基于貝葉斯網絡的某型航空發動機失去推力控制分析

易陽 陸中 李超 楊宇平

摘要：針對某型航空發動機控制系統失去推力控制，提出了一種規范化的安全性建模方法。首先，給出了該航空發動機推力控制系統的功能與組成，分析了導致失去推力控制事件的故障原因，構建了用于描述該航空發動機推力控制功能的功能框圖。其次，利用貝葉斯網絡節點表示系統部件，考慮部件之間因果關系和條件概率，提出了基于功能框圖自動生成貝葉斯網絡的建模方法，并給出了基于團樹算法的貝葉斯網絡概率推理算法。最后，給出了工程案例，并與故障樹分析方法進行了對比，驗證了本文所提方法的有效性，本文方法避免了傳統安全性分析模型過于依賴人員經驗的問題，適用于失效具有多態特性的高集成復雜航空發動機系統。

關鍵詞：LOTC；貝葉斯網絡；團樹算法；航空發動機；適航

中圖分類號：V233.6+15文獻標識碼：ADOI：10.19452/j.issn1007-5453.2021.11.014

安全性分析既是飛機研制過程中開展安全性設計、提高飛機系統安全性的主要手段，也是審定過程中根據適航標準針對民用飛機系統開展符合性驗證與適航審定的重要方法[1-2]。在《航空發動機適航規定》第33.28條要求發動機控制系統設計和構造時失去推力控制（LOTC）事件的發生率與預期應用的安全目標一致，保證發動機控制系統部件的單點失效不會導致危害性發動機后果[3]。在美國聯邦航空局（FAA）咨詢通告文件AC 33.28-3中，LOTC是指渦輪（活塞式）發動機上的控制系統故障事件，導致在正常運行條件下無法獲得至少90%（85%）的額定推力或調節推力，并要求LOTC分析作為系統安全性分析的一部分[4]。AC 33.28-3中，規定了對于渦輪發動機，發動機電子控制系統（EECS）不應導致每10萬發動機飛行小時超過一個LOTC事件；對于第23部I、II、III類的活塞式發動機，EECS可接受水平的上限為每百萬發動機飛行小時45次（或每22222發動機飛行小時1次）的LOTC率。為了滿足條款要求，有必要對導致LOTC事件進行安全性分析。

LOTC事件涉及發動機控制系統等，其部件具有多種不同的失效模式，呈現出典型的多狀態特性。而傳統的安全性分析方法（如故障樹、可靠性框圖）都是典型的靜態二元方法，并不完全適用失效具有多態特性的系統[5-6]；馬爾可夫模型雖然可以描述失效的多態性，但是極易出現狀態空間爆炸問題[7]。為了克服上述傳統方法的不足，近年來貝葉斯網絡被廣泛應用于復雜系統的可靠性與安全性評估。貝葉斯網絡在表示多狀態單元和系統，以及不確定概率推理方面有明顯優勢[8]。綜上，目前開展安全性分析主要存在如下不足：（1）傳統安全性分析方法大多是基于二態性假設的，且利用貝葉斯網絡建模方法也大多基于故障樹構建，已經構建好的故障樹映射為貝葉斯網絡，此時貝葉斯網絡的節點仍然是二態性的；（2）目前，安全性分析模型的構建過于依賴分析人員的經驗，沒有針對系統安全性建模，提出一種規范化的安全性建模方法；（3）現有安全性分析方法主要是計算LOTC發生概率，對LOTC事件發生時各部件發生概率的研究較少。

本文將根據系統的功能框圖，建立基于貝葉斯網絡的航空發動機的LOTC分析模型。首先對發動機控制系統功能進行介紹，然后對LOTC涉及的部件失效特性進行分析，用貝葉斯網絡節點表示部件，節點之間的有向邊表示部件之間的功能邏輯關系，然后利用團樹算法對建立的模型進行正向推理與反向推理，確定LOTC失效概率及導致LOTC失效的關鍵部件。最后，通過實例分析與故障樹對比對本文方法的有效性進行了驗證。

1某型發動機控制系統功能描述

某型商用航空發動機是先進的高涵道比渦輪風扇發動機，通過發動機控制系統來運行，發動機控制系統通過對來自飛機的輸入指令做出反應來完全控制發動機系統，也為飛機提供信息，用于駕駛艙指示、發動機狀態監控、維修報告與故障排除。該發動機控制系統由電子控制組件（ECU）、液壓機械組件（HMU）和外圍部件三部分組成。

1.1 ECU

一臺雙通道的ECU通過電子方式執行發動機控制、計算和監控發動機狀態，并且具有超速保護功能。ECU的兩個通道A和B是完全相同且同時各自獨立進行工作的，通過交叉通道數據鏈（CCDL）進行連接，當一個通道的重要輸入信息輸入失效時，ECU的兩通道仍然能正常運行。

ECU接收發動機傳感器的各類信號，包括壓力傳感器收集到的環境靜壓p0、發動機靜壓ps1；溫度傳感器收集到的風扇進口溫度T12、高壓壓氣機進口溫度T25、高壓壓氣機排氣溫度T3、發動機滑油溫度Teo、高壓壓氣機機匣溫度Tcase；速度傳感器收集到的低壓轉子轉速N1、高壓轉子轉速N2。ECU通過計算輸出可變排氣閥門（VBV）、可變定子葉片（VSV）、過渡引氣閥門（TBV）、燃燒室分級閥門（BSV）、高壓渦輪間隙控制閥門（HPTCCV）、低壓渦輪間隙控制閥門（LPTCCV）等執行機構的控制信號。

1.2 HMU

一臺HMU將源于ECU的電信號轉換為液壓壓力，以驅動發動機閥門與作動筒。HMU內部有燃油計量系統和伺服機械部分，本文主要涉及燃油計量系統。

1.3外圍部件

外圍部件包括用于控制與監控的閥門、作動筒以及傳感器。其中，與發動機控制系統相關的功能包括推力控制功能、反推力控制功能、點火功能、指示功能、起動功能。本文重點對推力控制功能進行分析。推力控制功能是發動機控制系統的燃油控制與分配、幾何控制及冷卻控制的上一層次功能。其涉及的燃油系統具有燃油分配與流量控制、推力管理控制、溫度與壓力等關鍵參數信號的采集、可變幾何外形控制等功能，操縱系統的燃油關斷控制（高壓燃油關斷控制、低壓燃油關斷控制）等功能，空氣系統的冷卻空氣等功能。

2失去推力控制故障原因分析

飛機LOTC分析的范圍包括發動機電子控制系統、燃油系統、可變幾何與引氣系統、發動機滑油/潤滑系統、動力裝置系統與安裝等，本文針對發動機控制系統開展LOTC分析，僅針對發動機控制系統的相關部件，其他系統的部件不在本文研究范疇之內。

發動機推力控制功能由ECU、燃油計量閥（FMV）、FMV扭矩馬達、FMV解析儀、調速先導閥、Δp閥、旁通閥、高壓關斷閥（HPSOV）、HPSOV電磁線圈及駕駛艙面板等部件完成。發動機的燃油關閉功能由HPSOV實施，HPSOV可以由ECU通過FMV關閉或者駕駛艙面板接收到信號后控制HPSOV電磁線圈來使HPSOV關閉。ECU接受FMV解析儀反饋信號后計算FMV的位置，并通過FMV來控制HPSOV的關閉和開啟。FMV根據ECU的指令控制流向發動機燃油噴嘴的燃油。FMV扭矩馬達接收到來自ECU的電信號，并將其轉換為HPSOV的軸向運動。FMV解析儀為ECU提供與FMV位置成比例的電反饋信號，以實現閉環控制。Δp閥和旁通閥通過在閥門上保持恒定壓降來確保計量燃油與FMV面積成比例。Δp閥壓力檢測器感測到FMV兩端的壓力差。當Δp閥感知到的FMV壓力差發生變化時，旁通閥開啟或關閉來增加或減少燃油壓力。調速先導閥通過調節流向Δp閥的壓力來使得旁通閥開啟或增加。

推力控制功能框圖如圖1所示，FMV故障、FMV力矩馬達故障以及ECU輸出推力控制信號錯誤都可能導致LOTC事件。具體部件故障原因如下。

（1）ECU故障模式及原因分析

ECU的故障模式為輸出喪失，將導致LOTC事件、輸出錯誤信號或者未輸出信號給FMV扭矩馬達，其故障原因為：接收錯誤的FMV解析儀反饋信號、計算錯誤。

（2）FMV故障模式及原因分析

FMV的故障模式為卡滯，將導致其不能控制適當的燃油量，也無法在ECU控制下關閉HPSOV。FMV的故障原因為：旁通閥輸出喪失、機械故障。

（3）FMV扭矩馬達故障及原因分析

FMV扭矩馬達故障模式為輸出喪失，但由于系統冗余設計，此時故障模式為：1個/2個/3個/4個/5個/6個輸出喪失。當FMV扭矩馬達全部故障時將影響HPSOV的軸向運動。其故障原因為：ECU輸出喪失、機械故障。

（4）FMV解析儀故障模式及原因分析

FMV解析儀的故障模式為輸出喪失，發生故障時將導致不能輸出正確信息給ECU。其故障原因為：FMV卡滯、機械故障。

（5）調速先導閥、Δp閥和旁通閥故障模式及原因分析

調速先導閥、Δp閥、旁通閥的故障模式均為輸出故障。調速先導閥故障時將無法輸送合適的燃油壓力給Δp閥；Δp閥故障時將無法感知到FMV兩端的壓力差，無法傳遞正確指令給旁通閥；旁通閥故障時，無法按照指令開啟來增加或減少燃油壓力。調速先導閥的故障原因為機械故障；ΔP閥門的故障原因為：調速先導閥輸出喪失、機械故障；旁通閥的故障原因為：Δp閥輸出喪失、機械故障。

（6）HPSOV及其電磁線圈故障模式及原因分析

HPSOV的故障模式為輸出喪失，HPSOV電磁線圈的故障模式為不工作。HPSOV故障時無法實現燃油關閉功能，HPSOV電磁線圈故障時無法通電使HPSOV關閉。HPSOV的故障原因為：HPSOV線圈不工作、FMV卡滯、FMV扭矩馬達輸出喪失、機械故障。HPSOV電磁線圈的故障原因為：駕駛艙面板輸出喪失、機械故障。

（7）駕駛艙面板故障模式及原因分析

駕駛艙面板故障模式為輸出喪失，故障時無法傳遞正確的信號，使得HPSOV關閉。其故障原因為機械故障。

3基于貝葉斯網絡的LOTC分析

貝葉斯網絡是一個有向無環的圖解模型。用節點表示隨機變量，有向弧表示變量間的關系[9-11]。每個節點都附有一個概率分布，根節點所附的是邊緣分布，非根節點所附的是條件概率。貝葉斯網絡更新由事件觸發，是基于診斷的推理過程。一個簡單的貝葉斯網絡如圖2所示[12]。

3.1基于功能框圖的貝葉斯網絡構建

一般情況下，貝葉斯網絡基于故障樹與貝葉斯網絡之間的映射關系進行建模，這種建模過程較為繁瑣，本文直接利用功能框圖進行航空發動機LOTC事件的建模。依據功能框圖建立貝葉斯網絡的步驟如下。

（1）建立功能框圖

功能框圖是表示系統各個組成部分所承擔的任務或功能間的相互關系，以及系統約定層次間的功能邏輯順序、信息流與接口的功能模型[13]，是本文開展貝葉斯網絡建模的基礎。構建功能框圖時，第一步是根據失效狀態確定相關的功能，并根據功能確定實現該功能的相關系統。第二步是對系統部件分類，按照部件的具體功能將其分為三類：傳感檢測部件，主要包括各類傳感器，對工作狀態參數進行檢測，并將信息傳給信息處理與控制部件；信息處理與控制部件，主要由電子計算機及其接口組成，對收到的信息進行處理并實現控制；執行部件，主要包括各類作動器，完成信息處理與控制部件的各項具體動作。第三步是確定完成功能所需的執行部件，單個執行部件如圖3所示。此時，分析導致功能失效的執行部件、導致執行部件失效的信息處理與控制部件及導致信息處理與控制部件失效的傳感檢測部件，最后按照反方向順序進行連接。若為兩個及以上執行部件，如圖4所示。此時，先對每一個執行部件按照單個執行部件情況進行分析，然后考慮兩層部件之間是否有聯系。若為相同部件，則進行合并；若部件之間存在作用關系，則進行節點連接。同樣地，按照分析順序的反方向進行連接。為了進行功能框圖的簡化，與功能失效有關的其他影響因素直接用虛框表示。

（2）生成貝葉斯網絡結構

基于功能框圖的貝葉斯網絡有兩個層次，第一層是部件層節點，全部來自于功能框圖中涉及的部件，其中虛框內的部件稱為外部節點。第二層是功能失效節點。

將功能框圖中的部件作為貝葉斯網的節點，按照部件間的邏輯關系連接節點。基于功能框圖的貝葉斯網絡連接形式主要有順連、分連和匯連三種，如圖5所示。

依據對功能失效事件的分析，將部件節點組合指向功能失效節點。由此，生成了貝葉斯網絡結構。

（3）確定貝葉斯網絡參數

本文貝葉斯網絡參數包括兩種：一種是確定性邏輯關系，它主要是對各個部件不同失效狀態之間的因果關系分析得到的；另一種是部件不確定性，即當父節點代表的部件正常狀態時，部件仍失效的概率。

3.2基于團樹算法的貝葉斯網絡推理

團樹傳播算法是先構造一個團樹，把概率推理計算轉為團樹節點之間消息的傳遞，本質也是局部因子之間的乘積和求和運算[14]。本文采用團樹傳播算法對建立的貝葉斯網絡模型進行精確推理，具體步驟如下。

（1）構造端正圖

設y為一個有向無圈圖。如果將y中每個節點的不同父節點結合，即在它們之間加一條邊，然后去掉所有邊的方向，所得到的無向圖稱為y的端正圖。

（2）變量消元順序的確定

采用最大勢搜索算法[13]確定消元順序。規則如下：第一步，任選一個節點作為最后一個消元點，編號為n；第二步，對擁有最多相鄰已編號節點的未編號節點，編號為n-1號；第k步，按照第二步的方法找到此未編號節點，將其編號為n-k+1號。若在某一步中可選擇的未編號節點有多個，任選一個編號即可。當所有節點都被編號后，按編號從小到大的順序作為變量消元的順序。

（3）團樹的構建

采用圖消元的算法來構建團樹[15]。按照一定順序對端正圖中的變量節點進行消元。消去一個變量A之前，先構造一個由A及A所有相鄰的變量節點組成的團；消元結束后，將過程中所產生的團用一定的方式連接起來，得到一顆覆蓋貝葉斯網絡的團樹。

（4）后驗概率計算流程

4實例分析

LOTC在相應咨詢通告（AC）中要求其發生概率小于10-5每發動機工作小時[4]，民用機載系統或設備不滿足適航要求將無法裝機使用[17]。對某型航空發動機失去推力控制（LOTC）事件，涉及功能框圖如圖1所示，按照功能框圖與貝葉斯網絡結構的映射關系建立LOTC的貝葉斯網絡模型，如圖7所示。對建立的BN模型中每個節點的不同父節點進行連接并去掉所有邊的方向，得到LOTC模型的端正圖，如圖8所示。按照最大勢搜索算法可得到消元順序為：調速先導閥、Δp閥、旁通閥、FMV解析儀、LOTC、FMV、ECU、FMV扭矩馬達、HPSOV、HPSOV電磁線圈、駕駛艙面板。按照確定的消元順序，對端正圖進行消元，得到的團樹如圖9所示。對各個部件節點，不僅考慮了部件之間的相互作用關系，還考慮了當上一層影響部件正常時，故障率根據某航空公司機隊運行數據統計分析得到，具體見表1。

假設飛行時間為1h，代入上述故障率，應用已有貝葉斯網絡工具GeNIe2.0中的團樹算法，對貝葉斯網絡進行正向推理，得到LOTC故障概率為2.2599808×10-5，滿足要求的概率范圍10-5。當需要采用一定措施降低LOTC事件的發生概率時，可以假設LOTC一定發生，即設置證據P（LOTC=1）=1，進行反向推理分別得到各個部件故障發生概率，見表2。

當LOTC事件發生時，HPSOV、HPSOV電磁線圈、駕駛艙面板對LOTC事件的影響幾乎可以忽略，即為LOTC的非關鍵部件。此時，ECU、FMV、FMV解析儀發生故障的概率較高。為了降低LOTC事件的發生概率，需要對ECU、FMV、FMV解析儀等部件的相關參數設定更嚴格的概率要求。

為了驗證模型的有效性，對失去推力控制事件進行故障樹構建。如圖10所示，故障樹構建從分析頂事件發生的原因開始，逐層分析，找出每層事件，直到找出底事件為止。機械故障的概率表（見表1）已給出，代入數據，故障樹分析求得的頂事件概率為2.7609687×10-5，與基于貝葉斯網絡模型求得的概率2.2499808×10-5非常接近，說明本文所建立的基于貝葉斯網絡的航空發動機失去推力控制模型的有效性。此外，對比故障樹與貝葉斯網絡模型可以知道，利用BN進行建模極大地簡化了模型結構，避免重復。

5結束語

本文基于貝葉斯網絡對航空發動機失去推力控制（LOTC）事件進行了分析，提出針對系統的安全性建模方法，從某型發動機控制系統功能進行描述，再基于系統功能框圖進行故障原因分析，利用貝葉斯網絡進行建模與概率求解，所提出的一套流程化規范化的建模方法有效避免了傳統安全性分析模型過于依賴人員經驗的問題。同時，本文直接利用功能框圖建立貝葉斯網絡，避免了先建立故障樹再轉化為貝葉斯網絡的繁瑣過程，用節點狀態表示部件不同失效狀態，彌補了故障樹轉化為貝葉斯網絡時的二態性假設的不足；基于團樹傳播進行正向推理，得到LOTC發生概率，同時進行反向推理，找到LOTC的關鍵部件，并與故障樹分析方法進行對比，驗證了本文方法的有效性和實用性。

參考文獻

[1]Filippo D F. Airworthiness：An introduction to aircraft certification，guide to understanding JAA，EASA and FAA standards[M]. Oxford：Butterworth-Heinemann Ltd.，2006.

[2]丁水汀，張弓，蔚奪魁，等.航空發動機適航概率風險評估方法研究綜述[J].航空動力學報，2011，26（7）：1441-1451. Ding Shuiting， Zhang Gong， Yu Duokui， et al. Reviewing of probabilistic risk assessment on aero-engine airworthiness[J]. Journal of Aerospace Power，2011，26（7）：1141-1151. （in Chinese）

[3]中國民用航空局. CCAR-33-R2航空發動機適航規定[S].北京：中國民用航空局，2011. Civil Aviation Administration of China. CCAR-33-R2 Airworthiness standards： aircraft engines[S]. Beijing： CAAC， 2011. （in Chinese）

[4]Federal Aviation Administration. Airworthiness standards：aircraft engines FAR part 33 amendment33-28[S]. Washington DC：FederalAviation onAdministration，2014.

[5]Ding L，Wang H，Jiang J，et al. SIL verification for SRS with diverse redundancy based on system degradation using reliability block diagram[J]. Reliability Engineering and System Safety，2017，165（9）：170-187.

[6]Ghadhab M，Junges S，Katoen J P，et al. Safety analysis for vehicle guidance systems with dynamic fault trees[J]. Reliability Engineering and System Safety，2019，186（6）：37-50.

[7]Zhang L，Zhang D，Hua T，et al. Reliability evaluation of modular multilevel converter based on Markov model[J]. Journal of Modern Power Systems & Clean Energy，2019，7（5）：1355-1363.

[8]Wood A P. Multistate block diagrams and fault trees[J]. IEEE Transactions on Reliability，1985，34（3）：236-240.

[9]Helge L，Luigi P. Bayesian networks in reliability[J]. Reliability Engineering and System Safety，2005，92（1）：92-108.

[10]Schneider R，Th？ns S，Straub D. Reliability analysis and updating of deteriorating systems with subset simulation[J]. Structural Safety，2017，64（1）：20-36.

[11]Mi J，Li Y F，Peng W，et al. Reliability analysis of com-plex multi-state system with common cause failure based on evidential networks[J]. Reliability Engineering and System Safety，2018，174（1）：71-81.

[12]徐琳，宋萬強，嚴沖，等.基于威脅評估和擴展Voronoi圖的戰術飛行軌跡規劃方法[J].航空科學技術，2019，30（1）：35-43. Xu Lin， Song Wanqiang， Yan Chong， et al. Tactical flight trajectory planning method based on threat assessment and extendedVoronoidiagram[J].AeronauticalScience& Technology， 2019，30（1）：35-43. （in Chinese）

[13]Wood A P. Multistate block diagrams and fault trees[J]. IEEE Transactions on Reliability，1985，34（3）：236-240.

[14]王飛，劉大有，薛萬欣.基于遺傳算法的Bayesian網中連續變量離散化的研究[J].計算機學報，2002，25（8）：794-800. Wang Fei， Liu Dayou， Xue Wanxin. Discretizing continuous variables of Bayesian networks based on genetic algorithms[J]. Chinese Journal of Computers，2002，25（8）：794-800. （in Chinese）

[15]李志瑤，宗芳，張屹山.貝葉斯網絡推理分析的團樹傳播算法：以停車行為分析為例[J].長春大學學報，2012，22（5）：505-509. Li Zhiyao， Zong Fang， Zhang Yishan. Cluster tree propagation algorithm for bayesian network reasoning analysis：taking parking behavior analysis as an example[J]. Journal of Changchun University， 2012， 22（5）： 505-509. （in Chinese）

[16]張連文，郭海鵬.貝葉斯網引論[M].北京：科學出版社，2006. Zhang Lianwen， Guo Haipeng. Introduction to Bayesian nets[M]. Beijing： Science Press， 2006. （in Chinese）

[17]李哲，張浩馳，王輝，等.民用機載系統與設備適航取證研究[J].航空科學技術，2019，30（12）：30-37. Li Zhe， Zhang Haochi， Wang Hui， et al. Study on airworthiness forensicsofcivilairbornesystemsandequipment[J]. Aeronautical Science & Technology， 2019， 30（12）： 30-37. （in Chinese）

Analysis of Loss of Thrust Control for a Certain Aeroengine Based on Bayesian Network

Yi Yang1，Lu Zhong1，Li Chao1，Yang Yuping2

1. Nanjing University of Aeronautics and Astronautics，Nanjing 211106，China

2. Zhenjiang Technician College，Zhenjiang 212114，China

Abstract： In view of the loss of thrust control of a certain type of aeroengine control system， this paper proposes a standardized safety modeling method for a certain type of aeroengine control system. Firstly， the function and composition of the thrust control system of the aeroengine are given， the causes of the failures leading to the loss of thrust control events are analyzed， and a functional block diagram describing the thrust control functions of the aeroengine is constructed. Secondly， Bayesian network nodes are used to represent system components， taking into account the causal relationship and conditional probabilities between components. A modeling method for automatically generating Bayesian networks based on functional block diagrams is proposed， and Bayesian networks based on clique tree algorithm are presented. Probabilistic inference algorithm on Bayesian network using clique tree algorithm is carried out. Finally， the analysis of the example is carried out and compared with the fault tree analysis method， which verifies the effectiveness of the method proposed in this paper. The method in this paper avoids the problem that the traditional safety analysis model relies too much on personnel experience， and is suitable for highly integrated and complex aeroengine systems with polymorphic failure characteristics.

Key Words： LOTC； Bayesian network； clique tree algorithm； aeroengine； airworthiness