民用航空發動機頂層故障事件的概率計算研究

連 超

(中國航發商用航空發動機有限責任公司，上海 200241)

0 引言

飛行安全是民用飛機的永恒主題。為了保證民用飛機的飛行安全，新研發動機應具備要求的安全性水平。

安全性是通過設計賦予民用航空發動機的重要特性，旨在將影響飛機安全性的發動機頂層故障事件的概率降低至可接受狀態，即影響后果越嚴重的發動機頂層故障事件應該越不可能發生[1-2]。為了確保發動機的安全性達到飛機安全性設計要求和適航要求，首先需要識別發動機頂層故障事件(頂事件)，分析導致頂事件發生的潛在原因及其途徑，從上到下建造導致頂事件發生的故障樹。然后，從定性與定量角度對故障樹進行分析，確定發動機關鍵組件和各個組件的失效率要求，通過設計解決措施將頂事件的發生概率降低至可接受狀態。

目前，國內在頂事件概率計算方面的研究主要集中在通過故障樹最小割集計算頂事件發生概率[3-6]，國外相關文獻[7-9]提到了頂事件概率計算方法，但是均未研究僅在特定飛行階段內頂事件發生才會導致考慮的故障影響后果。

因此，為了保證運算精度使頂事件概率更接近真實值，在計算頂事件發生概率時，除了運用故障樹最小割集外，有必要深入考慮頂事件的特定飛行階段、底事件失效率及其風險時間等影響因素。本文結合實際工程經驗，對發動機頂層故障事件的概率計算方法和過程進行研究。

1 故障樹的建造方法

分析人員從一個不希望發生的發動機頂層故障事件(頂事件)開始，逐層向下分析確定引起頂事件發生的原因，從上到下逐級建造故障樹。下面簡要說明故障樹的組成要素及其建造過程。

1.1 故障樹的組成要素

故障樹的組成要素包括兩類符號：事件符號和門符號[8]。事件符號表示故障樹中各種故障狀態或不正常情況。門符號用于描述故障樹中各種事件之間的邏輯關系，門符號在故障樹中不應直接相連，其輸入和輸出都應該是事件。故障樹組成要素的簡要說明如圖1所示。

圖1 故障樹組成要素示例圖

1.2 故障樹的建造過程

以一個不希望發生的發動機頂層故障事件(頂事件)作為對象，分析導致頂事件發生的直接原因(中間事件)，使用邏輯門將識別出的中間事件與頂事件進行連接。以此類推，向下演繹分析導致中間事件發生的直接原因，直至分析至約定層次或者無需繼續向下展開為止，此時的事件為故障樹底事件，使用邏輯門將識別出的底事件與中間事件進行連接。根據上述過程，可以建造一顆以頂事件為“根”、中間事件為“節”、底事件為“葉”，使用邏輯門連接“根、節、葉”的倒置樹。

2 故障樹分析的開展時機及作用

根據航空工業界認可的行業標準，安全性評估過程主要包括：功能危險性評估、初步系統安全性評估和系統安全性評估[8]。其中，初步系統安全性評估過程和系統安全性評估過程都應開展故障樹分析，在以上兩個過程中故障樹分析的作用分別為：

1)在初步設計階段[10]，初步系統安全性評估過程中的故障樹分析以頂事件(功能危險性評估識別出的功能失效狀態)概率要求(即發動機安全性目標)為對象，對頂事件概率要求逐級向下分配，得到發動機系統/部件/組件失效概率預算值，作為系統/部件/組件的安全性設計要求；

2)在詳細設計階段和試制與驗證階段[10]，系統安全性評估過程中的故障樹分析(可用設計細節可能會引起初步系統安全性評估中的故障樹發生更改)對頂事件概率要求進行符合性分析，將來自故障模式影響分析的失效率數據輸入至故障樹底事件，計算得出故障樹頂事件的發生概率，用于證明發動機設計符合功能危險性評估中功能失效狀態的安全性目標。

3 發動機頂層故障事件的概率計算模型

為了得到發動機頂層故障事件(頂事件)的發生概率，需要確定引發頂事件的底事件組合(即最小割集)，然后考慮所有最小割集的概率、頂事件的飛行階段影響因素來計算頂事件的發生概率。

3.1 計算頂事件的發生概率

通過發動機功能危險性評估識別出功能失效狀態(發動機頂層故障事件)，在特定飛行階段內功能失效狀態的發生才會產生所考慮的失效狀態影響。如果功能失效狀態發生在特定階段之外，則失效狀態影響不會發生。為了考慮功能失效狀態的飛行階段影響因素，將功能失效狀態所在特定飛行階段影響因素定義為條件事件，故障樹示例如圖2所示。

圖2 考慮功能失效狀態飛行階段影響因素的故障樹示例

根據圖1中禁止門的定義，功能失效狀態(頂事件A)發生概率的計算式如下：

P(A)=P(B)×F(C)

(1)

式中：

P(A)是功能失效狀態(頂事件A)的發生概率；

P(B)是功能失效狀態原因(中間事件B)的發生概率；

F(C)是功能失效狀態的飛行階段影響因素(條件事件C)，計算方法為功能失效影響所在特定飛行階段時間占整個飛行階段時間的比例。

為了計算功能失效狀態原因(中間事件B)的發生概率，需要使用導致中間事件B發生的底事件組合(即中間事件B的最小割集)及其概率。對于中間事件B的發生概率，計算式為：

(2)

式中：

P(Gi)是第i個最小割集Gi的概率，G1，…,Gn是導致中間事件B發生的所有最小割集。

最小割集中底事件類型不同，最小割集的概率計算方法也不同。按照故障影響后果，可將底事件分為兩類，即顯性故障和隱蔽故障：

1)顯性故障：可被飛行機組或維修人員察覺的故障。也就是，通過其故障影響后果，在下一個航班前顯性故障的發生可被探測到；

2)隱蔽故障：發生時未被檢測或未通告的故障。通常，隱蔽故障使保護性機理喪失作用，當被保護功能異常時，隱蔽故障的發生才可被探測到。

3.1.1 最小割集中底事件全是顯性故障

對于最小割集中底事件全是顯性故障的情況，在飛行開始前，底事件對應組件/部件/系統都正常運行，同一次飛行中最小割集中底事件(顯性故障)全部發生而引發中間事件B。對于最小割集Gi中各底事件發生概率進行相乘運算，就可以得到每次飛行中最小割集Gi的概率，計算式為：

(3)

式中：

P(Gi)是第i個最小割集Gi的概率；

P(Dj)是最小割集Gi中底事件Dj的發生概率，D1,…,Dm是最小割集Gi中所有底事件。

3.1.2 最小割集中包含隱蔽故障底事件

對于包含隱蔽故障底事件的情況而言，隱蔽故障可在檢查間隔時間內的任何一次飛行中發生。因此，分別考慮隱蔽故障發生在檢查間隔時間內任何一次飛行中，求出每種情況下最小割集的概率值，并將各概率值求和，再除以檢查間隔時間內飛行次數得到每次飛行中最小割集的概率。下面結合最小割集中包含顯性故障底事件、隱蔽故障底事件且有順序要求的情形[8]，推導該情形下最小割集概率的計算式。

假設最小割集Gi中包含底事件Dj(隱蔽故障)和底事件Dk(顯性故障)，底事件Dj的檢查間隔時間為T，底事件Dj對應組件/部件/系統可在對其檢查時(時刻=0)與下一次對其檢查時(時刻=T)之間的任何時間點故障，飛機的平均飛行時間為t0。

對于小概率事件，兩個底事件以任一順序發生的概率幾乎相等。在同一次飛行中，為了引發中間事件B，底事件Dj(隱蔽故障)須在底事件Dk(顯性故障)之前發生，其順序要求系數為0.5。在底事件Dj的檢查間隔時間T內，飛機共進行n次(n是不超過T/t0的最大整數)飛行。每次飛行中最小割集Gi的概率的計算過程如下：

1)自從底事件Dj上次檢查后的首次飛行中，底事件Dj首先發生和底事件Dk后續發生將導致中間事件B發生，其順序要求系數為0.5，最小割集Gi的概率為0.5P(Dj)×P(Dk)；

2)自從底事件Dj上次檢查后的第二次飛行中，底事件Dj在兩次飛行中任一次失效，底事件Dk在第二次飛行中失效，兩種情況下的發生概率分別為：

(1)底事件Dj在第一次飛行中發生和底事件Dk在第二次飛行中發生將導致中間事件B發生，最小割集Gi的概率為P(Dj)×P(Dk)；

(2)底事件Dj在第二次飛行中首先發生和底事件Dk后續發生將導致中間事件B發生，其順序要求系數為0.5，最小割集Gi的概率為0.5P(Dj)×P(Dk)。

因此，第二次飛行中最小割集Gi的概率為1.5P(Dj)×P(Dk)。

3)以此類推，自從底事件Dj上次檢查后的第n次(最后一次)飛行中，底事件Dj在n次飛行中任一次失效，底事件Dk在第n次飛行中失效。該情況下，第n次飛行中最小割集Gi的概率[(2n-1)/2]×P(Di)×P(Dk)；

4)每次飛行中最小割集Gi的平均概率等于每次飛行的發生概率之和除以檢查間隔時間內飛行次數n，計算式如下：

(4)

式中：

P(Gi)是第i個最小割集Gi的概率；

n是不超過T/t0的最大整數；

P(Dj)是最小割集Gi中底事件Dj的發生概率；

P(Dk)是最小割集Gi中底事件Dk的發生概率。

3.2 計算底事件的發生概率

為了符合適航規章對頂事件的安全性定量要求，需要計算每飛行小時平均概率[3]。在計算過程中涉及的單個組件/部件/系統假定處于正常使用階段，其失效率特征符合浴盆曲線中的偶然失效階段。也就是，組件/部件/系統的失效率近似為常數，其壽命服從指數分布，底事件(組件/部件/系統的失效)的發生概率僅和組件/部件/系統使用時間的長短有關，其發生概率為：

P(Dj)=1-e-λjtj

(5)

式中：

P(Dj)是底事件Dj的發生概率；

e是自然常數；

夜里戴菲兒躺在中間，艾莉和秦川，各守一側。每夜艾莉都會驚醒好幾次，她知道，戴菲兒隨時可能死去。戴菲兒早已不能下地，吃喝屙撒睡，全都需要艾莉和秦川的照顧。有時艾莉試圖喚來女傭，秦川急忙制止她說，讓我來吧！他明曉戴菲兒的心思，他想在她生命的盡頭，給她一點“做人”的尊嚴。想想便覺得滑稽，兩個人為一個即將報廢的玩偶夜不能寐，兩個人為這個玩偶的所謂尊嚴筋疲力盡，這樣的事情說出去，絕不會有人相信。可是這樣的事情每天都在發生，艾莉和秦川，已經很久沒有做愛。

λj是底事件Dj對應組件/部件/系統的恒定失效率；

tj是底事件Dj的風險時間。

3.2.1 確定底事件的失效率

對于初步系統安全性評估過程中的故障樹分析，底事件的失效率可以參照已投入使用的相似設備的統計數據進行初步分析。對于系統安全性評估過程中的故障樹分析，底事件的失效率應與故障模式影響分析中的失效率對應，底事件失效率的來源可以是航線統計數據、試驗數據、其它廣泛使用的工業標準和手冊。

3.2.2 確定底事件的風險時間

顯性故障底事件和隱蔽故障底事件分別具有不同的風險時間[8]，下面分別說明：

1)顯性故障底事件的風險時間

(1)如果顯性故障底事件對應組件/部件/系統在整個飛行過程中都使用，則該底事件的風險時間等于估計的平均飛行時間；

(2)如果顯性故障底事件對應組件/部件/系統僅在特定飛行階段使用，并且已知使用之前它可正常工作，則該底事件的風險時間等于從功能檢查到特定飛行階段結束所耗用的時間；否則該底事件的風險時間等于從起飛到特定飛行階段結束所耗用的時間。

2)隱蔽故障底事件的風險時間

對于隱蔽故障底事件而言，其風險時間為對應組件/部件/系統上次檢查其正常工作與再次檢查其正常工作之間的時間段，即該底事件的風險時間為對應組件/部件/系統的檢查間隔時間。

4 示例

為了縮短飛機著陸后的滑跑距離，大型民用客機發動機上通常設有反推力裝置，通過阻擋涵道氣流使之反向，以形成反向推力，使飛機高效地減速。

按照CCAR-33R2第33.75條的要求，“與駕駛員命令的推力方向相反的較大的推力”是危害性發動機后果，申請人必須表明，危害性發動機后果的預期發生概率不超過定義的極小可能概率(概率范圍是10-7～10-9次/發動機飛行小時)[11]。造成“與駕駛員命令的推力方向相反的較大的推力”的發動機失效與飛行階段有關，會導致與飛機操縱有關的危險情況，“要求反推力時卻出現較大的前進推力”可以被歸類為危害性發動機后果[1-2]。也就是，發動機頂層故障事件“要求反推力時卻出現較大的前進推力”是危害性發動機后果，其發生概率應不超過定義的極小可能概率。

根據故障樹建造過程，逐層向下分析導致發動機頂層故障事件“要求反推力時卻出現較大的前進推力”發生的原因。首先，在飛機著陸時需要反向推力使飛機減速，“要求反推力時卻出現較大的前進推力”事件在飛機著陸階段才會造成危害性發動機后果。其次，可從以下兩方面分析其發生的直接原因：

1)反推著陸時未展開；

2)出現非指令的較大前進推力。

根據上述分析，得到“要求反推力時卻出現較大的前進推力”的故障樹如圖3所示。

圖3 “要求反推力時卻出現較大的前進推力”的故障樹

頂事件A的影響階段為飛機著陸階段，中間事件B的最小割集是底事件D1和底事件D2。根據發動機頂層故障事件的概率計算方法，使用頂事件的飛行階段影響因素和最小割集概率計算頂事件A的發生概率為P(A)=P(B)×F(C)=[(1-e)-λFt0]×β，其中β為飛機著陸階段時間占整個飛行階段時間的比例。

5 結論

本文面向民用航空發動機的安全性設計，從安全性要求出發，使用故障樹對發動機頂層故障事件的潛在原因及其途徑進行建模，給出了故障樹分析的開展時機及作用。然后，考慮頂事件的飛行階段影響因素和故障樹最小割集的概率，給出了頂事件發生概率的計算模型，并結合示例對該計算方法進行應用。

此外，本文僅給出發動機頂層故障事件的概率計算模型，未說明降低頂事件概率的措施。為了將頂事件發生概率降低至可接受狀態，可從提高發動機組件可靠性、采取冗余設計、消除底事件等方面開展進一步研究。