分離式飛行數據記錄與跟蹤系統可靠性分析

郭 星 孫建紅 張延泰 侯 斌 / GUO Xing SUN Jianhong ZHANG Yantai HOU Bin

(南京航空航天大學航空宇航學院,飛行器環境控制與生命保障工業和信息化部重點實驗室，南京 210016)

0 引言

飛行數據記錄器(Flight Data Recorder，以下簡稱FDR)對于航空安全和事故調查有著重要的意義，并為保障飛行安全以及進行日常監控提供科學的依據[1-3]。從法航447和馬航370等空難事故中可看出，在飛機墜海后，傳統FDR會隨飛機殘骸一起沉入大洋。由于海底地形復雜以及洋流的作用，設備定位困難，給及時搜救和后續事故調查造成了巨大困難。為了提升FDR搜尋概率，加快其打撈速度，南京航空航天大學孫建紅教授所帶領的團隊與中國商飛美國公司完成了分離式飛行數據記錄與跟蹤系統的研發與試驗工作，該系統又稱為報信者(Harbinger，HBG)系統[4]。該系統不僅可以應急彈射飛行數據記錄儀，還可在空中捕捉飛機狀態，提供動態追蹤功能。雖然美國于1983年測試過功能單一的軍用飛機可彈射型FDR[5]，但受限于當時的數據信息技術，以及軍機本身飛行員彈射救生系統具有相近功能而且日益成熟，因此彈射型FDR沒有得到應用。另一方面，盡管在技術發達的今天，在民用航空領域也有不同聲音。如波音稱，彈射型FDR“需要受到更多研究，尤其是就減少意外后果而言”[6]。因此，在適航要求方面，分離式飛行數據記錄與跟蹤系統的可靠性問題也日益受到大家關注。

傳統的可靠性分析方法主要包括故障模式與影響分析(Failure Mode and Effects Analysis，以下簡稱 FMEA)、失效物理分析法(Physics of Failure，以下簡稱 PoF)、故障樹分析(Fault Tree Analysis，以下簡稱FTA)等，其中FTA具有結構簡便、邏輯明確等優點。1961年，美國貝爾電話實驗室H. A. Watson首先提出故障樹分析法，并成功將其應用在民兵導彈發射控制系統的可靠性研究中。隨后，波音公司的Hassl、Sohroder和Jackson[7-8]于1965年成功編寫了FTA的相關軟件，使飛機的設計有了重大改進。近年來，隨著FTA的不斷發展與完善，其在航空航天領域已被廣泛應用。湯旭[9]在某民用飛機氧氣系統結構的基礎上，通過對氧氣系統危險事件進行故障樹分析，從而驗證了該系統的可靠性符合相關適航規定。E Chung和JS Hamks[10]通過故障樹模型來確定飛行構架是否滿足系統需要的可靠性和安全性。和麟[11]等以機載氣象雷達系統的典型故障為對象，應用FTA，解算出了故障樹最小割集，計算了頂事件的概率，同時通過底事件相對概率重要度確定了對各部件進行檢查時的優先順序。李冰月[12]等針對飛機空調系統各主要部件進行了故障模式與影響分析，并結合FTA，對飛機空調系統故障進行了診斷實驗，證明了渦輪故障對座艙溫度影響最大。但國內外對飛行數據記錄系統可靠性研究較少，并且還缺少與跟蹤系統一體的綜合系統可靠性研究。

因此，為了分析分離式飛行數據記錄與跟蹤系統的可靠性，尋找系統設計的薄弱環節。在明確HBG系統的組成結構和邏輯功能關系后，基于FTA，搭建了以系統失效為頂事件的故障樹。通過定量分析，發現緩降系統為HBG系統可靠性的薄弱環節，進而針對緩降系統進行改進，降低了系統失效的發生概率。

1 報信者系統工作原理

HBG系統是一款集智能判斷、快速分離、緩降漂浮和跟蹤拍攝等功能于一體的應急飛行數據記錄系統。其主要由四個分系統組成，分別是智能彈射與分離系統、拖曳式跟蹤系統、緩降與應急漂浮系統以及數據傳輸系統。從可靠性分析與功能實現角度，可將HBG系統劃分為觸發系統(S1)、彈射系統(S2)、緩降系統(S3)和拖曳系統(S4)，其系統工作原理如圖 1所示。

圖1 HBG系統原理圖

觸發系統可通過機載信號源、飛行員手動開關以及HBG傳感器判斷飛機是否處于緊急狀態，進而決定是否啟動報信者系統。彈射系統在接收到觸發系統的信號后，艙蓋分離裝置開始工作。在艙蓋打開后，電磁閥被打開，隨后氣瓶中的氣體進入氣缸并推動活塞，最終將緩降與拖曳系統彈射出機身。緩降系統主要由彈簧牽引傘和氣囊組成，用于輔助彈射分離，降低墜水沖擊從而保護核心設備。在彈簧牽引傘的作用下，應急飛行數據記錄器(Emergency Flight Data Recorder，以下簡稱EFDR)從空中緩降入水。入水后，彈簧牽引傘自動脫離，氣囊包裹EFDR漂浮在水面上，EFDR發射救援和定位信號，從而引導搜救人員對其進行回收。其中EFDR數據接收裝置在緩降系統當中，但其功能的實現在拖曳系統中，用于接收和儲存所拍攝到的視頻數據。拖曳系統則用于記錄飛行姿態和外部破損情況。拖曳跟蹤復眼模塊在拖曳繩索的牽引下對飛機進行跟蹤拍攝，并把拍攝的數據傳輸給應急飛行數據記錄器。

2 HBG系統的FTA分析

故障樹分析方法是系統可靠性分析中的一種重要方法，FTA以一個不希望出現的故障事件作為頂事件，通過由上而下的嚴格按層次的故障因果邏輯分析，逐層找出故障事件的必要而充分的直接原因，最終找出導致頂事件發生的原因和原因組合，并通過底事件的重要度，揭露系統的薄弱環節[13-14]。根據HBG系統的工作原理，結合部件失效的相關資料，采用FTA方法對HBG系統進行可靠性分析，HBG系統故障樹見圖2。

在建立故障樹過程中，不考慮人為操縱的失誤，即人的可靠度為1。故障樹分為5層，其中頂事件為HBG系統失效，根據HBG系統的工作過程將失效分為觸發系統失效、彈射系統失效、緩降系統失效和拖曳系統失效。表 1為故障樹事件編號及意義，編號中含有字母X的事件為底事件。

圖2 HBG系統故障樹

通過下行法求得故障樹的所有最小割集：{X1}，{X2}，{X3，X4，X5}，{X6}，{X7}，{X8}，{X9，X10}，{X9，X11}，{X12}，{X13}，{X14}，{X15}，{X16}，{X17}，{X18}，{X19}，{X20}，{X21}，{X22}，{X23}，{X24}，{X25}。該故障樹共有最小割集22個，其中最小割集最大容量為3個底事件。

根據Boole代數運算法則，可得頂事件的發生概率為：

依據相關資料[15-16]，各零部件失效率見表 2，由于底事件發生的概率很小，那么最小割集之間可以視為相斥，于是頂事件的發生概率可以近似如下：

P(T)=P(A)+P(B)+P(C)+P(D)

=P(X1)+P(X2)+P(X3X4X5)+P(X6)+

P(X7)+P(X8)+P(X9X10)+

(2)

根據有關文獻[16]，HBG系統的任務時間t0=2 000小時，利用式(2)計算出頂事件的發生概率是0.209 3。并計算各分系統的失效概率、概率重要度及關鍵重要度，從而分析各分系統失效對頂事件的影響情況。計算結果見表 3。

從計算結果可看出，在t0時刻，各分系統的失效概率排序見式(3)：

S3>S4>S2>S1

(3)

分系統關鍵重要度值越大，其在系統中越薄弱，降低該分系統失效的發生概率對于降低頂事件的發生概率有顯著效果。表3確定了當頂事件發生時，進行安全控制所應采取措施的優先順序。

表1 HBG系統故障樹編號及意義

表2 HBG系統部件失效率

表3 各分系統失效概率、概率重要度及關鍵重要度

由表 3知，緩降系統的關鍵重要度最大，其值大約為觸發系統的36倍，因此它是HBG系統最薄弱的環節，緩降系統失效對頂事件發生的概率貢獻最大。因此，可以通過改進緩降系統來快速提高HBG系統的可靠性。

3 HBG系統改進

通過對HBG系統進行可靠性分析，可以得到緩降系統為分系統中最為薄弱的環節，為提高總系統的可靠性，針對緩降系統進行改進。根據系統工作原理，緩降功能主要由充氣模塊和降落傘分離模塊實現，其中充氣模塊由電機、連桿頂針和氣囊組成，降落傘分離模塊由傳感器、電機和電路構成。為了提高系統可靠性，在組成系統時，可以增補一些工作組件，即使其中之一發生故障，整個系統依舊可以完成任務，這類系統稱為儲備系統。

依據充氣模塊特點，可設置多個氣囊腔室及相關充氣部件，本文僅給出緩降系統采用雙充氣模塊時的故障樹(見圖3)及事件C發生概率的計算公式，通過圖4可以看出，只要其中一套充氣模塊正常工作，氣囊充氣過程便可成功完成。

圖3 緩降系統雙充氣模塊故障樹

(4)

為探究最佳的充氣模塊數目，分別計算了n (充氣模塊數目)從2到5時的事件C發生概率，其結果如圖4所示。當n=2時，緩降系統失效的發生概率相對降低了53.17%，當n=3時，失效概率相對于n=2只相對降低了9.34%，同理，依次為0.83%、0.17%，可以看出，隨著充氣模塊數目的增加，失效概率的相對降低幅度逐漸變小。綜合考慮失效概率降低幅度、部件成本以及設備體積，采用雙充氣模塊較為合理。

圖4 不同充氣模塊數目下緩降系統的失效概率

在采用雙充氣模塊的前提下，針對降落傘分離模塊，在原有的傳感器-電機降落傘分離基礎上，增加水溶線-彈簧機構作為冗余組件。所增加部件失效率見表 4。

表4 增加部件失效率

表5給出了系統改進前后的失效概率，可以看出，在系統改進后，緩降系統的失效概率相對降低了86.04%，總系統的失效概率相對降低了58.29%，從而實現了對整個系統的改進。

表5 系統失效概率

4 結論

本文借助故障樹分析技術，在分析分離式飛行數據記錄與跟蹤系統的組成結構和邏輯功能關系的基礎上，搭建了以系統失效為頂事件的故障樹，得到了最小割集、頂事件的發生概率及各分系統的失效概率排序(S3>S4>S2>S1)；并通過對比各分系統的關鍵重要度，找出了緩降系統為HBG系統的薄弱環節。從而在原有結構的基礎上對緩降系統進行改進，通過計算發現，當充氣模塊多于2套時，緩降系統的失效概率并不隨著充氣模塊的遞增有顯著降低，進而采用水溶線-彈簧與傳感器-電機降落傘分離模塊、雙充氣模塊，將HBG系統失效的發生概率降低了58.29%。對整個HBG系統的改進具有指導作用。