0 引言

民用航空公司运营民航飞机的经济性问题一直是民航领域的关键问题，经济问题在满足安全需求的基础上结合系统可靠性得到一定程度解决，在各行业都在提出降本增效的同时^[1]，民航总局也对航空公司运行效率出台了相关规定^[2]。因此，在民用航空中，基于安全性这一根本前提，降低综合运营成本关系到承运人的民航竞争力，而安全性则直接关系到机上人员人身安全。

限时派遣（time limited dispatch，简称TLD）适航分析指机载系统的冗余单元故障时，在满足适航安全性要求的条件下，无需检修，允许系统带故障运行规定长度的时间^[3]。限时派遣分析是商用飞机及航空发动机系统安全性分析和适航审定的重要组成部分，美国联邦航空管理局（FAA）颁布了法规33部作为航空发动机的适航审定基础，规定了运输类航空发动机全权限数字电子式控制系统的平均完整性水平必须好于或等于每十万飞行小时发生一次丧失推力控制（loss of thrust control，简称LOTC）事件^[4-5]，并且根据 FAR 25.1309 的规定，即使发动机制造商不申请TLD适航运行，也要提交一份表明制造商设计的发动机控制系统满足系统完整性要求的安全分析报告^[6]。美国汽车工程师协会（SAE）在1997年出版了第一版发动机电子控制系统限时派遣分析指导原则航空推荐规范ARP5107A。

现代航空运输飞机的发动机控制系统主要是全权限数字电子式控制系统（full authority digital engine control，简称FADEC）并采用双通道冗余架构，控制系统可以实现智能健康功能管理下的自我故障隔离，并在停场时间内提供故障信息。本文利用先进的FADEC系统可靠性模型计算出适合的系统带故障派遣时间，从而提高航班的正点率。

1 TLD适航流程分析

根据SAE5107C、CCAR33、FAA33.28部相关规定对FADEC系统进行TLD安全性分析，结合可靠性系统架构、采样系统故障信息，在充分评估故障危险性影响的基础上形成技术文件支持的TLD分析策略^[1]。

1.1 TLD派遣决策分析

TLD适航分析的目的就是在简化模型（如图1所示）上建立控制系统，可派遣性可划分为如下两个类别：

1）基于SAE指南证明机队FADEC控制系统平均可靠性，保证故障发生时系统危险等级在适航法规限制之下：

2）证明所有给定的建议派遣配置好于FAA要求的降级控制系统状态的瞬时丧失推力控制（loss of thrust control，简称LOTC）率、机队范围平均可靠性标准或“平均LOTC率”，包含系统全勤状态、降级系统状态和未覆盖故障^[2]。

（a）不可派遣（no dispatch，简称ND）

降级配置引起估算的LOTC发生率高于100次每百万飞行小时；不管计算的LOTC率如何，关键资源或者关键功能完全丧失；不管计算的LOTC率如何，不能管理发动机超速或者关键限制保护功能^[2]；

（b）短时派遣（short time dispatch，简称ST）

计算的LOTC发生率高于75次每百万飞行小时，但少于100次每百万飞行小时；不管计算的LOTC率多少，故障发生导致FADEC系统恢复到基本的单通道操作。

（c）长时派遣（long time dispatch，简称LT）

不会陷入短时或者不能派遣类别，LOTC率小于75次每百万飞行小时。

1.2 FADEC系统故障分析

故障状态的定性分析是故障树分析（fault treeanalysis，简称FTA）方法的关键步骤，也是对故障影响程度定量分析的基础。FTA方法的目的就是对要分析的目标寻找导致顶事件发生的所有故障模式，确定故障树的全部最小割集，从而计算出顶事件的故障概率和基本事件重要度，TLD分析通常与失效模式和后果分析（failure mode and effects analysis，简称FMEA）结合确定故障定量影响层级和导致LOTC事件发生的直接原因^[3]。

在适航符合性验证分析中，以控制系统发生LOTC事件作为系统FTA的最终的顶事件，将系统划分为21个次级事件组成相对独立的故障识别体系，以此为基础性FMEA元素完成相关系统的安全约束^[4]。

2 TLD马尔可夫方法分析

实际承运人运营过程中采用的飞行报告（pilot report，简称PIR）、最低设备清单（minimum equipment list，简称MEL）、维修策略都会导致时间序列下故障过程难以分析，无法精准表达系统全修复特性，马尔可夫对高维状态空间虽然也存在难以表述等问题，但TLD分析只会涉及两个故障的状态空间^[5]。

2.1 单故障马尔可夫模型分析

单故障马尔可夫模型仅考虑单故障发生后发生继发故障进入控制系统的LOTC状态，多重故障由于系统高可靠性可作为少数情况计算系统从全勤向LOTC状态转移的概率^[6]。

单故障FADEC状态下闭环马尔可夫如图2所示，系统从全勤状态向LOTC状态转移路径。

图2中各符号的物理含义如下：λ_ST、λ_LT、λ_L.LOTC、λ_S.LOTC表示组件故障率；μ_ST、μ_LT表示组件或系统修复率，其中μ_FB系统进入LOTC状态全修复后恢复到全勤状态，理想值设置为1.0；λ_HM+UC表示系统发生执行机构机械故障或者是未覆盖故障导致系统直接进入LOTC状态，系统在执行维修措施之前不能签派^[7]。

系统状态变化率方程：

其中，P_LOTC的微分方程为：

基于该模型求在极限概率下的稳态解，即设置条件概率dP/dt=0，对稳态时方程求解：

综合上述公式求解λ_LOTC，得出系统LOTC为：

将状态概率拆解得到以失效率和修复率为基础的系统失效率方程：

2.2 多故障TLD马尔可夫计算

在FADEC系统可靠性分析中，大多涉及双故障的组合故障状态，对三个或三个以上的组合故障依据适航规定直接判定系统为“ND”状态^[8]，因此在法规约束下可创建系统双故障状态下马尔可夫模型如图3所示。基于图3模型计算系统LOTC率的状态转移概率矩阵：

当系统到达稳态时，得到系统LOTC率为：

代入系统可靠率守恒方程得：

将全勤概率P_FU、故障率λ和修复率μ表示中间状态概率可得，其中U是状态概率之和。

$\begin{array}{c}U=P_{AB}+P_{BA}+P_A+P_B+P_{\mathrm{F}\mathrm{U}}\\ {\lambda }_{\mathrm{L}\mathrm{O}\mathrm{T}\mathrm{C}}=P_{\mathrm{F}\mathrm{U}}+\frac{2{\lambda }_B+{\mu }_{\mathrm{S}\mathrm{T}}}{{\mu }_{\mathrm{S}\mathrm{T}}+2{\lambda }_A+{\lambda }_B+{\lambda }_{\mathrm{H}\mathrm{M}+\mathrm{U}\mathrm{C}}}\times P_{\mathrm{F}\mathrm{U}}+\frac{2{\lambda }_A+{\mu }_{\mathrm{L}\mathrm{T}}}{{\mu }_{\mathrm{L}\mathrm{T}}+2{\lambda }_B+{\lambda }_A+{\lambda }_{\mathrm{H}\mathrm{M}+\mathrm{U}\mathrm{C}}}\times P_{\mathrm{F}\mathrm{U}}\\ +\left(\frac{2{\lambda }_B}{{\mu }_{\mathrm{L}\mathrm{T}}+{\lambda }_B+{\lambda }_A+{\lambda }_{\mathrm{H}\mathrm{M}+\mathrm{U}\mathrm{C}}}+\frac{2{\lambda }_A}{{\mu }_{\mathrm{S}\mathrm{T}}+{\lambda }_B+{\lambda }_A+{\lambda }_{\mathrm{H}\mathrm{M}+\mathrm{U}\mathrm{C}}}\right)\times P_{\mathrm{F}\mathrm{U}}\\ {\lambda }_{\mathrm{L}\mathrm{O}\mathrm{T}\mathrm{C}}=\frac{{\lambda }_{\mathrm{H}\mathrm{M}+\mathrm{U}\mathrm{C}}\times P_{\mathrm{F}\mathrm{U}}}{U}+\frac{\left({\lambda }_A+{\lambda }_{\mathrm{H}\mathrm{M}+\mathrm{U}\mathrm{C}}\right)\times \frac{2{\lambda }_A+{\mu }_{\mathrm{L}\mathrm{T}}}{{\mu }_{\mathrm{L}\mathrm{T}}+2{\lambda }_B+{\lambda }_A+{\lambda }_{\mathrm{H}\mathrm{M}+\mathrm{U}\mathrm{C}}}\times P_{\mathrm{F}\mathrm{U}}}{U}\end{array}$

经过适航审定的民用航空大涵道比涡扇发动机所搭载的第三代FADEC系统，冗余部件的失效率一般控制在10^-5到10^-8之间，双故障的同时失效已经是小概率事件，更多元器件同时失效是极小概率事件，可不做考虑^[9]。系统修复原则一般遵循基于全修复的维修策略，系统修复率一般为10^-3。

3 基于蒙特卡罗模拟的FADEC系统安全性评估

蒙特卡罗方法基于大数定律来解决随机事件问题。它通过在系统状态空间的随机游走来模拟随机过程，从而能够解决马尔可夫方法在高维空间所存在的空间爆炸问题。通过随机抽样生成大量随机值，蒙特卡罗方法能近似模拟并比较多次迭代的算数平均值。在复杂系统可靠性工程中，蒙特卡罗方法能很好地解决多维度、多状态问题^[10]。

3.1 TLD蒙特卡罗仿真分析

1）维修决策过程分析

单故障或者多故障的维修决策都是基于定期维修原则或者按最低设备清单维修，核心主要是维修时机的选择，航空公司在平衡系统安全性问题和运营经济性问题时可自行选择最佳的维修策略，多故障派遣下维修决策有更丰富的选择性^[11]，也可能影响计算系统LOTC率的派遣间隔维修策略方式，如图4所示。

（1）多故障状态下，TLD派遣下维修策略的选择可能出现派遣间隔结束后存在多个故障需要维护，根据每个故障派遣间隔不同可选择的维修方案也不同，ST故障派遣间隔t₂-t₆，LT派遣间隔t₁-t₄。当存在故障i发生后优先修复λ_i.LOTC（t）较大的故障，保证派遣时间小于T_LT、T_ST。如果存在ND级别故障，则在t₃时刻立即修复故障，多余存在的故障可随之一并修复或调整派遣间隔从t₃调整到t₆、t₇。对于三个或三个以上故障则立即修复故障到可容错降级派遣级别，调整派遣间隔从t₄到t₆。航空公司往往在维修周期平均修理时间（mean time to repair，简称MTTR）内选择一次性修复系统存在的所有故障，缩短系统全生命周期内MTTR，提高控制系统平均故障时间（mean time to failure，简称MTTF）数值，保证系统安全性，维修时间的减少意味着每个维修工时的投入变大，对航司的维修能力提出了更高要求^[12]。

（2）选择维修策略时执行依据系统监控的故障信息只维修需要修复的故障组，如LT、ND故障同时发生时，在t₃到t₅时刻只修复ND故障，修复完后继续派遣降级系统到t₇；同理ST、ND故障同时发生时，修复系统后派遣到t₆时刻；LT、ST故障发生时，首先保证系统可派遣时间T_LOTC在600 Fh以上，否则立即修复ST故障，再对LT故障派遣到t₅。这种维修策略对于维修人员较易操作和执行，对维修能力要求并不高，在周期维护中就能完成故障修复，是维修成本较小的一种维修策略，也是在模拟派遣环境中较易计算的决策方式^[13]。

（3）蒙特卡罗方法的模拟仿真思路：基于FADEC系统组件失效率生成系统，从初始状态到寿命终点中的故障时间随机数，即从已知的组件故障率分布生成随机变量实现MC模拟过程。从原始的概率分布中抽样产生N个数据点，模拟过程产生的方程如式（11）所示。依据服从大数定理和单元寿命的随机值，当故障改变系统状态到达LOTC时，这段时间称为T_LOTC^[14]。系统多次循环模拟得到F（LOTC）。

p（z/x）随机采样

在难以采样的情况下，蒙特卡罗对复杂分布的概率密度函数会执行在辅助建议分布基础上对复杂函数进行Acceptance-Rejection过程，从而产生可接受的样本U。

2）TLD的蒙特卡罗仿真流程步骤如下：

（1）对需要分析的FADEC系统可靠性模型建立合适的参数模型，包含组件故障率（λ_A，λ_B，λ_HM+UC等）、基于技术文件给定系统可派遣的长时派遣间隔（LT=600 Fh）和短时派遣间隔（ST=150 Fh）。

依据系统可靠度函数判定组件状态：

（2）初始化T（时间）和S（部件状态），定义模拟次数，令次数N=0进入第一次模拟，其中可靠性模型瞬时LOTC可表示为：

（3）依据技术文件对T_error取值（如Ω=0.000 1），依据下面公式判断系统平均LOTC率是否收敛，如果条件满足则输出结果宣布实验结束，不满足条件则进行下一步。（F_ave-LOTC表示系统平均LOTC率）

（4）模拟随机生成组件故障T_i并记录在时间表中。

（5）判断故障时刻各组件的状态，替换R（t）和组件状态S。（minT_i=t_n）

a）若n=0，模拟系统终止，进入步骤10；

b）若n≠0，基于组件状态选择执行步骤。

当S_n（t）=0，表明组件n处于故障状态，更新组件状态S；S_n=1，执行第6步；S_n（t）=1，表明组件n进入维修间隔MTTR，更新组件状态S；S_n=0，执行第8步。

（6）系统是否进入LOTC状态，由R（t）和系统可靠度函数公式判断并计算R_S（t）。如果R_S（t）=0，则控制系统进入LOTC状态，N=N+1，执行第9步，判定为否则执行第七步。

（7）确定派遣级别，根据瞬时系统LOTC判断，ND、ST类更新S、T，LT类更新T，t_n= t_n+t_rand。返回第5步。

（8）模拟修复故障组件，更新T，t_n= t_n+t_rand。返回第5步。

（9）全修复控制系统组件到Full-Up状态，更新S、T。

$\forall i\in [1，n]\wedge S_i=1\Rightarrow S_i=0，t_i=t_i+t_{\mathrm{r}\mathrm{a}\mathrm{n}\mathrm{d}}，R_n（t）=e^{-{\lambda }_{n}t}$，返回第5步。

（10）统计N次模拟时间T_sim（N）和F_ave-LOTC。

3.2 多故障蒙特卡罗仿真分析

为了尽可能模拟真实环境，结合技术文件提供的适航论证参数说明，建立了3 000 Fh的模拟仿真。

在前文的马尔可夫仿真基础上以及相同的系统限制条件下，对比说明蒙特卡罗方法在TLD安全性中的合理性。将多故障马尔可夫、蒙特卡罗方法进行比较，表1阐述了在标准短时派遣T_ST=150 Fh条件下，两种不同方法在以T_LT为自变量时的变化规律。

将表中数据制成曲线比对FADEC系统LOTC率的变化趋势，TLD仿真结果如图5所示。由于蒙特卡罗方法是对理想系统的预测仿真，预测结果误差在可接受范围内，故仿真结果对于控制系统安全性是可接受的。

蒙特卡罗方法是由随机抽样算法下形成的点的聚合组成的曲线，对蒙特卡罗输出的图形进行线性回归以及拟合，其结果如表2所示。

根据其中一组蒙特卡罗方法得出的拟合曲线可以看出二次多项式就能建立可信的拟合最优曲线表达式，其中R值不断逼近最优值，根据常规表达式建立在T_ST=150 Fh时的函数表达式为：

通过不同方法的多故障状态预测对比图，建立以系统丧失推力事件10^-5为限制的误差分析图，马尔可夫、蒙特卡罗方法的误差来源可能是故障维修方法的不同导致在控制系统生命周期中系统LOTC率出现误差^[16]。

根据表3的误差数据可得1 500 Fh下两种方法误差控制在0.05以下符合SAE5107文件对模型预测数据误差在5%以内的要求^[15]。在0~3 000 Fh的裕度要求中平均误差值0.037 1，符合SAE5107文件对模型预测数据平均误差值在5%以内的要求^[15]。TLD分析误差来源可能是系统未覆盖故障和机械组件故障引起仿真模拟中计算误差，图6为蒙特卡罗方法和马尔可夫方法对比误差图。

4 系统可靠性模型优化仿真分析

4.1 部件重要度

把系统的可靠度指标直接分配给各个单元，计算比较复杂。将每组并联单元适当组合成单个单元，并将此单个单元看成是串联系统中的一个等效单元，用串联系统可靠度分配方法，将系统的容许失效率或失效概率分配给各个串联单元和等效单元；再确定并联部分中每个单元的容许失效率或失效概率λ_i。

FUSSELL-VESELY重要度在n个组件构成的系统N=（1，2，3，······，n）中，组件处于失效或者运行状态，系统状态只取决于组件状态。令X=（X₁，X₂，X₃，······，X_n）表示组件在给定连续时间状态下的随机向量，其中X_n=1或X_n=0表示元件n处于运行或失效状态，令ø（X）为控制系统的结构函数。系统组件瞬时重要度能表示为：

组件i的FUSSELL-VESELY重要度值Iⁱ_FV（t）表明系统失效的概率与包含组件i在内的一个割集的失效一致，重要度为：

基于AGREE分配法，系统从飞机设计阶段分配设计可靠性需求到各子系统，由系统可靠性指标值确定各装置相应的可靠性指标值。第i个组件的重要度为：

将控制系统分割为等效串联系统的子集，则系统的可靠度R表示为：

对于电子元器件寿命分布函数f=e^-x，当x＜＜1时，有e^-x≈1-x，

在考虑装置复杂度影响因素后：

FADEC控制系统的零部件重要度不仅取决于它在系统可靠性模型中的位置和失效模式，还取决于它随时间的功能退化程度，这对设计和选择TLD派遣下的维修策略十分重要。当某些组件可被高级模型计算值代替时属于可靠性增长试验（RGT）的一种，可为控制系统可靠性提供不断改进的可能性，通过试验结果验证系统达到预期可靠性目标^[16]。

4.2 系统安全性模型分析

建立如图7所示的可靠性融合模型，融合模型的建立可有效提高发动机和飞机的可靠性，对于在可靠性模型中移除的硬件问题，将在闭环马尔可夫模型中给这些元器件设置零故障率。此外，减少导致LOTC事件的组件可以使系统未覆盖故障率λUC略微下降，这也使控制系统可靠度上升。

依据技术文件，压力传感器P3B组件的失效率λ_F=2.98×10^-6，温度传感器T3的失效率λ_F=3.22×10^-6，设置ST=150 Fh，遵循可靠性分配原则，在改变可靠性分配等级的条件下保证系统安全性和TLD派遣的合理性。

在实际计算过程中，系统未覆盖故障的变化很小：

在保证其他系统组件同等可靠性水平下：

系统依据分配原则，将组件失效率依据参数调整，满足可靠性安全标准形成的系统组件失效率如表4所示。

1）依据图8的输出结果可以判断，融合模型在单故障控制系统可靠性模型中，LOTC值为0.665 39×10^-6，对某组件失效率改变后仍旧满足1 500 Fh的发动机系统的可靠性要求，依据图形数据导出融合模型对系统可靠性的改变值为0.015 22，对于系统要求的TLD派遣间隔时间可以满足。另一方面，元器件在可靠性模型中的减少可以切实提高系统可靠性，降低系统因未覆盖故障进入LOTC状态的概率，因此在此条件下，可靠性模型迭代优化可有效满足安全性需求^[17]。

2）极限状态下融合模型对比分析：极限状态下设置系统融合模型组件失效率要求提高到10.69×10^-6，严格的可靠性安全标准对比如图9所示。

从图中可知极限状态概率下，控制在10^-5时的系统派遣间隔时间达到2 757 Fh，与原始模型TLD的长时派遣间隔2 366 Fh都能满足FAA对长时派遣间隔的时间要求，从图中对比得出极限状态下失效率改变引起系统可靠性改变可能达到0.103 9，因此，即使在极限状态下，系统可靠性水平依旧满足。

5 结论

民用航空公司运营民航飞机的经济性问题一直是民航领域的关键问题，经济问题依托于满足安全需求的基础上结合系统可靠性得到一定程度解决。本文建立了控制系统可靠性结构图和系统故障信息，结合某型航空发动机FADEC系统，利用闭环马尔可夫方法和蒙特卡罗方法给出TLD安全性模型和计算结果，然后根据动态控制系统对结构调整后的TLD安全性和可靠性分配问题做出了解释，为民用航空发动机的技术应用与适航审定提供一点借鉴与参考，对满足国产大飞机的运行需求、促进航空发动机国际化适航审定能力的提升做出一点贡献。

参考文献