一种航空发动机FADEC系统安全性评估方法与流程

本发明属于航空发动机技术领域，尤其涉及一种航空发动机fadec系统安全性评估方法。

背景技术：

现代航空发动机全权限数字电子控制系统(fadec系统)的安全性影响着发动机乃至整个飞机的安全性。根据《航空发动机适航规定》中的规定，申请人必须完成发动机控制系统的安全性分析以及系统安全性评估。因此，fadec系统的安全性评估是航空发动机通过初始适航审定的一项必要工作，并且对改进fadec系统的设计，验证安全性水平有着非常重要的作用，还为fadec系统的时间限制遣派(tld)研究和制定主最低设备清单(mmel)提供基础依据。

发动机控制系统的平均安全性要求用丧失推力控制事件(lotc)的故障频度来衡量，瞬时安全性要求则由瞬时lotc率来衡量。

随着航空发动机控制技术的发展，全权限数字电子控制(fadec)系统的安全性变得越来越重要，它关系到fadec系统乃至整个飞机的工作成败。鉴于fadec系统的工作环境十分恶劣，所规定的体积和重量越来越小，所以要设计出既满足规定的体积和重量要求，又具有在恶劣环境下满足安全性要求，就必须加强对fadec系统的安全性评估研究工作。

根据中国民用航空规章(ccar)第33部《航空发动机适航规定》中第28条“发动机控制系统”以及第75条“安全分析”等适航条款规定，fadec系统安全性评估已经成为安装fadec系统的发动机以及安装此类发动机的飞机开展型号合格审定、获取型号合格证必须进行的一项符合性验证工作。安全性评估是对产品的安全性进行定量控制的必要手段，fadec系统安全性评估目的是衡量fadec系统的安全性是否达到预期的设计目标，验证安全性设计的合理性,指出它的薄弱环节、审定其是否符合初始适航条例，为改进设计、制造工艺，获取适航合格证指明方向和途径；在发动机的运营使用阶段，分析fadec系统的安全性以及进行相应的维修与可靠性管理，对提高飞机的安全性、可靠性以及降低运营成本有着非常重要的作用。科学、合理、有效的安全性评估技术不仅能够使产品安全性分析结果更为准确，在加强对产品研制风险控制的基础上，还能够减少试验经费、缩短研制周期、改进设计和制造工艺、优化产品的维修，降低运营后的成本。

在国际上，波音和空客作为当今两大航空界巨头，由于其技术上的绝对优势，多年来一直垄断着民用航空市场，同样，其在安全性评估技术上也是一直处于前沿。由于我国的航空工业整体上跟国外发达国家有一定的差距，系统安全性评估技术在民用飞机上的应用与国外相比相对较滞后，实际经验不足，在应用过程中存在一些问题。然而随着航空发动机fadec系统的日趋复杂化，以及评估验证技术的不断发展，fadec系统安全性评估方法也在不断地改进和提升。所以，航空发动机fadec系统安全性评估方法这一研究工作的展开对改进系统安全性评估方法技术、加强航空发动机全权限数字电子控制系统安全性评估力度和提高航空发动机全权限数字电子控制系统的可靠性具有重要的现实和深远的意义。

综上所述，现有技术存在的问题是：

现行民用航空器安全性评估的方法主要有两种即故障树分析(fta)方法、相关图方法和马尔可夫模型方法。

故障树分析(faulttreeanalysis,fta)是一种自上而下的系统评估程序，针对某一特定的不希望事件，建立定性模型，然后进行评估。从一个不希望的顶层危险事件开始，在低一级的下一个层次上，系统地确定系统功能模块中可能导致该事件发生的、全部可信的单一故障及其组合。分析向下展开，相继通过更细化的设计层次，直到揭示出初级事件或已满足该顶层危险事件的要求。故障树分析方法的局限性是很难考虑到各种类型的失效模式和依懒性，或很难建立某些可修复系统的故障树。另外通过定量故障树来计算系统失效概率，需要确定的基础事件(子系统或部件)发生的概率。而本研究对象fadec系统是一个可修复系统，fadec系统基础事件发生的概率数据很难获得。故fta方法不能直接应用在fadec系统的安全性分析中(实际中是将fadec系统认为是一个不可修复系统来分析的)。但是fta完全可以用于确定导致fadec某一失效模式的基础事件(定性的fta分析方法适用于fadec失效分析)。

相关图(dependencediagram,dd)可作为fta中表达数据的一种替代方法。fta与dd之间的原理差别在于，dd没有附加的逻辑符号。dd是通过方框的串联和并联布局来表示逻辑；同时，在fta中作为逻辑符号输出说明而出现的中间事件，dd中不予表达。dd在分析上与fta是相同的，且dd在安全性评估中的作用与fta也是相同的。因为存在与fta类似的局限性，故同样不能完全适用与fadec系统的安全性分析。相同图法可以确定fadec系统的可靠性结构关系。

与fta相比，马尔可夫分析(markovanalysis,ma)是一种适用范围更加广泛的安全性分析方法。它不存在故障树的一些局限性。ma可以很自然地包含顺序相关事件，或包含相关的使用运行环境。系统的ma包含两个部分：第一是观察系统行为并列出描述系统状态与转移的方程，第二是运用标准方法来解这些方程。通过马尔可夫链可以建立任意系统的状态方程，通过求解状态方程可以得到系统或设备的失效率。ma方法的局限性是：在马尔可夫过程中系统的下一步状态只与此刻状态相关而与历史无关。然而系统的状态是它先前所有路径的积分，与历史状态有关。

较以下的马尔可夫分析方法本发明提出采用蒙特卡洛方法对航空发动机fadec系统进行安全性分析。

蒙特卡洛方法(montecarlomethod)又称统计模拟法、随机抽样技术，是一种随机模拟方法，以概率和统计理论方法为基础的一种计算方法，是使用随机数(或更常见的伪随机数)来解决很多计算问题的方法。将所求解的问题同一定的概率模型相联系，用电子计算机实现统计模拟或抽样，以获得问题的近似解。其基本原理是先对影响系统可靠度的随机变量进行大量的随机抽样，然后把这些抽样值一组一组地代入功能函数式，确定系统是否失效，最后从中求得系统的失效概率。蒙特卡洛适用于可维修系统。避免了fta方法只适用于不可修复系统的局限性，但是使用fta方法可以准确的确定基础事件。另外蒙特卡洛方法将系统过程演化模型与人的操作行为模型嵌入蒙特卡罗模拟过程中来再现系统在失效与成功状态的随机转移，将转移的状态累加，避免了马尔可夫分析过程中系统的下一步状态只与此刻状态相关而与历史无关的局限。

现有的安全性评估技术在民用飞机上的应用与国外相比相对较滞后，实际经验不足，在应用过程中存在一些问题(比如：应用故障树方法时，需要有足够工程实践经验；基础数据的短缺问题也比较突出；国外生产厂家对航空产品技术参数的严格封锁等等)；在航空发动机全权限数字电子控制系统安全性评估力度和航空发动机全权限数字电子控制系统的可靠性分析上不完善(主要是国内这方面没有技术积累，也无成熟的工程方法，国外技术的严格封锁)。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种航空发动机fadec系统安全性评估方法。

本发明是这样实现的，一种航空发动机fadec系统安全性评估方法，所述航空发动机fadec系统安全性评估方法，将fadec系统出现故障导致发动机lotc事件作为系统的失效状态；然后分析fadec系统导致lotc事件的系统单元，建立fadec系统单元之间的可靠性模型，通过定性的故障树分析方法求出系统失效状态的最小割集；利用蒙特卡洛模拟理论，在时域内模拟系统状态的随机游走；通过计算机仿真来实现利用蒙特卡洛模拟对系统状态之间的转移时间和转移结果进行抽样来得到大量具体的系统状态；系统失效的概率用抽样得到的系统失效的频率来估计，所述系统失效的概率等于所有抽样中系统失效状态的个数与抽样次数的比值；

最后得到fadec系统在任务时间内的瞬时lotc率和平均lotc故障频度。依据可接受的安全水平，进一步判断上述故障率是否可以接受。

进一步，蒙特卡洛模拟方法，包括：

首先建立一个与求解有关的概率模型或随机过程，使概率模型或随机过程的参数等于所求问题的解；然后通过对概率模型或过程的观察或抽样试验来计算所求参数的统计特征；最后给出所求解的近似值；

进一步，蒙特卡洛模拟方法求解问题的步骤如下：

建立一个与求解有关的概率模型，使求解为所构建模型的概率分布或数学期望；

对模型进行随机抽样观察，即产生随机变量；

用算术平均数作为所求解的近似平均值，给出所求解的统计估计值。

进一步，所述航空发动机fadec系统安全性评估方法基于蒙特卡洛模拟的fadec系统进行安全性评估，具体包括：

1)随机系统的转移过程：

fadec系统可靠性模型中包括18个单元，每个单元处于工作、热备份和失效三种状态；假设热备份状态为单元的工作状态，在单元的寿命过程中，热备份状态从一个状态转移到另一个状态，其中转移的发生时间是随机的，转移到达的状态也是随机的；这样每一个单元的随机行为由描述不同状态转移概率的矩阵来定义；另一方面，系统在某一个给定时刻发生状态转移并进入新的配置状态是由一个概率密度函数决定，此函数全面地描述系统在时域内的随机行为；

随机系统的转移过程中，通过对系统中单元所有状态的可能组合进行排序来对系统的配置进行编号；具体地，令kn表示系统第n次转移到达的状态，tn表示转移发生的时刻；

所述随机系统的转移过程，包括：

一般的转移，系统在时刻t'转入状态k'，则决定系统在时刻t发生下一次转移并进入状态k的概率定义是：

t(t|t'，k')——给定系统在t'发生上一次转移并进入状态k'的条件下，系统在t与t+dt间发生下一次转移的条件概率；

c(k|k'，t)——给定系统在初始状态为k'、在时刻t发生状态转移的条件下系统进入状态k的条件概率；

上面定义的概率进行如下归一化：

公式(2)中k和k'分别表示系统转移到达的状态；t和t'分别表示状态转移发生的时刻；

其中ω为系统所有可能状态构成的集合；其中，当t(t|t′，k′)不归一化为1时，系统以概率1-∫t(t|t',k')dt在时刻t'落入状态k'且无法离开，该状态称为吸收态；

所述随机系统的转移过程引入两个概率函数构成一个转移(t'，k')→(t，k)的概率转移核，即：

k(t,k|t',k')＝t(t|t',k')c(k|k',t)(3)。

公式(3)中k和k'分别表示系统转移到达的状态；t和t'分别表示状态转移发生的时刻；

k(t,k|t',k')——给定系统的初始时刻为t'和初始状态为k'，在时刻t发生状态转移的条件下系统进入状态k的条件概率；

进一步，系统状态的随机游走，包括：

通过公式(3)对系统状态转移的随机过程进行时间和状态两个概率函数的转移概率建模，并通过对转移时间以及转移结果进行抽样来得到大量的具体实现。

进一步，系统不可靠度的蒙特卡洛估计方法包括：

为进行安全性分析，确定系统配置的一个子集，所述子集为失效状态集г，该子集为求出的系统所有导致lotc事件最小割集的集合；当系统进入某一个这样的状态，就记录一次系统失效及其发生的时刻；对于某个给定的时刻t，系统在此刻前失效的概率，即不可靠度ft(t)；由时刻t前系统失效发生的频率估计，所述频率等于所有随机游走的实现中时刻t前失效的个数与生成的随机游走实现的总数的比值；

具体地，从计算机代码实现的角度，将系统的任务时间划分为nt个长度为△t的小区间，对每个时间区间配置一个不可靠度计数器c^r(t)来记录失效的发生：假如系统在时刻τ进入某一失效状态，则对所有的t∈[τ,tm]对应的c^r(t)加1；在进行了m次随机游走试验后，系统不可靠度的估计由c^r(t)除以m得到，其中t∈[0,tm]。

本发明的优点及积极效果为：

本发明对现代航空发动机全权限数字电子控制系统的安全性评估方法进行了学习与分析，基于航空发动机适航规定中对fadec系统的初始适航要求以及美国航空推荐施工法5107b中对发动机控制系统的安全性要求，针对fadec系统出现故障导致发动机lotc事件，利用蒙特卡洛方法来模拟fadec系统在时域内的工作状态与失效状态间的随机转移，通过在虚拟试验中得到系统导致lotc事件的频率来估计系统的lotc率，给出了一种系统性的fadec系统安全性的评估方法。这不仅为改进设计、制造工艺，获取适航合格证指明方向和途径；还为fadec系统的时间限制遣派研究和制定主最低设备清单(mmel)提供基础依据。

本发明对已经得到假设单元修复率为1次/小时、0.8次/小时和0.5次/小时三种情况下fadec系统的瞬时lotc率和平均lotc故障频度。当单元修复率为1次/小时和0.8次/小时的时候，分别在四次仿真中系统瞬时lotc率和平均lotc故障频度均满足航空发动机初始适航的安全性要求。当单元修复率为0.5次/小时的时候，在四次仿真中系统平均lotc故障频度都不能满足航空发动机初始适航的安全性要求，但四次仿真中系统瞬时lotc率都能满足航空发动机初始适航的安全性要求。在三种假设中，随着系统单元修复率的降低时，fadec系统的平均lotc故障频度增加，意味着更容易发生lotc事件。所以，虽然在mel中当特定的系统、功能或设备失效后保障飞机维持可以接受的安全水平运行一段时间而不必立即修理，但在条件允许时，应力保所有故障尽早得到修理使飞机恢复正常状况，这就是为了减小系统的故障频度，使系统处于一个更高的安全性水平。

附图说明

图1是本发明实施例提供的航空发动机fadec系统安全性评估方法流程图。

图2是本发明实施例提供的fadec系统示意图。

图3是本发明实施例提供的cfm56-5b发动机电子控制器(ecu)示意图。

图4是本发明实施例提供的fadec系统闭环控制原理图。

图5是本发明实施例提供的fadec系统一般结构图。

图6是本发明实施例提供的ecu的工作模式图。

图7是本发明实施例提供的fadec系统可靠性框图。

图8是本发明实施例提供的lotc事件故障树图。

图中：x1：n2-a传感器失效；

x2：t3-a传感器失效；

x3：tla-a传感器失效；

x4：fmv-a传感器失效；

x5：vbv-a反馈传感器失效；

x6：vsv-a反馈传感器失效；

x7：channel-a失效；

x8：winding-a失效；

x9：hmu失效；

x10：ccdl失效；

x11：n2-b传感器失效；

x12：t3-b传感器失效；

x13：tla-b传感器失效；

x14：fmv-b传感器失效；

x15：vbv-b反馈传感器失效；

x16：vsv-b反馈传感器失效；

x17：channel-b失效；

x18：winding-b失效。

图9是本发明实施例提供的(t'，k')→(t，k)的转移图。

图10是本发明实施例提供的系统配置—时间平面上的随机游走图；

图中：系统配置3用圆圈标出，表示它是一个故障配置；方块标记每次转移对应的点；小圆圈表示故障状态；虚线对应于在任务时间tm内导致系统故障的实现。

图11是本发明实施例提供的不可靠度ft(t)的蒙特卡洛估计图。

图中：c^r(t)等于t时刻前的累计失效次数斜箭头表示系统在时域内的演化：由某一状态转移到另一状态；圆圈表示失效发生时刻。

图12是本发明实施例提供的利用离散分布的逆变换法抽样得到发生转移的单元图。

图13是本发明实施例提供的系统瞬时lotc率随时间变化的四次仿真(“故障→正常”转移速率为1次/小时)图。

图中：(a)、第一次仿真；(b)、第二次仿真；(c)、第三次仿真；(d)、第四次仿真。

图14是本发明实施例提供的系统瞬时lotc率随时间变化的四次仿真(“故障→正常”转移速率为0.8次/小时)图。

图中：a、第一次仿真；b、第二次仿真；c、第三次仿真；d、第四次仿真。

图15是本发明实施例提供的系统瞬时lotc率随时间变化的四次仿真(“故障→正常”转移速率为0.5次/小时)图。

图中：a、第一次仿真；b、第二次仿真；c、第三次仿真；d、第四次仿真。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明的符号含义：

arpaerospacerecommendedpractice航空推荐施工法

ccacommoncauseanalysis共同原因分析

ccarchinacivilaviationregulations中国民用航空规章

ccdlcrosschanneldatalink交互通信数据链

dddependencediagram相关流程图(可靠性框图)

ecuelectroniccontrolunit电子控制器

fadecfullauthoritydigitalelectroniccontrol全权限数字电子控制

fhafunctionalhazardassessment功能危险评估

fmeafailuremodesandeffectsanalysis故障模式影响分析

fmesfailuremodesandeffectssummary故障模式影响汇总

fmvfuelmeteringvalve燃油计量活门

ftafaulttreeanalysis故障树分析

hmuhydro-mechanicalunit液压机械组件

hptacchighpressureturbineactiveclearancecontrol高压涡轮主动间隙控制

lotclossofthrustcontrol丧失推力控制

lptacclowpressureturbineactiveclearancecontrol低压涡轮主动间隙控制

mamarkovanalysis马尔可夫分析

melminimumequipmentlist最低设备清单

mmelmasterminimumequipmentlist主最低设备清单

mttfmeantimetofailure平均故障前时间

mttrmeantimetorepair平均故障修复时间

mtbfmeantimebetweenfailures平均故障间隔时间

pssapreliminarysystemsafetyassessment初步系统安全性评估

saesocietyofautomotiveengineers汽车工程师协会

ssasystemsafetyassessment系统安全性评估

tbvtransientbleedvalve瞬态放气活门

tlathrustlevelangle推力杆角度

tldtimelimiteddispatch时间限制遣派

vbvvariablebleedvalve可调放气活门

vsvvariablestatorvane可调静子叶片。

本发明将fadec系统出现故障导致发动机lotc事件作为系统的失效状态，然后分析fadec系统导致lotc事件的系统单元，建立fadec系统单元之间的可靠性模型，求出系统失效状态的最小割集，然后在时域内模拟系统状态的随机游走；通过计算机仿真来实现利用蒙特卡洛模拟对系统状态之间的转移时间和转移结果进行抽样来得到大量具体的系统状态。系统失效的概率用抽样得到的系统失效的频率来估计，它等于所有抽样中系统失效状态的个数与抽样次数的比值，最后得到fadec系统在任务时间内的瞬时lotc率和平均lotc故障频度。

下面结合附图对本发明的应用原理作详细描述。

如图1所示，本发明实施例提供的航空发动机fadec系统安全性评估方法，

s101：首先学习航空发动机适航规定中关于发动机控制系统的初始适航要求，以丧失推力控制事件(lotc)概率作为fadec系统安全性评估目标、导致发动机lotc事件作为fadec系统的失效状态。

s102：学习航空发动机fadec系统的组成和工作原理，以丧失推力控制事件为线索进行系统的安全性分析，确定导致丧失推力控制事件的系统单元。

s103：根据系统单元之间的结构与联系，建立fadec系统的可靠性模型并求出系统失效状态下的最小割集。

s104：利用蒙特卡洛间接模拟方法对系统状态的随机游走过程进行虚拟试验，并记录系统随机游走和系统进入失效状态的次数，通过计算机仿真在matlab软件中实现并计算出fadec系统在任务时间内的瞬时lotc率和平均lotc事件的故障频度。

下面结合航空发动机fadec系统对本发明的应用原理作进一步描述。

fadec(fullauthoritydigitalelectroniccontrol)指全权限数字电子控制系统，可利用数字式电子控制系统的极限能力来完成系统所规定的全部任务，是高性能飞机发动机以及一体化控制系统必然采取的控制形式，而双通道fadec技术则是当前世界先进发动机综合控制技术的典型。鉴于fadec可以提高发动机性能、降低燃油消耗，易于实现发动机的状态监控、具有高可靠性及安全性等诸多优点，目前已广泛应用于许多先进的军民用航空发动机控制系统中。

从20世纪40年代的简单机械液压式控制系统开始，航空发动机控制系统随着电子技术、通信技术的发展，先后出现了电子与机械混合控制系统，以及20世纪70年代出现的发动机数字电子控制系统(deec，用于普惠的jt9d发动机)。20世纪80年代，为适应更高性能发动机的要求出现了全权限数字电子控制系统，此时电子器件性能的不断提高使得这种转变成为可能。这一趋势一直在持续，随着电子器件性能的不断提高和电子器件小型化的推动，与高性能发动机要求相呼应的各种创新性工程解决方案也不断出现，现已发展到高度综合的第三代全权限数字电子控制系统，其主要特征是带机载发动机诊断系统并实现热管理。

发动机控制系统可以看作是发动机的大脑和神经系统，基于飞行指令和发动机控制计划，完成发动机燃油供给、叶片及喷口位置调节等控制功能。未来航空发动机技术将呈现加速发展态势，航空发动机将向高性能、高可靠性、更宽使用范围、多任务能力和低油耗、低成本、低污染、低噪声的方向发展，为不断满足发动机发展需要，未来控制系统技术发展将向提高功能性能、降低重量和成本、耐恶劣环境、提高可靠性和维护性的方向发展，同时跨越推进控制范畴，与飞控、预测健康管理系统紧密结合，共同实现在推力、配电管理以及热系统、环境系统、状态监视系统等方面的发动机综合管理系统。传统机械液压控制系统，其发动机控制权限完全由机械液压系统承担，完成诸如发动机转速、温度、叶片和喷口位置等控制，控制计划的解算通过机械液压机构来实现，随着飞机对发动机提出更高的要求，控制变量增多和控制精度提高，导致机械液压控制系统结构愈加复杂甚至难以实现，其制造和维护成本也变得很高。电子技术的发展，使控制系统由纯机械液压向机电混合转变，最先出现的用于jt9d发动机数字电子控制器，属于监控式数字电子控制系统。

先进飞机的航空发动机要求高推重比、低油耗、长使用寿命、大灵活性和高可靠性。发动机性能的充分发挥主要依靠控制系统来实现和保证。因此，控制系统的性能和可靠性对发动机的正常工作十分重要。fedac系统是将全部控制权限交由数字电子控制器来完成而其他机构仅是执行的控制系统。fadec系统带有一个中央计算机和接口电子器件，这些电子器件通过专用电缆与配套控制传感器和执行机构连接。fadec接收来自飞机的飞行员油门杆指令、功率等需求信号，并且通过通信数据总线向机载系统发送信息。fadec系统通常与预测健康监视(phm)及其配套传感器等其他发动机相关系统绑定。fadec系统通常是采用完全相同的fadec计算机的双余度通道，双余度传感器和执行机构。每个通道都具备完全控制发动机的能力^[8-9]。

全权限数字电子控制系统由数字式电子控制器(deec)包括系统电源、输入信号接口电路、微处理器单元或电子控制器(ecu)、输出信号接口电路、存储通道；液压机械组件(hmu)；信号调理单元包括转速传感器、温度传感器、压力传感器、位移传感器、其他传感器等；供油装置包括齿轮泵、离心泵、燃油计量装置；执行机构包括可调静子叶片(vsv)、可调放气活门(vbv)、瞬态放气活门(tbv)等；以及各种作动机构组成，如图2所示。

电子控制器(ecu)有两个计算机。每个计算机能够独立控制发动机，一个计算机是在有效的控制中而另一个则在备份中，计算机被称为通道，一个计算机称为通道a而另一个计算机称为通道b，两个通道通过一个交互通信数据链(ccdl)连通，ecu封装在一个铝制的底盘上，安装在发动机风扇进气机匣右侧，四个安装螺栓安装在减震器上，以减少震动和冲击，两条金属带确保与地连接；电子控制器是一个振动隔离的独立组件，它被安装风扇机匣上，并且被通风空气冷却。如图3所示。fadec系统可以根据飞机的推力指令和发动机输人参数准确控制供给发动机的燃油流量，从而获得所需的发动机推力,与此同时，控制系统可以为飞机提供机组告警信息、维修报告和发动机状态监控等。

电子控制器是一个双通道的数字控制器，每个通道运用一个微处理器来提供控制功能，其中一个微控制器提供压力转换器接口功能，另一个微控制器提供arinc通信功能。电子控制器接收来自飞机的大气数据计算机的发动机进气条件数据和来自飞机上arinc429数据总线发动机接口组件的操作指令。它也接收来自不同的专用发动机传感器的有效状态数据(例如：t12，ps12，p0，n1，n2，ps3，t25，t3和tc)并且计算需要的燃油流量，vsv，vbv,高压涡轮间隙控制，低压涡轮间隙控制，和转子主动间隙控制活门的位置。电子控制器提供需要的电流给在液压机械组件的力矩马达来控制不同的调节活门和作动筒。电子控制器还执行点火继电器，起动机空气活门线圈，飞机反推方向活门，反推增压活门的开关控制。并且电子控制器提供在arinc429格式的数字数据输出给飞机的发动机参数显示，飞机飞行管理系统，飞机维护数据系统。它的硬件和软件的设计以至于有一套内部输入，接到交互通信数据链保证这两通道的正常运行，每个通道也能在没有交互通信数据链的情况下独立的运转。它的容错能力能够使在一些或者所有机身数字数据丢失的情况下继续工作。电子控制器的电源由发动机驱动的三相交流发电机提供。飞机的电源要求15％的n2以上发电机才能够提供固有功率，两个独立的线圈从控制交流发电机提供电源给两个独立的ecu通道。

下面结合系统的接口对本发明作进一步描述。

发动机fadec系统提供发动机所有工作状态的推力管理和燃油计划，控制并监视发动机的工作系统。fadec接受输人并将输出信号送到飞机和发动机的许多部件。其中接口繁多而复杂，控制系统通过硬线和总线进行逻辑交输。信号特性分为模拟信号和数字信号。

(1)飞机给fadec的输人信号主要包括油门杆位置、大气数据计算机、座舱操作面板、电源等，以便判断并监控飞机的各种飞行状态和指令。

(2)fadec给飞机的输出信号主要到发动机(参数)指示与机组告警系统(eicas)、推力管理计算机、mfd等，显示并检测发动机的转速、振动、egt、燃油量等性能信息。

(3)发动机给fadec的输人信号主要包括超转离散信号、燃油量反馈信号，各种反馈作动位置(vsv、vbv等)反馈、电子控制组件电源和发动机转速、燃/滑油温度及压力发动机ps3及p0等监控信号，以便监测发动机工作状态并进行控制计算。

(4)fadec给发动机的输出信号包括燃油流量、各种作动筒指令信号和各种阀控工作信号。

下面结合fadec系统的工作原理和功能对本发明作进一步描述。

1、系统的工作原理：

发动机fadec系统提供发动机整个工作包线内的控制,即fadec根据飞机指令从起动到停车的整个过程对发动机进行自主闭环控制。如图4所示。

fadec两个通道(a通道和b通道)带有各自的处理机，互为备份却分工不同。通道间允许发动机数据的余度信息处理，可以从任何一个通道给出发动机控制。控制器内部的断电逻辑比较两个通道的逻辑状态，如果检测到故障，另一个通道取代控制。发动机连续起动时，两个通道则会自动交替控制。两个通道间通过交互通信数据链(ccdl)共享传感器输人信息、飞机指令和fadec状态信息等，以便保持系统的最大故障容错；如图5所示。

fadec软件根据大气数据计算机(adc)和飞机飞行控制传送的输人数据进行推力管理。关键的推力调整输人信号为油门杆角度(tla)和发动机与飞机传感器输人的大气数据。这些输人信号用于正确计算油门杆任何给定位置下n1和n2的修正参考值和物理值。一些推力调整参考值也可以根据离散输人信号(attcs、t/r、wow、飞机系统离散数据)进行修改。同时，fadec软件也具备推力超限保护功能，发动机控制系统采用软硬件超限保护防止发动机超速。推力管理超限保护主要包括对风扇转速、核心机转速、燃油流量和出口压力等参数进行极限设定。另外，在地面起动发动机达到慢车前,控制系统会提供itt超限保护。

2、系统的功能

fadce系统通过以下分系统控制发动机的工作、性能和效率特性；

(l)油量控制

油量控制系统由fmu组成，fmu包括一个流量计量阀和一个超速关断阀。流量计的扭矩马达接收fadec系统控制通道的电信号，并将电信号转换为相应的流量输出，送给燃烧室。关断阀则由过速电磁阀进行控制。

(2)可调静子叶片(vsv)控制

vsv控制子系统包括vsv作动筒和位于fmu内部的vsv伺服阀。fmu接收fadec通道送给vsv扭矩马达(燃油作为液压源)的电信号，并将该信号转换为两个vsv作动筒的液压位置信号。

(3)可调放气活门(vbv)控制

vbv控制子系统包括vbv作动筒和位于fmu内部的vbv伺服阀。fmu接收fadec通道送给vbv扭矩马达(液压源为燃油)的电信号，然后将该信号转换为两个vbv作动筒的液压位置信号。

(4)高压涡轮主动间隙控制阀

高压涡轮主动间隙控制阀(hptacc)控制子系统由hptacc作动筒和hptacc伺服阀组成。hptacc接收fadec控制通道送给hptacc扭矩马达(液压源为燃油)的电信号，然后将电信号转换为该阀的位置信号。

(5)瞬态放气活门(tbv)控制

tbv控制子系统由tbv作动筒和tbv伺服阀组成。tbv接收fadec通道送给tbv扭矩马达(液压源为燃油)的电信号，然后将电信号转换为该阀的位置信号。

(6)发动机起动与点火控制

发动机起动和点火子系统由fadec、两个点火激励器及其相关飞机电路组成。飞行员按压起动控制按钮后，fadec控制通道便自动开始控制起动程序。正常状态下，fadec会控制通道指令点火，自动供油，点火结束后，fadec通道会给飞机发送信号告知断开起动器。

(7)反推力作动系统

反推力作动系统包括推力反推器、作动筒、液压控制阀、位置传感器和压力传感器。反推力通过飞机油门杆上的反推指令开关控制反推力打开。fadec系统无权指令打开反推力，但有权抑制飞机的打开反推力指令。如果fadec系统确定飞机的飞行状态或地面状态(wow)不符合反推力打开的要求时，抑制飞机指令打开反推力。另外，fadec也能确定是否出现未指令情况下的反推力打开状况。如果出现，fadec系统便控制发动机到慢车状态。

(8)功率管理控制

ecu接收推力杆的角度信号，计算出发动机推力限制参数，并相应的调节实际的发动机推力参数。

下面结合fadec系统可靠性模型对本发明作进一步描述。

1、fadec系统的lotc事件分析

由于发动机控制系统的平均安全性要求用lotc状态的故障频度来衡量，瞬时安全性要求则由瞬时lotc率来衡量。本节只针对fadec系统导致发动机lotc事件的故障以及系统单元的分析。

2、系统单元功能

fadec系统单元功能如下：

(1)电子控制器，内含两个相同的计算通道，负责控制规律计算和指令实施，检测发动机状态值，并与飞机通讯；

(2)液压机械单元，将来自电子控制器的电子信号转换为液压压力，用来驱动发动机阀门和执行机构；

(3)电子控制器交流发电机，为数控系统提供独立电源；

(4)发动机识别插头(idplug)，与电子控制器通讯，读取数据，选择一个特定计划，完成发动机推力构型调整；

(5)发动机压力、温度和速度传感器，将压力、温度和速度信号传递到电子控制器；

(6)可调静子叶片执行机构(vsv)，调整静止叶片角度；

(7)可调放气活门执行机构(vbv)，放气以调整发动机工作边界；

(8)高压涡轮主动间隙控制机构(hpatcc)，高压涡轮主动间隙控制；

(9)低压涡轮主动间隙控制机构(lpatcc)，低压涡轮主动间隙控制；

(10)瞬态放气活门(tbv)，高压压气机第9级放气以提高高压压气机喘振边界；

(11)燃烧室旁路阀(bsv)，用于关闭喷嘴的燃油供给，防止发动机减速时熄灭；

(12)点火组件/控制系统，用于发动机起动点火；

(13)反推杆线性差动变压器(lvdt)，反馈反推装置打开位置；

(14)部件间电缆与导管，用于通讯、导气和导油；

(15)交叉通信数据链(ccdl)，共享传感器输人信息、飞机指令和fadec状态信息等，以便保持系统的最大故障容错。

3、lotc事件分析

丧失推力控制事件(lotc)的定义如下：

(1)在任何飞行状态，通过正常的油门杆移动，发动机不能被在慢车和90％最大额定推力之间调节；(导致发动机操作在一个略高于预订慢车推力或功率的故障通常不考虑在内，这类故障可能会导致在正在飞行的机组必须关闭发动机以降低高度或者着陆。)

(2)发动机不能满足part33的可操作性需要；

(3)发动机推力以不可接受的方式震荡。(这种定义仅供给导航使用。不可接受的推力震荡的水平取决于应用。因此，“不可接受的水平”概念的建立需要和安装者协调。在缺少安装者信息时，建议使用起飞推力的+/-5％(i.e.,10％的峰间值)作为默认值。这种标准在双发，翼上装配的飞机在进场和着陆时被发现很难操作。更高的振荡值也许可以在其它的飞行状态可以接受，但是飞机仍然必须成功的在进场和着陆之间过度。因此，+/-5％的起飞推力被认为是不可接受的推力震荡的一个合理定义。)

飞机飞行中包括起飞、爬升、巡航、下降、着陆、复飞等不同的飞行阶段，且在不同的飞行阶段，飞行条件在不断地变化，需要发动机提供不同的推力。飞机的每个飞行阶段都可能包含发动机所有工作状态，即起动、慢车、额定、最大和停车。fadec系统的目的在保证安全可靠的前提下，控制发动机按飞机要求提供所需推力，并能充分发挥其性能效益，如实现发动机的推力控制以满足飞机要求；燃油系统将清洁、无气、增压并计量的燃油输送给燃烧室，燃油量的多少由燃油控制器给出；保证发动机安全工作，即不熄火、不超温、不超载、不喘振和不超转；防止压气机喘振(如可调放气活门(vbv)，可调静子叶片(vsv)和瞬间放气活门(tbv)的控制)；提高发动机性能等。

现代fadec系统一般包括燃油控制与超转保护、发动机起动程序控制、发动机推力管理、压气机气流控制(可调导向叶片与级间放气)、涡轮间隙控制以及反推装置控制等功能。本发明只考虑与lotc相关的故障，在fadec系统的所有功能中，燃油控制功能丧失会直接导致lotc事件，压气机气流控制功能丧失会影响压气机失速特性并引起不可接受的推力振荡，也会导致lotc，其他功能均不会导致lotc事件，因此lotc事件分析只需针对燃油控制功能与压气机气流控制功能。

3、fadec系统的可靠性模型

由fadec系统lotc事件分析得到导致lotc事件有燃油控制功能与压气机气流控制功能，所以本节只需针对燃油控制功能与压气机气流控制功能进行可靠性建模。

fadec系统由电子控制器(ecu)、液压机械组件(hmu)、电源、传感器等部件组成，如5所示。ecu包括两个完全相同的通道(channel)a与b，其中一个通道处于热备份状态(相当于工作状态)；另一个通道处于工作状态，但是它们均接收输入信号并进行计算，但是只有一个通道向hmu输出控制指令，当其中一个通道出现故障以后，另一个通道立刻进入工作状态。通道a与b通过ccdl进行通讯，任一通道的所有输入信号都可以通过ccdl提供给另一通道，保证在某一通道的重要输入信号失效的情况下，两个通道仍然能够正常工作；如图6所示，所有控制信号传感器(controlsensor)都是双余度的，分别与通道a与b相连；指示传感器则是双通道共享(shared)，但是指示传感器所提供信号与推力控制无关。

发动机起动后通道a与b分别由专用电源(controlalternator)的两个独立线圈(winding)供电，飞机电源(aircraftpower)作为备用电源。适航标准要求，即使飞机电源丧失也不允许fadec系统产生危害性的后果，因此可靠性建模时不应包含飞机电源。hmu将源于ecu的控制指令转换为液压压力，驱动燃油计量活门(fmv)实现燃油控制，驱动可调静子叶片(vsv)与可变调气活门(vbv)实现压气机气流控制。ecu计算fmv、vsv以及vbv控制指令所需输入信号包括：高压转子转速(n2)、压气机排气温度(t3)、油门杆角度(tla)以及hmu中执行机构的位置反馈信号，主要包括fmv、vsv与vbv的位置反馈信号。综上所述，要实现推力控制，hmu以及至少一个ecu通道及其传感器、电源是工作的。ccdl故障时，ecu通道与传感器先串联后再与另一通道并联，形成并－串联模型；ccdl可靠时，双余度ecu通道、双余度传感器先并联后再相互串联，构成串－并联模型；ccdl本质上是桥联单元。该系统可靠性模型如图7所示。

4、fadec系统导致lotc事件的最小割集

fadec系统的可靠性模型建立导致lotc事件的故障树并且求出fadec系统导致lotc事件的最小割集。

5、故障树的基本概念

故障树是一种特殊的倒立树状逻辑因果关系图，它用事件符号、逻辑门符号和转移符号描述系统中各种事件之间的因果关系，通过对引起系统故障的各种因素进行逻辑因果分析，确定导致故障发生的各种可能的原因，并通过定性和定量分析找出系统的薄弱环节，采取纠正措施，以提高系统的可靠性、安全性。

(1)割集：设z是一些基本失效事件组成的集合，若z中每个事件都发生(失效)，即引起顶事件t亦发生，则z称作故障树的一个割，z中事件的下标组成的集合叫做割集。

(2)最小割集：若z是一个割，而从中任意去掉一个事件后就不是割，则称z是一个最小割。若用d表示最小割z中基本事件的下标集，则d称作相应于z的最小割集，最小割集中元素的个数称作它的阶。

(3)最小割集的定性比较：

假设：各底事件发生的概率比较小，各底事件发生概率的差别不大。则可根据每个最小割集的阶数，按下列原则确定最小割集和底事件的重要性：阶数越小的割集越重要；在低阶最小割集中出现的底事件比高阶最小割集中出现的底事件重要；在不同最小割集中重复出现次数越多的底事件越重要。此外，为了节约工作量，可以忽略阶数大于指定值的所有最小割集来进行近似计算。

6、故障树的建立

首先，根据fadec系统的可靠性模型分析导致lotc事件的系统单元以及它们之间的关系，然后构建lotc事件的故障树。

(1)当液压机械组件(hmu)失效时，将会直接导致lotc事件。

(2)当n2-a，n2-b、t3-a，t3-b、tla-a，tla-b、fmv-a，fmv-b、vbv-a，vbv-b、vsv-a，vsv-b、channel-a，channel-b、winding-a，winding-b、channel-a，winding-b或channel-b，winding-a同时失效时将会导致lotc事件。

(3)当ccdl失效时，通道a中任意一个系统单元失效且通道b中任意一个系统单元故失效都会导致lotc事件，但不包括第二种情况。

根据以上分析，可得到故障树如图8所示。

下面结合lotc事件的最小割集对本发明作进一步描述。

1.lotc事件的一阶最小割集

(1)当液压机械组件(hmu)失效时，将会直接导致lotc事件，所以hmu失效就是导致lotc事件的一阶最小割集。

2.lotc事件的二阶最小割集

(1)当n2-a转速传感器和n2-b转速传感器同时失效时，将会直接导致lotc事件，所以n2-a和n2-b同时失效就是导致lotc事件的二阶最小割集。

(2)当t3-a温度传感器和t3-b温度转速传感器同时失效时，将会直接导致lotc事件，所以t3-a和t3-b同时失效就是导致lotc事件的二阶最小割集。

(3)当tla-a角度传感器和tla-b角度传感器同时失效时，将会直接导致lotc事件，所以tla-a和tla-b同时失效就是导致lotc事件的二阶最小割集。

(4)当fmv-a反馈传感器和fmv-b反馈传感器同时失效时，将会直接导致lotc事件，所以fmv-a和fmv-b同时失效就是导致lotc事件的二阶最小割集。

(5)当vbv-a反馈传感器和vbv-b反馈传感器同时失效时，将会直接导致lotc事件，所以vbv-a和vbv-b同时失效就是导致lotc事件的二阶最小割集。

(6)当vsv-a反馈传感器和vsv-b反馈传感器同时失效时，将会直接导致lotc事件，所以vsv-a和vsv-b同时失效就是导致lotc事件的二阶最小割集。

(7)当ecu的通道channel-a和channel-b同时失效时，将会直接导致lotc事件，所以channel-a和channel-b同时失效就是导致lotc事件的二阶最小割集。

(8)当ecu的线圈winding-a和winding-b同时失效时，将会直接导致lotc事件，所以winding-a和winding-b同时失效就是导致lotc事件的二阶最小割集。

(9)当ecu的通道channel-a和线圈winding-b同时失效时，将会直接导致lotc事件，所以channel-a和winding-b同时失效就是导致lotc事件的二阶最小割集。

(10)当ecu的通道channel-b和线圈winding-a同时失效时，将会直接导致lotc事件，所以channel-b和winding-a同时失效就是导致lotc事件的二阶最小割集。

3.lotc事件的三阶最小割集

(1)当ccdl，n2-a转速传感器和t3-b温度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(2)当ccdl，n2-a转速传感器和tla-b角度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(3)当ccdl，n2-a转速传感器和fmv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(4)当ccdl，n2-a转速传感器和vbv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(5)当ccdl，n2-a转速传感器和vsv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(6)当ccdl，n2-a转速传感器和通道channel-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(7)当ccdl，n2-a转速传感器和线圈winding-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(8)当ccdl，t3-a温度传感器和n2-b转速传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(9)当ccdl，t3-a温度传感器和tla-b角度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(10)当ccdl，t3-a温度传感器和fmv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(11)当ccdl，t3-a温度传感器和vbv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(12)当ccdl，t3-a温度传感器和vsv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(13)当ccdl，t3-a温度传感器和通道channel-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(14)当ccdl，t3-a温度传感器和线圈winding-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(15)当ccdl，tla-a角度传感器和n2-b转速传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(16)当ccdl，tla-a角度传感器和t3-b温度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(17)当ccdl，tla-a角度传感器和fmv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(18)当ccdl，tla-a角度传感器和vbv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(19)当ccdl，tla-a角度传感器和vsv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(20)当ccdl，tla-a角度传感器和通道channel-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(21)当ccdl，tla-a角度传感器和线圈winding-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(22)当ccdl，fmv-a反馈传感器和n2-b转速传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(23)当ccdl，fmv-a反馈传感器和t3-b温度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(24)当ccdl，fmv-a反馈传感器和tla-b角度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(25)当ccdl，fmv-a反馈传感器和vbv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(26)当ccdl，fmv-a反馈传感器和vsv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(27)当ccdl，fmv-a反馈传感器和通道channel-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(28)当ccdl，fmv-a反馈传感器和线圈winding-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(29)当ccdl，vbv-a反馈传感器和n2-b转速传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(30)当ccdl，vbv-a反馈传感器和t3-b温度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(31)当ccdl，vbv-a反馈传感器和tla-b角度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(32)当ccdl，vbv-a反馈传感器和fmv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(33)当ccdl，vbv-a反馈传感器和vsv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(34)当ccdl，vbv-a反馈传感器和通道channel-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(35)当ccdl，vbv-a反馈传感器和线圈winding-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(36)当ccdl，vsv-a反馈传感器和n2-b转速传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(37)当ccdl，vsv-a反馈传感器和t3-b温度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(38)当ccdl，vsv-a反馈传感器和tla-b角度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(39)当ccdl，vsv-a反馈传感器和fmv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(40)当ccdl，vsv-a反馈传感器和vbv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(41)当ccdl，vsv-a反馈传感器和通道channel-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(42)当ccdl，vsv-a反馈传感器和线圈winding-b同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(43)当ccdl，通道channel-a和n2-b转速传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(44)当ccdl，通道channel-a和t3-b温度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(45)当ccdl，通道channel-a和tla-b角度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(46)当ccdl，通道channel-a和fmv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(47)当ccdl，通道channel-a和vbv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(48)当ccdl，通道channel-a和vsv-a反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(49)当ccdl，线圈winding-a和n2-b转速传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(50)当ccdl，线圈winding-a和t3-b温度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(51)当ccdl，线圈winding-a和tla-b角度传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(52)当ccdl，线圈winding-a和fmv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(53)当ccdl，线圈winding-a和vbv-b反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

(54)当ccdl，线圈winding-a和vsv-a反馈传感器同时失效时，将会直接导致lotc事件，所以三个单元同时失效就是导致lotc事件的三阶最小割集。

以上是导致lotc事件的所有最小割集，包括1个一阶最小割集；10个二阶最小割集；54个三阶最小割集。

下面结合fadec系统的安全性评估方法对本发明作进一步描述。

通过fadec系统导致发动机lotc事件可靠性模型的建立以及分析出导致lotc事件的最小割集，本发明将系统过程演化模型与人的操作行为模型嵌入蒙特卡洛模拟过程中来再现系统在失效与成功状态的随机转移并利用计算机仿真算出fadec系统的平均lotc故障频度和瞬时lotc率。

1、蒙特卡洛模拟方法：

蒙特卡洛模拟方法(montecarlosimulation)也称随机模拟法、随机抽样技术或统计试验法，其基本思想是：为了求解数学、物理、工程技术或生产管理等方面的问题，首先建立一个与求解有关的概率模型或随机过程，使它的参数等于所求问题的解，然后通过对模型或过程的观察或抽样试验来计算所求参数的统计特征，最后给出所求解的近似值。概率统计是蒙特卡洛方法的理论基础，其基本手段是随机抽样或随机变量抽样，对于那些难以进行的或条件不满足的试验而言，是一种极好的替代方法。蒙特卡洛模拟方法可以说是解决复杂多维问题的唯一方法。蒙特卡洛方法可以解决随机性问题和确定性问题，求解问题的基本步骤如下：

(1)建立一个与求解有关的概率模型，使求解为所构建模型的概率分布或数学期望；

(2)对模型进行随机抽样观察，即产生随机变量；

(3)用算术平均数作为所求解的近似平均值，给出所求解的统计估计值。

2、基于蒙特卡洛模拟的fadec系统安全性评估：

随机系统的转移过程：

本发明分析的fadec系统可靠性模型中包括18个单元，每个单元可以处于三种状态(工作、热备份和失效)，这里假设热备份状态就为单元的工作状态，在单元的寿命过程中，它可以从一个状态转移到另一个状态，其中转移的发生时间是随机的，转移到达的状态也是随机的(当单元只有两个状态的时候，转移到达的状态就是固定的)。这样每一个单元的随机行为可以由描述不同状态转移概率的矩阵来定义。另一方面，系统在某一个给定时刻发生状态转移并进入新的配置状态是由一个概率密度函数决定，此函数可以全面地描述系统在时域内的随机行为。

可以通过对系统中单元所有状态的可能组合进行排序来对系统的配置(状态)进行编号。具体地，令kn表示系统第n次转移到达的状态，tn表示转移发生的时刻。

考虑一般的转移：系统在时刻t'转入状态k'，则决定系统在时刻t发生下一次转移并进入状态k的概率是(如图9所示)：

·t(t|t'，k')——给定系统在t'发生上一次转移并进入状态k'的条件下，系统在t与t+dt间发生下一次转移的条件概率；

·c(k|k'，t)——给定系统在初始状态为k'、在时刻t发生状态转移的条件下系统进入状态k的条件概率。

上面定义的概率可以如下归一化：

其中ω为系统所有可能状态构成的集合。注意t(t|t′，k′)可能不会归一化为1，这是因为系统可能以概率1-∫t(t|t',k')dt在时刻t'落入状态k'且无法离开，该状态称为吸收态。

这里引入的两个概率函数构成了一个转移(t'，k')→(t，k)的概率转移核，即：

k(t,k|t',k')＝t(t|t',k')c(k|k',t)(3)。

3、系统状态的随机游走

在实际应用当中，利用蒙特卡洛模拟进行系统安全性分析实际上是进行虚拟试验：在给定的时间内运行大量、相同的随机系统并记录其失效，由于系统行为的随机特性不同，每一个系统的表观也会不一样。这与利用可靠性试验估计单个单元的失效率、平均失效前时间或其他失效行为特征参数流程大体上是相同的；不同之处在于，对于单元而言，在合理的花费与试验时间内，试验可以真正的在实验室进行。但对于由大量单元组成的系统，考虑到系统失效造成的花费或时间，真实试验显然是不可行的。因此，为代替系统的物理测试，可以通过定义系统的概率转移核(式(3))来对系统状态转移的随机过程进行建模，并通过对转移时间以及转移结果进行抽样来得到大量的具体实现。

图10给出了“系统配置—时间”平面上的一系列实现：在此平面上，每个实现都是一次随机游走：两次相邻的转移间平行于时间轴的直线段表示系统在某一确定的状态；垂直的线段表示系统在某一随机时刻随机转入一个新的状态。也将一次随机游走的实现称为“试验”或“历程”。

4、系统不可靠度的蒙特卡洛估计

为了进行安全性分析，需要确定系统配置的一个子集，即失效状态集г(该子集就是求出的系统所有导致lotc事件最小割集的集合)。每当系统进入某一个这样的状态，就记录一次系统失效及其发生的时刻。对于某个给定的时刻t，系统在此刻前失效的概率，即不可靠度ft(t)，可以由时刻t前系统失效发生的频率估计，它等于所有随机游走的实现中时刻t前失效的个数与生成的随机游走实现的总数的比值。

具体地，从计算机代码实现的角度，可以将系统的任务时间划分为nt个长度为△t的小区间，对每个时间区间配置一个不可靠度计数器c^r(t)来记录失效的发生：假如系统在时刻τ进入某一失效状态，则对所有的t∈[τ,tm]对应的c^r(t)加1；如图11所示。在进行了m次随机游走试验后，系统不可靠度的估计可以简单地由c^r(t)除以m得到，其中t∈[0,tm]。

如图11所示，在第二个与第三个历程中，系统在时刻τ进入失效配置，相应地，所有的累计计数器c^r(t)，t∈[τ,tm]均加1来记录失效。最后，由时刻t前系统失效频率给出系统t时刻不可靠度ft(t)的蒙特卡洛估计。考虑到fadec系统为可修复系统，对于可修复产品经历“正常→故障→正常→故障”的循环过程，所表现出的不能正常工作的能力，称为产品的不可用性。

系统随机游走的每一次蒙特卡洛模拟都要重复地进行下面的步骤：根据当前系统在t'时的系统配置k'，从概率转移核(式(3))中抽样得到下一次转移发生的时间以及转移后系统新的配置。这一过程可以用间接蒙特卡洛模拟法实现。

5、系统状态转移抽样的间接蒙特卡洛模拟法

在间接模拟方法中，首先根据条件概率密度t(t|t′，k′)对给定系统于时刻t′进入状态k′的条件下系统下一次转移发生的时刻t进行抽样，然后再根据条件概率c(k|k'，t)对给定系统于时刻t发生转移的条件下从状态k'进入的新状态k进行抽样。重复这一过程即可不断得到下一次转移^[23]。

如图4-2所示的fadec系统可靠性框图中，它由n2-a、t3-a、tla-a、fmv-a、vbv-a、vsv-a、channel-a、winding-a、hmu、ccdl、n2-b、t3-b、tla-b、fmv-b、vbv-b、vsv-b、channel-b、winding-b共18个单元组成，并分别用数字1-18来依次代表每个单元。当ccdl故障时，ecu通道与传感器先串联后再与另一通道并联，形成并－串联模型；当ccdl可靠时，双余度ecu通道、双余度传感器先并联后再相互串联，构成串－并联模型。假设所有的单元都只有两种状态：一种工作状态，一种失效状态。

为了简单起见，假设所有单元两次转移间的时间分布均是指数型的，用表示单元i从状态ji转移到mi的转移速率。表1给出了系统所有单元符号形式的状态转移矩阵，1代表单元的工作状态；2代表单元的失效状态(这里不需要指定单元i的“自转移”速率由状态转移的概率方程推导得到：单元i从状态ji转移到所有可能状态mi的概率之和为1)。

表1单元转移速率

在开始时(t＝0)，所有单元均处于它们的名义状态(工作状态)。当fadec系统导致lotc事件时，就认为fadec系统处于失效状态。在第4章已经得出所有单元的工作逻辑包含1个一阶最小割集(系统失效状态)，10个二阶最小割集(系统失效状态)，54个三阶最小割集(系统失效状态)。

考虑一次蒙特卡洛试验：t＝0时所有单元均处于它们的名义状态(j1＝1,j2＝1…j17＝1,j18＝1)。所有单元从其名义状态1离开的转移速率为：

这是因为转移间的时间分布是指数型的，且所有单元只有两个状态，所以状态2覆盖了从状态1离开后可能到达的所有状态。

这样，系统离开当前配置状态(j1＝1,j2＝1…j17＝1,j18＝1)的转移速率为：

现在，可以利用连续分布的逆变换法进行第一次系统转移时间t1的抽样：

式中：rt～u[0,1)为均匀分布的随机变量。

假设t1≤tm，此时需要确定具体发生了哪个转移，即哪个单元发生了状态转移，转移到了哪个状态。这可以利用离散分布的逆变换方法确定。在给定时刻t1发生转移的条件下，单元1,2,3…18从它们的初始状态1发生转移的概率分别为：

如图12所示，给出了一个具体的例子，其中，抽取的随机数rc～u[0,1)对应于单元15发生了转移。

通过抽样得到在t1时刻单元15发生了转移，由于系统单元只有两种状态，所以转移到达的状态就可以不用抽样了，它只能从当前状态转移到另一个状态，因此它的转移也就是从状态1转移到状态2，即单元15失效了。

为了更清楚地解释转移k′(1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,)→k(1,1,1,1,1,1,1,1,1,1,1,1,1,1,2,1,1,1,)，以上是从c(k|k'，t)中先进行转移单元的抽样，然后确定到达的状态。但也可以根据的比例区间

[0,1)划分为18个子区间，然后只用一个随机数rcs～u[0,1)来同时抽样得到单元与单元到达的状态，即一次得到整个转移。这两个过程在统计上是等价的。

经过第一次转移，系统在时刻t1所处的配置为(1,1,1,1,1,1,1,1,1,1,1,1,1,1,2,1,1,1,)，这一模拟过程可以根据更新后的系统转移速率继续进行：

下一次转移的发生时刻t2为：

式中：rt～u[0,1)为均匀分布的随机变量。

再次假设t2≤tm，则如上所述，这次发生转移的单元与它转移到达的状态可以根据适当的离散分布利用逆变换法抽样得到。

下面结合计算机仿真的实现对本发明作进一步描述。

1、“故障→正常”为1次/小时的仿真

在模拟系统随机游走的过程中，系统不断地从一个状态进入另一个状态，直到到达系统的任务时间tm。当系统进入了一个故障配置或者失效状态时，失效就会被记录下来。

对表1中单元的转移速率进行赋值，这里的转移速率是指单元从任意一个状态转移到其他状态的平均速率，所以，单元从“正常→故障”状态的转移速率就是单元的故障率，而单元从“故障→正常”状态的转移速率就是单元的修复率，这与飞机航班的飞行时间、飞机航后与航前的间隔时间、维修团队的修复能力等有关。虽然在mel中当特定的系统、功能或设备失效后保障飞机维持可以接受的安全水平运行一段时间而不必立即修理，但在条件允许时，应力保所有故障尽早得到修理使飞机恢复正常状况。但是适航标准要求在设计航空器时应带有特定系统和部件且保证这些系统和部件正常运行。因此，在进行安全性评估的时候，fadec的所有系统单元故障时都应立刻进行修复。根据大部分航空运营人的运营情况，假设修复率为1次/小时、0.8次/小时和0.5次/小时三种情况；所以单元从“故障→正常”状态的转移速率就取1次/小时、0.8次/小时和0.5次/小时。单元从“正常→故障”状态的转移速率就取某航空发动机的单元故障率。

具体地，从计算机仿真的角度，取系统的任务时间tm为10000小时，可以将系统的任务时间划分为40个长度为250小时的小区间，假设随机游走的次数为100000次，最后给出估计fadec系统的瞬时lotc率以及tm内平均lotc故障频度的matlab程序。

图13给出了当单元从“故障→正常”状态的转移速率为1次/小时，fadec系统状态随机游走四次计算机仿真的瞬时lotc率；对应任务时间内的平均lotc故障频度分别为0.68682×10^-5、0.71482×10^-5、0.70376×10^-5、0.70035×10^-5。这种情况的平均lotc故障频度满足发动机控制系统的平均安全性要求，瞬时lotc率满足发动机控制系统的瞬时安全性要求。

2、故障→正常”为0.8次/小时的仿真

当单元从“故障→正常”状态的转移速率为0.8次/小时的情况：

图14给出了当单元从“故障→正常”状态的转移速率为0.8次/小时，fadec系统状态随机游走四次计算机仿真的瞬时lotc率；对应任务时间内的平均lotc故障频度分别为0.88694×10^-5、0.90106×10^-5、0.86087×10^-5、0.88185×10^-5。这种情况的平均lotc故障频度满足发动机控制系统的平均安全性要求，瞬时lotc率满足发动机控制系统的瞬时安全性要求。

3、“故障→正常”为0.5次/小时的仿真

当单元从“故障→正常”状态的转移速率为0.5次/小时的情况；

图15给出了当单元从“故障→正常”状态的转移速率为0.5次/小时，fadec系统状态随机游走四次计算机仿真的瞬时lotc率；对应任务时间内的平均lotc故障频度分别为1.3951×10^-5、1.4071×10^-5、1.3730×10^-5、1.4353×10^-5。这种情况的平均lotc故障频度就不能满足发动机控制系统的平均安全性要求，但是瞬时lotc率能够满足发动机控制系统的瞬时安全性要求。

本发明对现代航空发动机全权限数字电子控制系统的安全性评估方法进行了学习与分析，基于航空发动机适航规定中对fadec系统的初始适航要求以及美国航空推荐施工法5107b中对发动机控制系统的安全性要求，针对fadec系统出现故障导致发动机lotc事件，利用蒙特卡洛方法来模拟fadec系统在时域内的工作状态与失效状态间的随机转移，通过在虚拟试验中得到系统导致lotc事件的频率来估计系统的lotc率，给出了一种系统性的fadec系统安全性的评估方法。这不仅为改进设计、制造工艺，获取适航合格证指明方向和途径；还为fadec系统的时间限制遣派研究和制定主最低设备清单(mmel)提供基础依据。

本发明对已经得到假设单元修复率为1次/小时、0.8次/小时和0.5次/小时三种情况下fadec系统的瞬时lotc率和平均lotc故障频度。当单元修复率为1次/小时和0.8次/小时的时候，分别在四次仿真中系统瞬时lotc率和平均lotc故障频度均满足航空发动机初始适航的安全性要求。当单元修复率为0.5次/小时的时候，在四次仿真中系统平均lotc故障频度都不能满足航空发动机初始适航的安全性要求，但四次仿真中系统瞬时lotc率都能满足航空发动机初始适航的安全性要求。在三种假设中，随着系统单元修复率的降低时，fadec系统的平均lotc故障频度增加，意味着更容易发生lotc事件。所以，虽然在mel中当特定的系统、功能或设备失效后保障飞机维持可以接受的安全水平运行一段时间而不必立即修理，但在条件允许时，应力保所有故障尽早得到修理使飞机恢复正常状况，这就是为了减小系统的故障频度，使系统处于一个更高的安全性水平。

下面结合未来与展望对本发明作进一步描述。

(1)在确定fadec系统失效状态时，是针对航空发动机适航规定中的导致发动机丧失推力控制事件为准，后续分析还可以进一步加入对错误数据传输，或影响发动机工作特性从而产生喘振或失速等因素。

(2)在模拟系统配置随机游走的过程中，假设系统单元只存在工作和失效状态，将单元的热备份状态视为工作状态，还可以深入分析系统存在工作、热备份、失效状态的情况，将热备份状态嵌入单元的状态转移中来进行随机试验。

(3)本发明的fadec系统为可修复系统，单元从“故障→正常”状态的转移速率是根据通常航空运营人维修团队的修复能力，飞机航后到航前的时间等来假设的情况；进一步分析可以根据考察飞机运营的具体实际情况建立单元的维修度函数，求出单元的维修概率密度函数和维修率函数，对修复时间进行抽样，进行仿真估计出单元具体的修复率，这样可得到更准确的fadec系统安全性。

(4)本发明航空发动机fadec系统安全性评估只考虑了硬件的安全性，假设fadec系统的软件处于正常状态，在后续分析中可以综合考虑硬件和软件的安全性来全面评估fadec系统的安全性。

(5)在新一代航空发动机pw1100g的fadec系统控制模式中，eec两个通道的工作模式可以由“工作-备份”转换成“工作-工作”，两个通道可以同时控制发动机的不同功能，例如：当两个通道的不同控制信号传感器故障并且ccdl也故障，这时两个通道同时工作执行不同的控制功能，仍然使发动机处于正常工作状态；而在本发明的fadec系统中，在任意时刻只有一个通道控制发动机，出现这种状况，fadec系统就不能正常控制发动机功能。所以，本文考虑的三阶最小割集的故障配置在pw1100g发动机fadec系统中就不是故障状态，这样使发动机fadec系统处于一个更高的安全性水平，也大大提高了fadec系统的可靠性。在对pw1100g航空发动机fadec系统的安全性评估的时候，就需要将eec两个通道的“工作-工作”模式考虑到可靠性模型建立中。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。