基于模型的直升機發動機不可控火情安全性分析

周凱琳

（中國直升機設計研究所，江西 景德鎮 333001）

渦軸發動機通過燃燒室高溫高壓燃氣驅動渦輪旋轉，為直升機旋翼和尾槳提供所需功率，是直升機的動力來源。發動機附件的燃油系統和滑油系統管路設備布局緊湊，且存在漏油風險，電氣設備線路錯綜復雜，熱端外機匣溫度最高可達約900℃，存在發動機失火的風險。發動機著火不僅造成發動機自身損壞，導致直升機損失功率，不可控的火情還可能蔓延至飛機其它部位，對飛行安全造成嚴重威脅。CCAR-33R2《航空發動機適航規定》是發動機適航標準，第33.75條規定“不可控火情”為危害性發動機后果，其預期發生概率不應超過極小的范圍，即10-7～10-9次/發動機飛行小時。發動機不可控火情由發動機著火且無法滅火造成，涉及發動機燃油系統、滑油系統、機械結構以及直升機上滅火系統、動力排放系統等多系統的交聯。直升機和發動機設計人員應通過故障樹分析驗證設計安全性并針對識別薄弱環節予以改進。傳統的人工故障樹分析方法靈活方便，但其分析過程受限于分析人員的經驗和理解，易產生疏漏。基于模型的故障樹分析方法具有準確性和唯一性，分析復雜系統時優勢明顯，且其可以根據系統架構的變化同步更新，節省大量人力成本，提高安全分析的效率。本文使用基于模型的安全性分析方法MBSA對直升機發動機不可控火情進行建模，通過simfia軟件自動建立故障樹，進行概率計算并通過最小割集分析識別設計薄弱環節，提出改進建議。

1 與發動機火情各系統故障分析

發動機起火需要同時滿足著火三要素，即同時出現可燃物、助燃物以及點火源。發動機燃油系統和滑油系統集成在發動機附件機匣內，系統的泄露可能導致可燃液體暴露在發動機附件或發動機艙內。發動機燃油系統主要由燃油泵、燃滑油熱交換器、油濾、燃油管路、燃油調節器、燃油關斷活門等部件組成的。發動機滑油系統主要由滑油箱、供油泵、回油泵、滑油濾、金屬屑磁堵、燃滑油熱交換器、油氣分離器等部件組成。發動機燃油、滑油排放管路分別用于收集并排出發動機滲漏的燃油和滑油。發動機包含復雜的電氣設備和線路，連線松動、摩擦、腐蝕和老化可能導致短路跳火，產生高能電弧，進而點燃泄露的發動機燃油或滑油，引發火情。渦軸發動機外機匣溫度最高可達約900℃，因此需利用排氣管引射大量冷空氣為動力艙進行冷卻降溫。若排氣管變形或動力艙冷卻孔堵塞將可能導致艙內超溫，增加起火風險。若燃燒室機匣冷卻喪失可能導致機匣燒穿，動力艙將直接暴露在明火中。直升機動力艙備有火警探測系統和滅火系統，用于探測動力艙火情、傳遞告警信息和滅火。滅火系統包括火警探測器、火警控制盒、固定滅火瓶、滅火導管等。火警探測器功能喪失、控制盒故障或滅火瓶卡滯、導管堵塞等都將導致無法探測火情或滅火失敗。根據上述分析，梳理以上各系統部件與發動機火情可燃物、點火源產生相關的故障模式以及故障概率、故障模式對應頻數比如表1。

表1 各部件故障模式

2 MBSA分析方法

2.1 MBSA概述

基于模型的安全性分析方法（model-based safety analysis, MBSA）是以模型為基礎的安全性分析方法。自20世紀90年代以來，MBSA的方法得到快速發展，并在航空、交通等領域被廣泛使用。傳統的安全性分析方法為分析人員依照其對系統架構的理解，手動建立故障樹并進行后續分析。人工建立的故障樹因分析者思路不同而產生差異，且故障樹不能隨系統同步變化，一旦系統架構有所變動，故障樹將需要重新建立，耗費大量人力和時間。MBSA方法由系統模型、故障模式傳遞等輸入自動進行FTA、FMEA等安全性分析和計算，大幅提高了分析準確性和計算效率。

2.2 抽象化建模

使用simfia軟件對發動機不可控火情所涉及的系統和部件進行建模。將發動機、排放系統、直升機動力艙滅火系統各組成抽象化為模型模塊，并根據各系統的結構、組成、功能，以及相互之間的層級、關聯關系、信息交互定義模塊之間的輸入輸出的關系和類型。軟件中由方塊進行表示各個模塊，輸入和輸出分別由方塊左右兩邊的空心圈和實心圈表示，進行連線以建立模塊之間的輸入輸出關系。

2.3 故障模式定義和傳遞

針對simfia軟件內設的故障模式進行擴展，根據第二節分析內容定義各模塊內部的正常工作狀態及故障模式，并配置各故障模式發生概率。基于模塊內部故障模式以及輸入輸出關系，建立模塊間故障模式傳遞邏輯，必要時使用代碼進行邏輯關系的確立和補充。

2.4 模型驗證

模型建立完成后需要對模型各模塊及相互之間功能、故障傳遞的邏輯關系進行驗證，以確定模型準確反應系統實際工作過程，邏輯無矛盾和錯誤。

2.5 模型確立

通過上述步驟建立發動機不可控火情相關的系統模型及子模型如表2。

表2 系統模型

3 發動機不可控火情安全性分析

3.1 故障樹分析

simfia軟件基于模型自動生成故障樹如圖1、2。故障樹確立了自“燃油泵泄露”“排放管路泄露”等可燃物泄露底事件、“電氣線路短路”“機匣燒穿”等產生點火源底事件、“火警探測器失效”等直升機滅火喪失底事件向上至發動機不可控火情頂事件的邏輯傳遞關系。

根據故障樹計算，頂事件概率為1.21×10-14/Fh，滿足CCAR-33R2對發動機不可控火情的指標要求。其中發動機起火概率為7.008×10-10/Fh，直升機滅火喪失的概率為1.771×10-5/Fh。

3.2 最小割集和重要度分析

通過simfia軟件進行故障樹最小割集分析，該系統不存在一階、二階最小割集。三階割集有24個，如表3所示。

表3 三階最小割集

其中EV1基本事件Birnbaum重要度為5.42×10-9，EV8及EV11均為7.009×10-9，為故障樹所有基本事件中重要度最高的項目。Birnbaum重要度用來衡量系統不可用度對組件不可用度變化的敏感性。因此為提高發動機不可控火情安全性，應重點提高發動機燃油進油接口、直升機滅火瓶和直升機滅火管路的可用度。發動機燃油進油接口為動力艙出現可燃物事件的單點故障。應通過改善結構設計、提高制造工藝以及控制與直升機供油管路裝配質量等途徑降低該部件失效概率。直升機動力艙應設置排泄措施以確保泄漏在動力艙平臺的燃油可以盡快排出，避免油氣聚集增加著火風險。直升機滅火系統通常采用增加余度的設計方法以滿足多發滅火需求，并提高滅火的任務可靠性，例如設置多個滅火瓶，滅火劑可輸送至每個動力艙；或設置多個火警探測器，用于探測動力艙多個位點的溫度。

4 結語

本文對CCAR-33R2發動機危害級事件“不可控火情”進行基于模型的安全性分析。針對直升機發動機著火且滅火喪失頂事件通過軟件建立直升機、發動機相關部件模型，自動生成故障樹并進行最小割集、重要度分析。經分析，發動機燃油進油接口、直升機滅火瓶和滅火管路為設計薄弱環節，可對其通過余度設計等方法進行改進以提高頂事件安全性。