分層控制模型，輔助分析不恰當(dāng)控制對(duì)發(fā)動(dòng)機(jī)影響程度定義UCA失效；對(duì)限時(shí)派遣決策劃清危險(xiǎn)邊界為不安全控制行為提供一種建模方法，可作為建立FADEC安全性限時(shí)派遣策略評(píng)估的方法儲(chǔ)備。