FADEC系統多故障TLD蒙特卡羅仿真分析

閆 鋒，侯甲棟

(中國民用航空飛行學院航空工程學院，四川廣漢618307)

1 引言

時間限制派遣(Time Limited Dispatch，TLD)允許航空發動機控制系統存在已知故障的有限的時間派遣，是發動機冗余控制系統降級使用的一種技術模式。但TLD實施時，必須使系統滿足適航要求的可靠性[1，2]。該水平設定為早期使用的液壓機械控制系統所需安全性的水平相匹配，并指定每百萬飛行小時10個故障的最大限制，作為系統用于喪失推力控制LOTC的平均完整性水平。在滿足這個平均值水平時，可以根據系統的瞬時LOTC率所在范圍對派遣類型及其類型分類，時間根據系統中存在的故障的重要性而定。因此為減少飛機的地面停場和維護時間，有必要對航空發動機FADEC系統的TLD分析，當FADEC系統的冗余單元發生故障時，允許在執行維修活動之前在限定的時間內帶故障運行，避免飛機由于非計劃維修導致的航班延誤或取消，在保障飛機安全性的基礎上，提高了飛機準點率，改善了運行的經濟性。

時間限制派遣技術實施的基礎是適航規章。如FAR-33部規章規定發動機的LOTC率要低于10-5次/小時[3，4]。另外工業標準提供了實施時間限制派遣策略的建議方法。SAE-ARP-5107B《電子發動機控制系統的限時派遣分析指南》明確給出了時間加權平均法(TWA)、馬爾可夫模型法(MA)用于TLD的步驟與計算過程，兩種方法在解決發動機狀態復雜隨機性問題方面較為局限[5，6]。英國拉夫堡大學學者Prescott DR和Andrews JD首先提出了使用蒙特卡羅仿真的方法應用于FADEC系統TLD分析的研究，但分析對象多為單故障派遣的情況[7]。陸中等學者對比了單狀態馬爾科夫模型和蒙特卡羅模型的優劣[8]。

本文采用蒙特卡羅模擬的方法可以模擬任何狀態下的發動機可靠性模型，解決了航空發動機狀態復雜隨機性問題，對不同維修策略下的多故障FADEC進行TLD分析。

2 FADEC系統的多故障維修性分析

因為FADEC系統采用余度技術設計，具有較高的可靠性。正常情況下，冗余元件的單點故障不會直接導致LOTC事件，多故障可能會導致LOTC事件，此時系統的失效率λLOTC(t)是時間的函數，即失效率隨著派遣時間間隔的增加而增大[9]。

單點故障在馬爾科夫模型TLD分析中是在派遣結束時將其完全修復[10]。但對于多故障模型，派遣間隔結束時，可能仍存在有多個部件故障未修復的情況，在使系統的瞬時LOTC率滿足要求的平均完整性水平條件下，運營人可以根據當時所處的維修環境選擇修復其中的部分故障，使系統重新進入可派遣狀態，如：系統處于限時派遣狀態時，故障部件可按照“先壞先修”的原則進行；若系統處于LOTC狀態，則按照關鍵部件優先維修的原則進行。

在蒙特卡羅仿真中，默認采用便于操作最小工作量的維修策略，即只對派遣間隔結束的故障進行修理。①TLT為的最長限時派遣間隔，故障保留時間達到TLT時必須完成維修；②當ND類故障發生后，可以選擇立即修復在此發生之前的故障，使其滿足ST或LT類派遣的要求，從而將故障派遣間隔調整為TST或TLT；遵循以上兩條原則的前提下，對FADEC系統的多故障TLD分析。

3 蒙特卡羅仿真步驟

TLD分析的蒙特卡羅仿真程序可概述為：通過蒙特卡羅模型生成服從系統組成單元可靠性分布的隨機壽命，即單元的MTTF。當某單元工作時間達到隨機壽命時，認為此時單元發生故障，計算瞬時LOTC率，并根據系統的瞬時LOTC率來判斷派遣類型與時間間隔，同時按照選定的最小工作量的維修策略確定故障修復時間。當單元的故障導致系統進入LOTC狀態時仿真終止，記錄仿真從開始到結束時間即為系統的LOTC狀態前時間(TLOTC)，進行多次仿真就可得到系統在給定派遣間隔下的平均LOTC時間(TMTL)，其倒數為系統的平均LOTC率(FLOTC)。給定不同的TST與TLT，經過程序仿真可得到與之對應的一系列FLOTC，進而得出函數關系FLOTC=f(TST，TLT)。

蒙特卡羅仿真的步驟如下(圖1所示)：

1)根據FADEC系統的組成和工作方式建立可靠性模型，給定可靠性模型中組成單元的失效率λi，根據各單元的可靠度分布函數Ri以及建立模型的可靠性關系，確定系統的可靠度分布函數Rs。

2)定義向量TLOTC用于記錄每次導致系統進入LOTC狀態的時間；定義向量TMTL用于儲存變化向量TLOTC的不同均值時間；輸入給定的派遣時間間隔TST與TLT。

3)根據TMTL的變化率判斷是仿真否的終止，認為當TMTL的變化率ΔTMTL小于0.1%時認為其收斂，此次仿真結束，輸出FLOTC=1/TMTL(N)。否則進入步驟4)。

4)初始化各元件的可靠度函數Ri，根據給定各元件的失效率λi生成一組服從元件壽命的分布的隨機壽命trand(i)，組成向量T；定義由0和1組成的狀態向量S(0表示元件故障，1表示正常)；

5)在T中選出隨機壽命最小的元件m，及其壽命值tm=min(T)；若此時元件完好Sm=1，認為其在tm時刻發生故障，令Sm=0且Rm=0，進入步驟6)；若元件m已經進行故障保留sm=0，則令sm=1，更新R(m)，表示單元m在tm時刻被修復，進入步驟8)。

6)判斷系統是否進入LOTC狀態，根據Rm的變化重新計算Rs，若Rs=0，則進入LOTC狀態，TLOTC=max(tm)，TMTL=TLOTC，返回步驟3)；否則，進入步驟7)。

7)確定派遣類別。由Rs和式(1)計算系統的瞬時LOTC率λLOTC，根據λLOTC的值確定故障的派遣類別：

(a).LT：更新T，tm=tm+TLT;

(b).ST：更新T，tm=tm+TST;

(c).ND：更新T：tm=tm+trand;更新S：Sm=1；更新R(m);

8)更新T：tm=tm+trand;返回步驟5)。

4 建模與仿真分析

4.1 LOTC事件定義

TLD分析只考慮系統中可能導致LOTC事件的元件故障[6]。LOTC事件的定義參考文獻[11]，導致LOTC事件的元件參考文獻[12]。

4.2 系統可靠性模型

控制系統中控制傳感器都是雙冗余度，EEC的一條控制通道輸入的同時可以通過跨通道數據鏈CCDL被另一個通道獲取，當部分輸入信號失效后仍允許EEC雙通道保持工作。FADEC系統的串并聯模型(如圖2所示)。

圖1 多故障TLD分析的蒙特卡羅模擬仿真流程

圖2 FADEC系統的可靠性模型

FADEC系統的可靠度分布函數為

(1)

系統元器件的失效率如表1所示。

表1 FADEC系統組成元器件失效率

4.3 仿真分析

在仿真計算過程中，假設初始時間和修復結束時的所有元件都為新件，且各元件壽命均服從指數分布。系統模型一旦因組成單元故障而失效，則時間停止，未發生故障的部件將不會繼續工作且不會發生故障，忽略修復元件的時間對系統LOTC時間的影響。

在此前提下，取短時派遣間隔上限TST=250h，長時派遣間隔分別取TLT=1000h，2000h，3000h，4000h，5000h，6000h，7000h。編寫的蒙特卡羅程序對FADEC系統時間限制派遣多次仿真，求得不同派遣間隔下所對應的LOTC率FLOTC的仿真結果如表2所示。

表2 系統在不同派遣間隔下的LOTC率

擬合函數關系FLOTC=f(TLT)如圖4所示。

從圖中可以看出，FLOTC隨著TLT的增加而增大，擬合函數為

(2)

在系統滿足平均安全性要求FLOTC=10-5h-1的條件下，即可求得系統最大派遣時間TLT=2992h。

從圖3中和擬合的函數關系可以得出系統的FLOTC曲線為開口向下的拋物線，LOTC率前期的增長速度隨著派遣時間的不斷增加的逐漸變緩。

圖3 FADEC系統的FLOTC曲線

5 結論

由FADEC系統多故障TLD的蒙特卡羅模擬仿真分析可知，對FADEC系統的多故障采用較為保守的維修策略，即ST類(小于500h)和LT類(不小于500h)故障可派遣間隔結束后需立即修理，不延長故障保留時間，維修策略縮短了部分元件的維修間隔，損失了一定的經濟性，但卻很大程度的保證了FADEC系統在限時派遣階段的可靠性。但當派遣間隔超過7000h時，為持續保證系統的平均安全性水平，長時間的故障保留會使派遣間隔內發生故障的維修次數增加，系統的平均LOTC率會出現略有下降或維持不變的趨勢，但是因為維修次數增多，維修成本隨著增加，故不建議對任何長時多故障進行保留派遣，即長時類(大于7000h)多故障不執行故障保留策略。