基于FTA的某型航空發動機電子控制系統安全性分析

文/董力 吳雨婷 韓冰 陸中

1 引言

航空發動機電子控制系統完整性喪失通常表現為出現推力控制功能喪失（LOTC）事件，其事件的出現通常會對飛機安全造成嚴重后果。根據航空發動機適航規章CCAR-33-R2規定，航空發動機定型中需要對發動機控制系統進行安全評估，該項評估必須確定可能導致推力改變或影響發動機工作特性從而產生喘振或失速的故障以及這些故障的發生概率，并要求LOTC發生概率限制在1/105發動機工作小時。

故障樹分析（FTA）是一種演繹性的失效分析方法，廣泛應用于系統安全性評估工程領域，以揭示系統失效的原因。故障樹分析中分析人員從某一特定的不希望事件（頂事件）開始，在低一級的下一個層次上，系統地確定系統功能模塊中可能導致該事件發生的、全部可信的單一故障及失效組合，并逐級向下展開分析，最終相繼通過更細化（即低一層）的設計層次揭示出所有的初級事件或滿足該頂層危險事件的要求為止。

圖1：ECU結構及其輸入輸出信號

圖2：推力控制功能喪失故障樹

圖3：子樹A

圖4：子樹B

本文以某型航空發動機電子控制系統為研究對象，在詳細闡述其系統組成的基礎之上借助故障樹分析法對LOTC事件展開安全性分析，并利用CARMES軟件工具繪制相應的故障樹，通過對其事件開展定性、定量的安全性分析，驗證其該系統設計方案能夠滿足規定的安全性要求。

2 與推力控制功能相關的系統組成

航空發動機電子控制系統一般由發動機電子控制組件（ECU）、機械液壓組件（HMU）、伺服機構以及傳感器等部件組成。

2.1 發動機電子控制組件ECU

ECU是由兩臺名為通道A與通道B的電子計算機組成，其主要功能是實現發動機控制計算以及監控發動機狀態。通道A和通道B完全相同并且同時工作，但各自獨立運行。通道A和通道B接收輸入信號并分別進行信號處理，但是只有一個通道實施控制，輸出指令，稱為主用通道；另一個通道稱為備用通道。為了提高ECU的可靠性，通道A與通道B通過交叉通道數據鏈（CCDL）連接，這使得兩個通道內的輸入信息互通，即使一個通道的重要輸入信息輸入失效時，也能保證ECU能夠正常運行。ECU結構域輸入輸出信號示意圖如圖1所示。

2.1.1 ECU輸入輸出信號

對于關鍵參數，ECU的通道A和通道B分別從獨立的信號源（傳感器）接受信號，這些參數主要有：圖1中右側部分的機械液壓組件中的執行機構、解析儀的位置傳感器和一些活門的位置電門，如可變靜子葉片（VSV）、可變引氣活門（VBV）、燃油計量活門（FMV）、可變旋轉差動傳感器（RVDT）等；圖1中左側部分的靜壓（PS12、PS3、P0）、溫度（T25、T12、T3等）以及轉速（N1、N2）參數。對于重要程度稍低的參數，通道A和通道B從相同的信號源接收信號，如圖1中部的推力桿角度（TLA）、發動機排氣溫度（EGT）等相關參數。

ECU根據上述輸入參數與控制律計算并輸出相關執行機構的控制信號。

2.1.2 ECU電源ECU的通道A與B均接受來自飛機的28V直流電源以及來自專用發電機的交流電源，其中通道A接受來自飛機的28V主直流電源與專用發動機電磁線圈A中的交流電源，通道B接受來自的飛機的28V應急直流電源以及專用發動機電磁線圈B中的交流電源，專用發電機的線圈A與B是獨立的。這種余度設計能夠防止ECU電源中斷，保證某一電源失效時ECU仍然能夠安全工作。

2.2 機械液壓組件與伺服機構

HMU的主要功能是將電信號控制轉化為液壓作動，HMU分為兩個子系統，一個是燃油計量系統，一個是伺服機構；燃油計量系統主要包括：FMV、FMV解算器、FMV馬達、旁通活門、壓差活門、增壓和關斷活門等；伺服機構主要包括：力矩馬達、VSV、VBV、燃燒分級活門（BSV電磁活門）、瞬態引氣活門（TBV）、高壓渦輪間隙控制活門（HPTCC）、低壓渦輪間隙控制活門（LPTCC）、超限保護裝置等。

2.3 傳感器

航空發動機狀態傳感器一般分為壓力傳感器、溫度傳感器、速度傳感器、振動傳感器四類。常見的壓力傳感器為石英電容壓力傳感器，石英器件的振動頻率將隨著氣壓產生的應力的變化而變化，從而計算出壓力值。溫度傳感器通常包括熱電阻與熱電偶兩種類型：熱電阻傳感器是利用其電阻值隨物體溫度變化而變化的特征來測量溫度的；熱電偶傳感器利用熱電勢原理進行溫度測量。速度傳感器用于檢測發動機的轉速，利用曲軸位置傳感器來檢測發動機的轉速并向ECU輸出轉速信號。振動傳感器安裝在發動機振動監控組件內，通常包括兩個加速度計，用于感知并測量垂直位移。

3 發動機推力控制功能喪失分析

LOTC在航空發動機控制系統安全評估過程中是一種最主要頂層失效狀態，這里以發動機LOTC事件為頂事件，通過構建相應的系統故障樹，研究分析某型航空發動機電子控制系統設計方案是否滿足規定安全性要求。

3.1 故障樹構建

航空發動機的控制與調節功能主要由FMV來完成，其通過ECU由力矩馬達控制，并借助解析儀將FMV位置信號反饋給ECU。因此FMV本身故障、FMV力矩馬達故障以及ECU控制邏輯輸出信號喪失都可能導致LOTC事件，ECU控制邏輯輸出信號喪失又分為兩種信號喪失情況。如圖2給出了某型航空發動機以LOTC事件為頂事件的故障樹，表1給出了故障樹底事件及對應的故障率。

表1：故障樹底事件及底事件故障率（故障率單位：1/h）

表2：故障樹最小割集

3.2 最小割集及頂事件發生概率計算

最小割集是導致故障樹頂事件發生的不能再減少的底事件的集合，對所構建的故障樹求解，求得導致LOTC事件的所有最小割集如表2所示。

根據上述圖2，表1、表2，求解頂事件LOTC發生概率7.59E-6/小時，可以看出，LOTC事件發生概率低于航空發動機電子控制系統安全性要求的1/105發動機工作小時，表明了該系統設計方案能夠滿足規定的安全性要求。分析中，FMV卡滯、FMV電磁線圈不工作等是導致LOTC事件中的單點故障，建議在航空發動機電子控制系統使用中應定期對該類部件進行檢查，以減少單點故障事件發生。

4 結論

LOTC是航空發動機最主要的頂層失效狀態，其事件的發生會對飛機安全造成嚴重后果。本文基于故障樹分析方法對某型航空發動機電子控制系統開展了安全性分析，介紹了系統主要組成，利用CARMES軟件工具繪制了以LOTC事件為頂事件的故障樹，分析并揭示了LOTC事件產生原因，發生概率，從定性和定量分析兩個方面驗證了發動機電子控制系統滿足規定的安全性要求。