一种航空发动机适航安全性验证方法与流程

本发明涉及一种航空发动机适航安全性验证方法，特别是涉及一种故障树与概率模型检测相结合的航空发动机适航安全性验证方法，属于系统安全性验证技术领域。

背景技术

航空发动机结构复杂，经常在高速、高温恶劣环境下工作，一旦出现故障即可能导致灾难性的后果，因此，在发动机研制过程中，必须开展安全性设计、分析、评估与符合性验证工作，最终确保研制出的发动机能够满足相关的安全性要求。

ccar33-r2《航空发动机适航规定》是航空发动机必须满足的最低安全标准。其中，第75项条款ccar33-r2.75明确规定了发动机的安全性要求。ccar33-r2.75条款验证要求如下：

1)危害性发动机后果的预期发生概率不超过定义的极小可能概率(1e-7～1e-9次/发动机飞行小时)；

2)重要发动机后果的预期发生概率不超过定义的微小可能概率(1e-5～1e-7次/发动机飞行小时)。

故障树分析fta作为安全性分析的传统技术手段，被广泛用于航空电子、核能和化工领域等安全关键领域，但是传统故障树不能对动态系统进行故障建模，因为传统故障树只描述了系统的静态逻辑关系，不能描述系统的时序逻辑关系。

动态故障树dft通过引入描述时序逻辑关系的动态逻辑门扩展了传统故障树，从而能够对动态系统进行可靠性和安全性分析，被广泛应用于动态系统的故障建模。但是动态故障树是一个半形式化的模型，不能直接对其进行安全性分析与验证，因此，需要先对动态故障树进行形式化规约，然后再进行安全性分析与验证。

针对航空发动机的安全性问题，国内外学者展开了一系列研究，宾夕法尼亚大学的sgupata教授等提出了基于数据驱动的飞机涡轮发动机初期检测方法，运用markov模型对飞机起飞阶段的瞬态数据进行建模分析，最后通过nasacmapss瞬态测试用例生成器验证了该方法的可行性与正确性。

皇家墨尔本理工大学sarthasartsri等用fmea对飞机发动机主要模块和功能进行分析，文章介绍了使用rcmcost仿真软件进行fmea的分析步骤，从而找出所有潜在的失效模式，并分析其可能的后果，在设计过程进行改进，提高发动机的安全性和可靠性。

大连理工大学鲁娆在其毕业论文中结合了可靠性分析与仿真技术和故障树分析法，实现了对航空发动机全权限数字式控制系统fadec的故障树建树、分析与仿真。

沈阳发动机设计研究所黄庆男等，运用故障树分析方法，对某型航空发动机进行了转子包容性故障树安全综合分析。

南京航空航天大学李艳军等提出了基于femeca和fta的航空发动机适航安全性验证方法，首先选择ccar33-r2.75中危害的和重要的发动机后果为顶事件，然后运用fmeca和fta相结合的分析方法对航空发动机进行安全性分析与验证，利用isographreliability软件画出故障树并计算出顶事件的发生概率。

上述研究表明，传统安全性分析与验证方法大多基于人工的方式，存在计算过程复杂、结果不准确等缺点，此外，由于航空发动机自身的复杂性，其构件的故障发生往往具有强耦合性，然而现有的分析方法并未考虑这种动态特性而是假设故障发生具有独立性，基于此，需要面向航空发动机ccar33-r2.75适航条款提出了一种将动态故障树和概率模型检测相结合的航空发动机适航安全性验证方法，实现系统动态行为的故障建模与安全性验证。

技术实现要素：

本发明的主要目的是为了提供一种航空发动机适航安全性验证方法，解决了传统安全性分析与验证方法基于人工方式，存在的计算过程复杂、结果不准确等缺点，同时解决了现有分析方法未考虑航空发动机动态特性而假设故障发生具有独立性的问题。

本发明的目的可以通过采用如下技术方案达到：

一种航空发动机适航安全性验证方法，通过动态故障树中引入的描述时序逻辑关系的动态逻辑门来描述航空发动机系统的动态行为，对航空发动机组件故障之间的时序关系进行建模，并对生成的动态故障树进行形式化规约，将其转换成dtmc模型，然后通过概率模型检测的方法对dtmc模型进行描述和表达，并对适航安全性要求属性进行形式化验证。

进一步的，具体包括如下步骤：

步骤1：对航空发动机故障进行建模及形式化规约

通过对航空发动机的动态行为进行建模，描述航空发动机故障发生之间的时序关系，将动态故障树转换成dtmc模型，对动态故障树语义进行精确描述，作为安全性验证的基础；

步骤2：进行概率模型检测

用概率模型检测语言prism对生成的dtmc模型进行描述和表达，将其转换成prism代码，同时对适航安全性要求进行属性抽取，生成pctl公式，并将生成的prism代码和pctl公式放入prism工具内，进行自动化的属性验证。

进一步的，步骤1具体包括如下步骤：

步骤1.1：采用动态故障树对航空发动机的动态行为进行建模，用以描述航空发动机故障之间的时序关系；

步骤1.2：对动态故障树进行形式化规约，将其转换到dtmc模型，故障树事件作为逻辑门的输入转换成dtmc模型状态里的变量，故障树事件的故障概率用dtmc模型的转移概率来描述，dft形式化规约的过程主要是将逻辑门转换成dtmc模型的过程。

进一步的，步骤1.1是通过以下方法实现的：

通过动态故障树的动态逻辑门对航空发动机故障之间的时序关系进行详细的描述，对故障之间的时序关系建模；

动态逻辑门包括pand门、sprae门、fdep门；

当构件故障发生按照一定的顺序导致其他故障发生，可以通过pand对这种情况进行建模，当构件故障之间具有依赖关系，可以用fdep门对这种情况进行建模，当一个构件共享与多个组件时，可以用sprae门描述这种关系。

进一步的，pand门用来描述故障发生之间具有一定顺序关系才能导致其他故障发生的情况；

spare门用来描述多个组件发生故障，组件之间有优先级关系的情况，在次构件发生故障，主构件未发生故障时，不能导致其他故障发生的情况；

fdep门用来描述故障之间依赖关系，当一个构件发生故障，与之具有依赖关系的构件发生故障。

进一步的，步骤1.2中，dft形式化规约的过程主要是将逻辑门转换成dtmc模型的过程，通过将and门、or门、pand门、fdep门分别转换成dtmc模型，即，分别将逻辑门转换成一个有限状态迁移系统

其中：s表示一组有限状态集合；

为状态集合s中的初始状态；

p：s×s→[0,1]是概率转移矩阵，并且所有的状态s∈s，可以得到σs′∈sp(s,s′)＝1；

l：s→2^ap是一个标签函数，将状态集合s中的每一个状态映射到从一组ap中获得一组原子命题。

进一步的，步骤2具体包括如下步骤：

步骤2.1：用概率模型检测语言prism对步骤1.2生成的dtmc模型进行描述，将其转换成prism代码，运用模块化的方法对整个故障树的逻辑门的dtmc模块对应的代码块进行组合，生成整个故障树对应的prism代码；

步骤2.2：将抽取待验证的安全性要求进行属性抽取，生成pctl公式，并将步骤2.1生成的prism代码和pctl公式一起放入prism工具中，进行属性验证。

进一步的，步骤2.1的实现方法如下：

用prism语言对dtmc模型进行描述，每个dtmc模型转换成prism里面的代码块，即一个module；

每个module可以描述一个有限状态系统，每个module格式如下：

modulexxx

…(prism命令表达dtmc模型)

endmodule

其中，prism命令的格式如下：

由元组cmd＝(act,guard,rate,action)构成，

且格式为：[<act>]<guard>→<rate>∶<action>，

其中，act是一个动作标签；

guard是一个动作的谓词；

rate是一个数字，表示一个动作发生的概率；

action是模型中的迁移动作，表示一组n个变量的更新。

进一步的，步骤2.2的实现方法如下：

将步骤2.1生成的prism代码，即每个dtmc对应的module代码块，放入prism工具的module模块里面，对安全性要求进行分析，根据概率树计算逻辑对安全性要求进行属性抽取，转换成pctl公式，并放入prism工具的property模块里面，在prism工具里面自动进行安全性属性验证。

本发明的有益技术效果：按照本发明的航空发动机适航安全性验证方法，本发明提供的航空发动机适航安全性验证方法，与传统的安全性分析与验证方法相比，基于prism工具自动进行安全性验证的方式，解决了基于人工方式带来的计算过程复杂、结果不准确的缺点，同时，由于航空发动机自身的复杂性，其构建的故障发生之间往往具有强耦合性，然而现有的分析方法并未考虑这种动态特性而是假设故障发生之间具有独立性，本发明考虑了航空发动机系统故障发生之间具有的时序关系，解决了传统分析方法中常常假设故障发生之间具有独立性的问题。

附图说明

图1为本发明的航空发动机适航安全性验证方法的一优选实施例的航空发动机适航安全性验证框架原理图；

图2为本发明的航空发动机适航安全性验证方法的一优选实施例的故障树逻辑门图；

图3为本发明的航空发动机适航安全性验证方法的一优选实施例的and门的dtmc模型图；

图4为本发明的航空发动机适航安全性验证方法的一优选实施例的and门的prism代码图；

图5为本发明的航空发动机适航安全性验证方法的一优选实施例的or门的dtmc模型图；

图6为本发明的航空发动机适航安全性验证方法的一优选实施例的or门的prism代码图；

图7为本发明的航空发动机适航安全性验证方法的一优选实施例的pand门的dtmc模型图；

图8为本发明的航空发动机适航安全性验证方法的一优选实施例的pand门的prism代码图；

图9为本发明的航空发动机适航安全性验证方法的一优选实施例的fedp门的dtmc模型图；

图10为本发明的航空发动机适航安全性验证方法的一优选实施例的fedp门的prism代码图；

图11为本发明的航空发动机适航安全性验证方法的一优选实施例的2-gate实例的dtmc模型图；

图12为本发明的航空发动机适航安全性验证方法的一优选实施例的2-gate实例的prism代码图；

图13为本发明的航空发动机适航安全性验证方法的一优选实施例的发动机不可控火情故障树图；

图14为本发明的航空发动机适航安全性验证方法的一优选实施例的属性验证结果图。

具体实施方式

为使本领域技术人员更加清楚和明确本发明的技术方案，下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

如图1所示，本实施例提供的一种航空发动机适航安全性验证方法，通过动态故障树中引入的描述时序逻辑关系的动态逻辑门来描述航空发动机系统的动态行为，对航空发动机组件故障之间的时序关系进行建模，并对生成的动态故障树进行形式化规约，将其转换成dtmc模型，然后通过概率模型检测的方法对dtmc模型进行描述和表达，并对适航安全性要求属性进行形式化验证，具体包括如下步骤：

步骤1：对航空发动机故障进行建模及形式化规约

通过对航空发动机的动态行为进行建模，描述航空发动机故障发生之间的时序关系，将动态故障树转换成dtmc模型，对动态故障树语义进行精确描述，作为安全性验证的基础；

步骤1.1：采用动态故障树对航空发动机的动态行为进行建模，用以描述航空发动机故障之间的时序关系；

通过动态故障树的动态逻辑门对航空发动机故障之间的时序关系进行详细的描述，对故障之间的时序关系建模；

动态逻辑门包括pand门、sprae门、fdep门；

当构件故障发生按照一定的顺序导致其他故障发生，可以通过pand对这种情况进行建模，当构件故障之间具有依赖关系，可以用fdep门对这种情况进行建模，当一个构件共享与多个组件时，可以用sprae门描述这种关系；

进一步的，pand门用来描述故障发生之间具有一定顺序关系才能导致其他故障发生的情况；

spare门用来描述多个组件发生故障，组件之间有优先级关系的情况，在次构件发生故障，主构件未发生故障时，不能导致其他故障发生的情况；

fdep门用来描述故障之间依赖关系，当一个构件发生故障，与之具有依赖关系的构件发生故障。

步骤1.2：对动态故障树进行形式化规约，将其转换到dtmc模型，故障树事件作为逻辑门的输入转换成dtmc模型状态里的变量，故障树事件的故障概率用dtmc模型的转移概率来描述，dft形式化规约的过程主要是将逻辑门转换成dtmc模型的过程；

dft形式化规约的过程主要是将逻辑门转换成dtmc模型的过程，通过将and门、or门、pand门、fdep门分别转换成dtmc模型，即，分别将逻辑门转换成一个有限状态迁移系统

其中：s表示一组有限状态集合；

为状态集合s中的初始状态；

p：s×s→[0,1]是概率转移矩阵，并且所有的状态s∈s，可以得到σs′∈sp(s,s′)＝1；

l：s→2^ap是一个标签函数，将状态集合s中的每一个状态映射到从一组ap中获得一组原子命题；

步骤2：进行概率模型检测

用概率模型检测语言prism对生成的dtmc模型进行描述和表达，将其转换成prism代码，同时对适航安全性要求进行属性抽取，生成pctl公式，并将生成的prism代码和pctl公式放入prism工具内，进行自动化的属性验证，具体包括如下步骤：

步骤2.1：用概率模型检测语言prism对步骤1.2生成的dtmc模型进行描述，将其转换成prism代码，运用模块化的方法对整个故障树的逻辑门的dtmc模块对应的代码块进行组合，生成整个故障树对应的prism代码，实现方法如下：

用prism语言对dtmc模型进行描述，每个dtmc模型转换成prism里面的代码块，即一个module；

每个module可以描述一个有限状态系统，每个module格式如下：

modulexxx

…(prism命令表达dtmc模型)

endmodule

其中，prism命令的格式如下：

由元组cmd＝(act,guard,rate,action)构成，

且格式为：[<act>]<guard>→<rate>∶<action>，

其中，act是一个动作标签；

guard是一个动作的谓词；

rate是一个数字，表示一个动作发生的概率；

action是模型中的迁移动作，表示一组n个变量的更新；

步骤2.2：将抽取待验证的安全性要求进行属性抽取，生成pctl公式，并将步骤2.1生成的prism代码和pctl公式一起放入prism工具中，进行属性验证，其实现方法如下：

将步骤2.1生成的prism代码，即每个dtmc对应的module代码块，放入prism工具的module模块里面，对安全性要求进行分析，根据概率树计算逻辑对安全性要求进行属性抽取，转换成pctl公式，并放入prism工具的property模块里面，在prism工具里面自动进行安全性属性验证。

在本实施例中，本实施例以航空发动机适航标准为依据，结合某型航空发动机适航符合性验证的工程背景，建立了航空发动机ccar33-r2.75条款的适航复合型验证框架。利用故障树与概率模型检测相结合的方法验证了某型涡轮发动机不可控火情故障对ccar33-r2.75条款的符合性。实践表明该方法的可行性和正确性，可以为航空发动机ccar33-r2.75条款的符合性验证工作提供支持。具体步骤如下，其具体流程可见附图1。

步骤1：对航空发动机故障进行建模和形式化规约，通过对航空发动机的动态行为进行建模，用以描述航空发动机故障发生之间的时序关系；再通过对所构建动态故障树进行形式化规约，将动态故障树转换成dtmc模型，对动态故障树语义进行精确描述，用来作为安全性验证的基础。

步骤1.1：以某型涡轮航空发动机的不可控火情故障为例，其动态故障树图如图7所示，通过该例详细说明如何利用利用动态故障树来对不可控火情故障进行故障建模，结合领域知识和工程背景可以对某型涡轮航空发动机不可控火情故障进行演绎推理的方式，自上而下的进行故障的层层细分，其顶事件为“发动机不可控火情”事件，即当发动机着火且发现灭火功能失效时，将导致发动机火情不可控。所以发动机着火和灭火功能失效通过优先与门与不可控火情故障相连，其中，发动机着火主要有燃油泄漏引起的着火和火焰外串引起的着火两类，所以燃油泄漏引起着火和火焰外传引起着火通过或门与发动机着火相连。燃油泄露引起的着火的原因主要有燃油泄漏同时燃油管道温度过高导致的，所以燃油泄漏和燃油管道温度过高通过与门和燃油泄漏引起着火相连，而燃油泄露主要是因为燃油管路破裂或燃油进口接头失效，所以燃油管道破裂和燃油进口接头失效通过与门和燃油泄漏相连，燃油管道温度过高是因为滑油系统冷却功能失效或电子元器件短路，所以或有系统冷却功能失效和电子元器件短路通过或门与燃油管道温度过高相连，滑油系统冷却功能失效主要是由于增压泵或者回油泵失效，再或者是因为单向活门失效，所以增压泵失效、回油泵失效和单向活门失效与滑油冷却系统功能失效相连，火焰外串引起着火主要是由于燃油室破裂或涡轮机闸破裂引起，所以燃油室破裂和涡轮机闸通过或门与火焰外串引起着火相连。发动机灭火功能失效的原因主要是火警探测器失效和灭火瓶失效，所以火警探测器和灭火瓶失效与发动机灭火功能失效相连，而火警探测器失效还可以细分为热区探测器是失效和冷区探测器失效，所以热区探测器和冷区探测器通过或门与火警探测器相连，通过以上演绎推理的方式对火情不可控故障进行从上而下的细分，可以得出某型涡轮发动机火情不可控故障的动态故障树如图13所示。

步骤1.2：对动态故障树进行形式化规约，将其转换成dtmc模型，在dft的形式化规约过程中，故障树事件作为逻辑门的输入转换成dtmc模型状态里的变量，故障树事件的故障概率用dtmc模型的转移概率来描述。所以dft形式化规约的过程主要是将逻辑门转换成dtmc模型的过程。接下来结合附图详细介绍逻辑门到dtmc模型的转换。

附图3为附图2(a)所示and门的dtmc模型，and门的dtmc模型可以被形式化的定义为一个有限状态迁移系统其中，s是状态集合s＝(s0,s1,s2,s3,s4,s5)，是初始状态s0，p是概率转移矩阵，其中，p1和p2分别表示输入a和b的发生概率。概率转移矩阵p如下所示：

其中，l：s→2^ap是个标签函数，在状态和感兴趣的属性之间建立映射关系，此处l(s5)＝propagete。将and门的dtmc模型记为and-dtmc，如图3所示。

附图5和图6为附图2(b)所示or门的dtmc模型，or门的dtmc模型与and门类似，可以被形式化定义为一个有限状态迁移系统其中，s是状态集合s＝(s0,s1,s2,s3,s4)，是初始状态s0，p是概率转移矩阵，其中，p4和p5分别表示输入x和y的发生概率。概率转移矩阵p如下所示：

其中，而且l：s→2^ap是个标签函数，在状态和感兴趣的属性之间建立映射关系，此处l(s5)＝propagete。将or门的dtmc模型记为or-dtmc，如图5和图6所示。

图7和图8为附图2(c)所示pand门的dtmc模型，pand门的dtmc模型也可表示为一个有限状态迁移系统其中，s是状态集合s＝(s0,s1,s2,s3,s4)，是初始状态s0，p是概率转移矩阵，其中，p6和p7分别表示输入o和p的发生概率。概率转移矩阵p如下所示：

其中，而且l：s→2^ap是个标签函数，在状态和感兴趣的属性之间建立映射关系，此处l(s5)＝propagete。将pand门的dtmc模型记为pand-dtmc，如图7和图8所示。

附图9和图10为附图2(d)所示fdep门的dtmc模型，fdep门的dtmc模型也可表示为一个有限状态迁移系统其中，s是状态集合s＝(s0,s1,s2,s3,s4)，是初始状态s0，p是概率转移矩阵，其中，p8p9和p10分别表示触发输入q和相关输入m和n的发生概率。概率转移矩阵p如下所示：

其中，而且l：s→2^ap是个标签函数，在状态和感兴趣的属性之间建立映射关系，此处l(s5)＝happend。将fdep门的dtmc模型记为fdep-dtmc，如图9和图10所示。

图7为附图2(e)所示2-gate实例的dtmc模型，附图2(e)所示的2-gate实例由多个逻辑门组成，本发明称之为组合逻辑们，如何让对组合逻辑们进行形式化规约是本发明中的重要部分。通过对单个逻辑门进行形式化规约，然后通过模块化的方法，对单个逻辑门的dtmc模型进行组合，通过添加一个逻辑门指定故障树中逻辑门发生顺序，生成组合逻辑门的dtmc模型，该实例由一个优先与门和一个与门构成，有三个输入事件o，p和e和一个输出事件f。如图2(e)所示，d是一个中间事件，f是顶事件。故障树从pand门开始，输入o和p，在输出s进入and门时变成中间事件d，而且在输出s传播后，输入e才有机会被触发。

步骤2：基于概率模型检测的方法，用概率模型检测语言prism对生成的dtmc模型进行描述和表达，将其转换成prism代码，同时对适航安全性要求进行属性抽取，生成pctl公式，并将生成的代码和pctl公式放入prism工具内，进行自动化的属性验证。

步骤2.1：通过将每个逻辑门生成的dtmc模型转换成prism代码来详细说明该步骤。

根据附图3所示的and门dtmc模型的状态迁移过程，实现and-dtmc到prism代码的转换。and门的有限状态系统从初始状态s0(a＝0,b＝0)开始，下一个状态有可能是s1(a＝1,b＝0)或s2(a＝0,b＝1)，转移概率分别为p1和p2。也可能不发生状态迁移，停留在状态s0(a＝0,b＝0)，概率为1-p1-p2。当系统到达状态s1或s2后，系统有可能分别以概率p2或p1迁移到s3(a＝1,b＝1,c＝0)，然后迁移到状态s5(a＝0,b＝0,c＝1)，表示故障传播。或者由于故障屏蔽的关系，系统以概率p3迁移到状态s4(a＝0,b＝0,m＝1)，表示故障屏蔽。系统也可以停留在状态s1和s2不做迁移。将and门的dtmc模型转换成prism代码如图4所示。其中，变量m表示故障屏蔽，变量and＝0时表示模块处于空闲状态，and＝1时表示等待一个输入，and＝2时表示等待第二个输入。

根据附图5和图6所示的or门dtmc模型的迁移过程，实现or-dtmc到prism代码的转换。or门的有限状态系统从初始状态s0(x＝0,y＝0)开始，有可能分别以概率p4和p5迁移到状态s1(x＝1,y＝0)和s2(x＝0,y＝1)，或者停留在初始状态。为了使状态空间尽量减小，我们将由一个输入发生故障从而导致的故障传播(x＝1,y＝0,z＝1)和(x＝0,y＝1,z＝1)，和由两个输入都发生故障导致的故障传播(x＝1,y＝1,z＝1)看成是一个状态s3(x＝0,y＝0,z＝1)。当系统迁移到状态s1或s2后，有可能分别从状态s1和状态s2以概率p3迁移到状态s4(x＝0,y＝0,m＝1)，表示故障屏蔽。或者分别从状态s1或s2迁移到状态s3(x＝0,y＝0,z＝1)，概率为1-p3，表示故障传播。将or门的dtmc模型转换成prism代码如图5和图6所示。其中，变量m表示故障屏蔽，变量or＝0时表示模块处于空闲状态，or＝1时表示等待一个输入，or＝2时表示等待第二个输入。

根据图7和图8所示的pand门dtmc模型的迁移过程，实现pand-dtmc到prism代码的转换。pand门的有限状态机系统从初始状态s0(o＝0,p＝0)开始，可以分别以概率p6和p7迁移到状态s1(o＝1,p＝0)和状态s2(o＝0,p＝1)，或者停留在状态s0不做迁移。当迁移到达状态s2时，由于优先与门的时序特性，从状态s2只能迁移到状态s4(o＝0,p＝0,m＝1)，表示故障未传播。在本文中，为了使系统组成简化，减少状态迁移的次数，将所有由pand门时序关系影响，迁移到的故障未传播状态与故障屏蔽状态看成一个状态。当系统迁移到状态s1后，可以分别以概率p3和p7，迁移到状态s4(o＝0,p＝0,m＝1)和状态s3(o＝1,p＝1,s＝o)，其中，状态s4表示故障屏蔽。状态s3可以迁移到状态s5(o＝0,p＝0,s＝1)，表示故障传播。将pand门的dtmc模型转换成prism代码如图7和图8所示，其中，变量m表示故障屏蔽，变量pand＝0时表示模块处于空闲状态，pand＝1时表示等待一个输入，pand＝2时表示等待第二个输入。

根据附图9和图10所示的fdep门dtmc模型的迁移过程，实现fdep-dtmc到prism代码的转换。fdep门的有限状态机系统从初始状态s0(o＝0,p＝0)开始，可以分别以概率p8、p9、p10迁移到下一个状态s1(r＝1,t＝0,m＝0)、s2(n＝1,t＝0,m＝0)和s3(q＝1,t＝1,m＝0)。也可以停留在状态s0不做状态迁移。当系统迁移到状态s1或s2后，可以分别以概率p10，p9迁移到状态s3(r＝1,n＝1,q＝1,t＝1,m＝0)。也可以不做状态迁移或者以概率p3迁移到状态s4(r＝0,n＝0,q＝0,t＝0,m＝1)。将图9和图10中fdep门的dtmc模型转换成prism代码如图9和图10所示，其中，变量m表示故障屏蔽，变量fdep＝0时表示模块处于空闲状态，fdep＝1时表示等待一个输入，fdep＝2时表示等待第二个输入。

根据图7所示的2-gate实例dtmc模型的迁移过程，实现2-gatedtmc模型到prism代码的转换。从状态s0开始，系统被初始化并迁移到状态s1，之后系统可以分别以概率p1和p2迁移到状态s2和状态s3，也可以停留在状态s1不做迁移，当系统迁移到状态s3时，由于p事件比o事件先发生，由优先与门的特性可知状态s3只能迁移到状态s9，而状态s2可以迁移到状态s4和状态s9，转移概率分别为p2和p3，之后状态s4迁移到状态s5，表示优先与门故障传播，然后pand门的输出事件s作为and门的输入事件，系统由状态s5迁移到s6，在状态s6之后，进入and门，事件e有被触发的概率p4，系统由状态s6迁移到状态s7，然后到状态s8，表示故障传播，顶事件f发生。否则直接从状态s6迁移到状态s9，表示故障被屏蔽。在dtmc模型中，由状态s5转换到状态s6的过程中，pand门的故障传播到and门，需要在controller模块中控制传播的过程，and门模块中的概率p5为0，即and的输入事件d必须要从pand门的输出s传播而来。2-gate实例模型的prism代码如图7所示。

步骤2.2：抽取待验证的安全性要求进行属性抽取，生成pctl公式，并将步骤2.1生成的prism代码和pctl公式一起放入prism工具中，进行属性验证。

将ccar33-r2.7条例提出的发动机适航安全性要求转换成pctl属性公式如下：

p<0.0000001[(f<＝1000x1＝1)]

然后对附图13所示的动态故障树运用步骤1.2、步骤2.1提出的方法，生成的dtmc模型并转换成prism代码，然后将prism代码和pctl公式分别放入prism工具里的module模块和property模块，得到最终验证结果如图14所示。

综上所述，在本实施例中，按照本实施例的航空发动机适航安全性验证方法，本实施例提供的航空发动机适航安全性验证方法，与传统的安全性分析与验证方法相比，基于prism工具自动进行安全性验证的方式，解决了基于人工方式带来的计算过程复杂、结果不准确的缺点，同时，由于航空发动机自身的复杂性，其构建的故障发生之间往往具有强耦合性，然而现有的分析方法并未考虑这种动态特性而是假设故障发生之间具有独立性，本发明考虑了航空发动机系统故障发生之间具有的时序关系，解决了传统分析方法中常常假设故障发生之间具有独立性的问题。

以上所述，仅为本发明进一步的实施例，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明所公开的范围内，根据本发明的技术方案及其构思加以等同替换或改变，都属于本发明的保护范围。