基于STPA的FADEC系統TLD安全性方法研究

閆 鋒，徐文韜

(中國民用航空飛行學院 航空工程學院，四川 廣漢 618307)

0 引言

全權限數字發動機控制系統(Full Authority Digital Engine Control System，FADEC)是連接飛機控制系統和動力系統的中間件，作為動力系統中樞對當代發動機故障監測隔離與健康管理等愈加重要。以GE GP7000為代表的第三代FADEC系統的雙通道冗余架構，直接影響發動機故障派遣決策的安全性和經濟性需求。因此，對各類故障安全評估后的限時派遣(Time-Limited Dispatch，TLD)決策是近年來的研究熱點。

我國民航航班飛行架次平均每年的增長率為15%以上，而中國民用航空綜合司報告的航空器使用困難報告(SDR)中動力控制系統故障占16%左右，民航局對于機場放行正點率要求為80%以上[1]，因此可依據法規評估故障影響，選擇執行帶故障間隔派遣時間間隔決策，提高在新冠疫情下航班的正點率。

在航空器最初適航審定階段，對于FADEC系統限時派遣的分析方法有故障數據驅動的故障模式影響分析(FMEA)等[2]。傳統方法僅考慮了控制系統安全性目標，未將控制系統放在整體發動機系統中建立系統可靠性目標，不能達成安全性和經濟性需求優化目標。本文利用系統理論分析(Systematic Theory Process Analysis，STPA)方法定義系統危險邊界，并基于系統模型識別不安全的控制動作及原因，考慮組間交互等因素影響，建立以系統簽派可靠度和經濟性為目標的安全約束，在故障模擬環境下識別不安全控制行為(Unsafe Control Action，UCA)，對于復雜控制系統可以有效識別系統失效狀態和影響嚴重性級別。此方法可滿足簽派安全需求，提高航班正點率要求，從而滿足民航經濟性運營需求。

1 決策安全性需求分析

基于航空法規制定的安全約束是FADEC系統限時派遣的安全需求基礎，FADEC系統限時派遣的安全需求可分解為：航空發動機部件安全需求；控制部安全需求。本研究依據ARP5107C、CCAR33部規定討論限時派遣要求下的安全性需求及方法。

1.1 控制系統安全性需求分析

ARP5107C是限時派遣技術應用于FADEC系統推力控制可靠性的方法，適用于當代商用運輸機上開發和運用TLD的部件結構，也可適用于其他FADEC系統故障影響或其他系統，如反推裝置、超速保護系統等。適航申請者必須評估控制系統故障狀態以及影響發動機推力程度，確定故障造成的所有可能后果及其失效狀態。ARP5107C定義了限時派遣的四種類型[3]：不可派遣(No Dispatch，ND)；短時派遣(Short Dispatch，ST)；長時派遣(Long Dispatch，LT)；輕微發動機影響(Minor engines effects),FADEC系統限時派遣策略方案如表1所示。限時派遣以推力控制喪失(Loss of Thrust Control，LOTC)作為核心的安全標準，通過控制系統可靠性水平保障整機安全性在可派遣范圍內，對電子系統LOTC事件發生概率應小于10-5次/飛行小時。

表1 FADEC系統限時派遣策略方案

1.2 發動機安全性需求分析

CCAR33部第33.28條[4]是對于發動機控制系統要求：“適航申請人必須表明當故障或失效導致控制系統轉移到備份系統時，發動機不會超出任何使用限制，發動機推力調節響應具有足夠靈敏度和不產生任何不可接受推力振蕩。”系統安全評估可預見失效或故障導致危害發動機系統，確定故障或失效在安全頻率之下。對控制系統進行適航驗證分析：申請者需設計發動機控制系統發生LOTC/LOPC事件概率在安全目標裕度內；控制系統能容忍經民航局確定的“單點故障”；系統部件單點失效不會危害發動機系統造成嚴重后果。

2 TLD安全性評估決策

限時派遣是失去推力或功率控制(LOTC/LOPC)事件發生概率與安全目標要求一致性下在規定時間內執行派遣任務，在符合CCAR33.28和75規定時必須對航空發動機控制系統進行安全性評估。

2.1 功能映射關聯分析

航空發動機控制系統做故障保留派遣決策，限時派遣的基礎要素如圖1所示。控制系統故障后選擇做故障保留派遣決策時，依據現有的航空安全法規評估安全派遣時間。控制系統的故障危害性通過上層發動機系統性能波動危險性表現出來，根據控制系統功能邏輯、時序分析功能接口數據對發動機控制輸出，如燃油量調整、壓氣機靜子葉片和放氣活門、渦輪主動間隙控制等。基于發動機的狀態/模式，分析與前序控制系統功能關聯以及細化故障模式和失效狀態的對應情況。

圖1 限時派遣的基礎要素

2.2 安全性決策方法分析

FADEC系統產生故障從全勤(FU)狀態向LOTC狀態轉移可建立可靠性模型模擬計算狀態頻率，在SAE5107文件中建議了開環馬爾可夫模型方法[5]，從控制系統轉移狀態和派遣選擇出發建立馬爾可夫轉移狀態圖。馬爾可夫方法在單目標情況下可以有效計算系統平均LOTC事件發生概率，并確定容錯派遣方案，在系統ND狀態下也可在多目標情況下，馬爾可夫轉移模型容易出現復雜關系狀態圖、數學計算難度頗高等情況，基于此在處置ST、LT狀態下繼發故障的限時派遣分析時提出蒙特卡羅方法[6]。

基于控制危險性可建立STPA安全性評估方法，深入分析控制系統與發動機系統的不安全交互，識別可能導致推力喪失控制事件的不安全控制狀態。單位化控制系統功能可有效定義系統狀態/模式，并與上層推進系統產生關聯映射，在發動機復雜運行條件和工況下較為精確分析系統功能失效導致的LOTC事件。控制系統故障表現為復雜系統控制出現不恰當或不足行為，執行機構不完全行為，信息反饋失敏等。

3 TLD的STPA分析程序

基于STAMP模型上發展的STPA安全性分析方法，從分析系統風險、建立安全性需求、確定安全約束、分析安全性流程形成安全性分析流程。

3.1 分析危險輸入

FADEC系統作為航空發動機的中樞系統，在控制功能之外對發動機具有故障監測與健康管理等功能，基于控制系統隨發動機的工作是隨時間動態變化的過程，分析帶故障派遣所帶來的安全風險，根據故障部件功能特性預測可能面臨的系統安全風險。

評估最壞故障結果下受FADEC系統控制，功能喪失，定義系統級風險。發動機作為飛機的推進系統在本文中以LOTC事件概率安全分析，給出系統級風險：危害性的發動機影響；重大發動機影響；輕微發動機影響等(如表1所示制造商評估適航派遣時間)。例如發動機接口組件(EIU)失效導致自動推力喪失，需飛行員手動控制推力。

3.2 UCA失效模式分析

FADEC系統安全性分析流程通常不僅僅局限于系統本身失效狀態，需同時考慮對發動機系統以及整機系統造成的影響，由FADEC系統產生交互識別UCA行為：FADEC系統控制行為消失造成危險；控制行為未按指令進行或出現時序錯誤；控制行為不完全導致危險。依據FADEC適航要求識別UCA，并將控制配置組件故障分析評估，FADEC系統的UCA模式如表2所示。

表2 FADEC系統的UCA模式

3.3 建立控制系統STAMP模型

根據FADEC系統功能劃分，FADEC系統控制結構如圖2所示，整個控制交互過程分成5個部分：傳感器(HM)分布在發動機中；液壓機械組件(HMU)；ECU、EIU等；IMA航電系統；執行機構(壓氣機控制、間隙控制、起動控制等)。控制信息交互包含被控過程、控制算法、失效模式，這些構成FADEC系統控制結構的STAMP模型。

圖2 FADEC系統控制結構

3.4 建立安全目標約束

FADEC系統基于STAMP模型建立安全約束包含：民航適航法規要求；FADEC系統故障導致航空發動機喪失推力控制(LOTC)的失效狀態。第一點要求如限時派遣劃分(見表1)，在此主要論述航空發動機在LOTC狀態下的具體故障表現以及失效狀態。

STPA分析的安全性方法相較于傳統方法可以在FHA分析基礎上從安全約束控制角度避免出現傳統方法的上述極端情況。可根據航空發動機制造商評估建立安全裕度下的容錯派遣時間限制，不可派遣故障，長時派遣，短時派遣，多個故障組合(在聯系實際飛機高修復率情況下多重故障發生率不足5%出現LOTC事件)，不可檢測故障等。FADEC系統功能失效識別流程如圖3所示。

圖3 FADEC系統功能失效識別流程

3.5 STPA方法的TLD安全性討論

STPA方法應用于TLD分析中，相較于FADEC系統的FHA方法[7]，在傳統方法基礎上定義FADEC系統的控制模型：避免與系統運行過程分析導致較大誤差，難以與理論結合分析；可靈活結合多種算法避免分析故障模式出現太過于復雜的指數級計算，例馬爾可夫法[8]在分析繼發性多重故障時會出現計算過于復雜難以得出結果。

FADEC系統故障一般間接從發動機整體性能表現出來，基于此可建立分層控制結構分析建模，分析動態系統狀態轉移時間概率關系是否滿足系統安全性需求。基于發動機健康管理(EHM)的FADEC系統自我故障檢測的數據分布在發動機上的傳感器等電子元件中。由于發動機工況復雜多變導致系統故障種類復雜，并要求適應系統分布式架構遷移需求，控制系統可以整合發動機復雜動態信息接入多種診斷算法(如貝葉斯算法、人工智能模糊融合算法[9])給出機體自適應的最優化健康管理輸出。

3.6 實例分析

以某型發動機T3傳感器的控制邏輯應用TLD為例。T3傳感器測量高壓壓氣機排氣溫度數據并傳遞給EEC控制BSV(燃燒分級活門)和HPTACC(高壓渦輪主動間隙控制),發動機T3傳感器控制邏輯如圖4所示。

圖4 發動機T3傳感器控制邏輯

進行T3傳感器失效模式以及影響分析(FMEA)的UCA失效模式主要是部件失效、T3線束故障、T3反饋數據失常等。在FADEC控制系統由全勤狀態向LOTC狀態轉移過程中，T3傳感器依據FAA適航要求得出隨時間變化的頻率分布。依據某型適航資料可知在一定時間內部件失效概率為3.79×10-7,線束失效概率為2.84×10-6，數據反饋失效為1.14×10-7，依據適航規定，概率分布在10-7～10-5之間可判定為重大的發動機影響。線束失效影響將直接導致LOTC事件的發生，據此可判定發動機由全勤狀態進入ND狀態。

4 結論

FADEC系統冗余故障通過外部發動機工況體現出來，用系統理論分析法分析建立限時派遣模型得出結論：建立分層控制模型，輔助分析不恰當控制對發動機影響程度定義UCA失效；對限時派遣決策劃清危險邊界為不安全控制行為提供一種建模方法，可作為建立FADEC安全性限時派遣策略評估的方法儲備。