白 杰，鄔 龍，楊建忠，孫曉哲

（中國民航大學(xué) 天津市民用航空器適航與維修重點(diǎn)實(shí)驗(yàn)室，天津 300300）

0 引言

飛機(jī)作為現(xiàn)代化交通運(yùn)輸最快捷的一種方式，其安全性和適航性尤其引人關(guān)注。飛機(jī)控制系統(tǒng)具有的主要功能包括環(huán)境控制、飛行控制、地面減速、乘客的舒適性和安全性等，而其中飛機(jī)的環(huán)境控制可以為乘客提供必要的乘坐環(huán)境，也是保證機(jī)載設(shè)備和系統(tǒng)正常工作的基本條件，飛機(jī)的環(huán)境控制日趨重要，因此對(duì)飛機(jī)環(huán)控系統(tǒng)的安全性評(píng)估具有重要意義。ARP4761《民用飛機(jī)機(jī)載系統(tǒng)和設(shè)備安全性評(píng)估過程的指南和方法》中對(duì)飛機(jī)安全性評(píng)估及其方法做了詳細(xì)的介紹，常見的安全性分析方法包括故障樹、動(dòng)態(tài)故障樹和馬爾科夫分析方法等［1－3］。

1 環(huán)控系統(tǒng)工作原理

飛機(jī)環(huán)境控制系統(tǒng)（ECS）為座艙提供合適的溫度、壓力和濕度等必須的物理?xiàng)l件。圖1為飛機(jī)座艙環(huán)控系統(tǒng)簡圖。

圖1 飛機(jī)座艙環(huán)控系統(tǒng)簡圖

某型飛機(jī)座艙壓力控制系統(tǒng)（CPCS）的組成部件較少，其核心部件是4個(gè)外流活門（OFV）和4個(gè)外流活門控制器。外流活門的控制模式有自動(dòng)控制模式和手動(dòng)控制模式兩種，外流活門控制器將機(jī)外大氣壓力和座艙壓力比較，根據(jù)座艙壓力變化表，控制外流活門的開度，進(jìn)而控制座艙的壓力。本文選取壓力控制子系統(tǒng)的一個(gè)失效狀態(tài)“座艙壓力高度2min持續(xù)超過25 000英尺”為例，分別采用故障樹（FTA）、動(dòng)態(tài)故障樹（DFTA）和馬爾科夫方法（MA）進(jìn)行建模，闡明了不同的安全性分析方法對(duì)同一失效狀態(tài)建模分析的特點(diǎn)［4］。

2 FTA建模

對(duì)某型飛機(jī)環(huán)控系統(tǒng)的壓力子系統(tǒng)進(jìn)行功能危險(xiǎn)性分析（FHA），“座艙壓力高度2min持續(xù)超過25 000英尺”屬于Ⅰ級(jí)失效狀態(tài)，可引發(fā)災(zāi)難性事件，其發(fā)生概率必須小于1×10－9每飛行小時(shí)。導(dǎo)致該失效狀態(tài)的原因事件是由于“一個(gè)外流活門（OFV）失效打開”和“空調(diào)組件供氣故障”同時(shí)發(fā)生，前者可能是由于“OFV控制失效”或“OFV卡阻在開位”引起的。OFV的控制模式分為自動(dòng)控制模式和手動(dòng)控制模式，當(dāng)這兩種控制模式同時(shí)失效時(shí)可引發(fā)OFV控制失效。以功能危險(xiǎn)狀態(tài)“座艙壓力高度2min持續(xù)超過25 000英尺”為例，用FTA方法對(duì)這一失效狀態(tài)進(jìn)行建模分析，建立的故障樹如圖2所示。

在圖2中，X1∶OFV自動(dòng)控制模式失效，失效率為λ1＝1.74×10－6；X2∶OFV手動(dòng)控制模式失效，失效率為λ2＝1.2×10－7；X3∶OFV卡阻在開位，失效率為λ3＝9.9×10－7；X4∶空調(diào)組件供氣故障，失效率為λ4＝5.6×10－5。

頂事件發(fā)生概率記為PT，底事件X1、X2、X3、X4的發(fā)生概率記為P1～P4。因此有：

其中：P1＝1－e；P2＝1－e；P3＝1－e；P4＝1－e。

當(dāng)取t＝16h，計(jì)算得每飛行小時(shí)頂事件發(fā)生概率為8.868 7×10－10＜1×10－9，符合FHA中制定的安全性要求。

圖2 “座艙壓力高度2min持續(xù)超過25 000英尺”為頂事件的故障樹

3 DFTA建模

OFV的控制模式分為自動(dòng)控制模式和手動(dòng)控制模式，考慮當(dāng)且僅當(dāng)“自動(dòng)控制模式失效”發(fā)生在“手動(dòng)控制模式失效”之前時(shí)，OFV控制失效才會(huì)發(fā)生，因此，引入“優(yōu)先與門”來描述OFV的控制模式，建立的動(dòng)態(tài)故障樹如圖3所示。

圖3 “座艙壓力高度2min持續(xù)超過25 000英尺”為頂事件的動(dòng)態(tài)故障樹

因此，根據(jù)SAE ARP4761，頂事件發(fā)生概率為：

各部件的失效率和失效概率同故障樹FTA，不再贅述。

當(dāng)取t＝16h，計(jì)算得每飛行小時(shí)頂事件發(fā)生概率為8.868 1×10－10＜1×10－9，符合FHA中制定的安全性要求。

4 MA建模

仍以“座艙壓力高度2min持續(xù)超過25 000英尺”為例，已明確導(dǎo)致此故障狀態(tài)的原因事件包括“OFV自動(dòng)控制模式失效”、“OFV手動(dòng)控制模式失效”、“OFV卡阻在開位”和“空調(diào)組件供氣故障”。描述該失效狀態(tài)的馬爾科夫轉(zhuǎn)移圖如圖4所示。

圖4中，橢圓中4元組表示4個(gè)原因事件的狀態(tài)，0表示不發(fā)生，1表示發(fā)生；λ1＝1.74×10－6、λ2＝1.2×10－7、λ3＝9.9×10－7、λ4＝5.6×10－5分別表示4個(gè)原因事件的失效率。由圖4列出微分方程組最終可解得該失效事件發(fā)生的概率，建立的微分方程組如下：

圖4 “座艙壓力高度2min持續(xù)超過25 000英尺”的狀態(tài)馬爾科夫轉(zhuǎn)移圖

由圖4可知，故障狀態(tài)為狀態(tài)8、10和11，初始條件P（0）＝［1 0 0 0 0 0 0 0 0 0 0］，頂事件發(fā)生概率為：

當(dāng)t＝16h時(shí)，每飛行小時(shí)發(fā)生概率為9×10－10＜1×10－9，符合FHA中制定的安全性要求。

5 方法對(duì)比及結(jié)論

將λ數(shù)值代入式（1）～式（3）中，取時(shí)間參數(shù)t＝0h～16h，利用MATLAB軟件進(jìn)行仿真，分析每飛行小時(shí)頂事件的失效概率［5］，可以得到“座艙壓力高度2min持續(xù)超過25 000英尺”的發(fā)生概率隨時(shí)間變化的曲線，如圖5所示。圖5中，3條曲線基本重合，說明3種方法都可對(duì)該子系統(tǒng)建模計(jì)算。DFTA在建模時(shí)考慮引入動(dòng)態(tài)邏輯門來定義系統(tǒng)，相比普通的FTA建模，能更準(zhǔn)確客觀地描述系統(tǒng)功能，在實(shí)際工程定量求解中應(yīng)用更加廣泛；MA亦可描述動(dòng)態(tài)系統(tǒng)，但是隨著部件的增多，馬爾科夫轉(zhuǎn)移圖中狀態(tài)個(gè)數(shù)將呈指數(shù)性增長，馬爾科夫故障子鏈也將增多，求解分析難度增加，在實(shí)際工程應(yīng)用中，若分析系統(tǒng)部件種類繁多時(shí)應(yīng)該盡量避免使用此方法。

圖5 “座艙壓力高度2min持續(xù)超過25 000英尺”的發(fā)生概率隨時(shí)間的變化圖

［1］寧獻(xiàn)文，李運(yùn)澤，王浚.旅客機(jī)座艙綜合環(huán)境質(zhì)量評(píng)價(jià)模型［J］.北京航空航天大學(xué)學(xué)報(bào)，2006，32（2）：158-162.

［2］Bozzano M，Villafiorita A.Integrating fault tree analysis with event ordering information［C］//Proceedings of ESREL.The Netherlands：［s.n.］，2003：247-254.

［3］逯軍.民機(jī)飛行控制系統(tǒng)的安全性評(píng)估和分析研究［D］.天津：中國民航大學(xué)，2009：47-50.

［4］胡啟明.淺談波音737飛機(jī)空調(diào)系統(tǒng)及常見故障剖析［J］.河南科技，2013（2）：118-119.

［5］賀勇軍.Matlab——應(yīng)用數(shù)學(xué)篇［M］.北京：電子工業(yè)出版社，2000.