文/董力 吳雨婷 韓冰 陸中

1 引言

航空發(fā)動機電子控制系統(tǒng)完整性喪失通常表現(xiàn)為出現(xiàn)推力控制功能喪失（LOTC）事件，其事件的出現(xiàn)通常會對飛機安全造成嚴重后果。根據(jù)航空發(fā)動機適航規(guī)章CCAR-33-R2規(guī)定，航空發(fā)動機定型中需要對發(fā)動機控制系統(tǒng)進行安全評估，該項評估必須確定可能導(dǎo)致推力改變或影響發(fā)動機工作特性從而產(chǎn)生喘振或失速的故障以及這些故障的發(fā)生概率，并要求LOTC發(fā)生概率限制在1/105發(fā)動機工作小時。

故障樹分析（FTA）是一種演繹性的失效分析方法，廣泛應(yīng)用于系統(tǒng)安全性評估工程領(lǐng)域，以揭示系統(tǒng)失效的原因。故障樹分析中分析人員從某一特定的不希望事件（頂事件）開始，在低一級的下一個層次上，系統(tǒng)地確定系統(tǒng)功能模塊中可能導(dǎo)致該事件發(fā)生的、全部可信的單一故障及失效組合，并逐級向下展開分析，最終相繼通過更細化（即低一層）的設(shè)計層次揭示出所有的初級事件或滿足該頂層危險事件的要求為止。

圖1：ECU結(jié)構(gòu)及其輸入輸出信號

圖2：推力控制功能喪失故障樹

圖3：子樹A

圖4：子樹B

本文以某型航空發(fā)動機電子控制系統(tǒng)為研究對象，在詳細闡述其系統(tǒng)組成的基礎(chǔ)之上借助故障樹分析法對LOTC事件展開安全性分析，并利用CARMES軟件工具繪制相應(yīng)的故障樹，通過對其事件開展定性、定量的安全性分析，驗證其該系統(tǒng)設(shè)計方案能夠滿足規(guī)定的安全性要求。

2 與推力控制功能相關(guān)的系統(tǒng)組成

航空發(fā)動機電子控制系統(tǒng)一般由發(fā)動機電子控制組件（ECU）、機械液壓組件（HMU）、伺服機構(gòu)以及傳感器等部件組成。

2.1 發(fā)動機電子控制組件ECU

ECU是由兩臺名為通道A與通道B的電子計算機組成，其主要功能是實現(xiàn)發(fā)動機控制計算以及監(jiān)控發(fā)動機狀態(tài)。通道A和通道B完全相同并且同時工作，但各自獨立運行。通道A和通道B接收輸入信號并分別進行信號處理，但是只有一個通道實施控制，輸出指令，稱為主用通道；另一個通道稱為備用通道。為了提高ECU的可靠性，通道A與通道B通過交叉通道數(shù)據(jù)鏈（CCDL）連接，這使得兩個通道內(nèi)的輸入信息互通，即使一個通道的重要輸入信息輸入失效時，也能保證ECU能夠正常運行。ECU結(jié)構(gòu)域輸入輸出信號示意圖如圖1所示。

2.1.1 ECU輸入輸出信號

對于關(guān)鍵參數(shù)，ECU的通道A和通道B分別從獨立的信號源（傳感器）接受信號，這些參數(shù)主要有：圖1中右側(cè)部分的機械液壓組件中的執(zhí)行機構(gòu)、解析儀的位置傳感器和一些活門的位置電門，如可變靜子葉片（VSV）、可變引氣活門（VBV）、燃油計量活門（FMV）、可變旋轉(zhuǎn)差動傳感器（RVDT）等；圖1中左側(cè)部分的靜壓（PS12、PS3、P0）、溫度（T25、T12、T3等）以及轉(zhuǎn)速（N1、N2）參數(shù)。對于重要程度稍低的參數(shù)，通道A和通道B從相同的信號源接收信號，如圖1中部的推力桿角度（TLA）、發(fā)動機排氣溫度（EGT）等相關(guān)參數(shù)。

ECU根據(jù)上述輸入?yún)?shù)與控制律計算并輸出相關(guān)執(zhí)行機構(gòu)的控制信號。

2.1.2 ECU電源ECU的通道A與B均接受來自飛機的28V直流電源以及來自專用發(fā)電機的交流電源，其中通道A接受來自飛機的28V主直流電源與專用發(fā)動機電磁線圈A中的交流電源，通道B接受來自的飛機的28V應(yīng)急直流電源以及專用發(fā)動機電磁線圈B中的交流電源，專用發(fā)電機的線圈A與B是獨立的。這種余度設(shè)計能夠防止ECU電源中斷，保證某一電源失效時ECU仍然能夠安全工作。

2.2 機械液壓組件與伺服機構(gòu)

HMU的主要功能是將電信號控制轉(zhuǎn)化為液壓作動，HMU分為兩個子系統(tǒng)，一個是燃油計量系統(tǒng)，一個是伺服機構(gòu)；燃油計量系統(tǒng)主要包括：FMV、FMV解算器、FMV馬達、旁通活門、壓差活門、增壓和關(guān)斷活門等；伺服機構(gòu)主要包括：力矩馬達、VSV、VBV、燃燒分級活門（BSV電磁活門）、瞬態(tài)引氣活門（TBV）、高壓渦輪間隙控制活門（HPTCC）、低壓渦輪間隙控制活門（LPTCC）、超限保護裝置等。

2.3 傳感器

航空發(fā)動機狀態(tài)傳感器一般分為壓力傳感器、溫度傳感器、速度傳感器、振動傳感器四類。常見的壓力傳感器為石英電容壓力傳感器，石英器件的振動頻率將隨著氣壓產(chǎn)生的應(yīng)力的變化而變化，從而計算出壓力值。溫度傳感器通常包括熱電阻與熱電偶兩種類型：熱電阻傳感器是利用其電阻值隨物體溫度變化而變化的特征來測量溫度的；熱電偶傳感器利用熱電勢原理進行溫度測量。速度傳感器用于檢測發(fā)動機的轉(zhuǎn)速，利用曲軸位置傳感器來檢測發(fā)動機的轉(zhuǎn)速并向ECU輸出轉(zhuǎn)速信號。振動傳感器安裝在發(fā)動機振動監(jiān)控組件內(nèi)，通常包括兩個加速度計，用于感知并測量垂直位移。

3 發(fā)動機推力控制功能喪失分析

LOTC在航空發(fā)動機控制系統(tǒng)安全評估過程中是一種最主要頂層失效狀態(tài)，這里以發(fā)動機LOTC事件為頂事件，通過構(gòu)建相應(yīng)的系統(tǒng)故障樹，研究分析某型航空發(fā)動機電子控制系統(tǒng)設(shè)計方案是否滿足規(guī)定安全性要求。

3.1 故障樹構(gòu)建

航空發(fā)動機的控制與調(diào)節(jié)功能主要由FMV來完成，其通過ECU由力矩馬達控制，并借助解析儀將FMV位置信號反饋給ECU。因此FMV本身故障、FMV力矩馬達故障以及ECU控制邏輯輸出信號喪失都可能導(dǎo)致LOTC事件，ECU控制邏輯輸出信號喪失又分為兩種信號喪失情況。如圖2給出了某型航空發(fā)動機以LOTC事件為頂事件的故障樹，表1給出了故障樹底事件及對應(yīng)的故障率。

表1：故障樹底事件及底事件故障率（故障率單位：1/h）

表2：故障樹最小割集

3.2 最小割集及頂事件發(fā)生概率計算

最小割集是導(dǎo)致故障樹頂事件發(fā)生的不能再減少的底事件的集合，對所構(gòu)建的故障樹求解，求得導(dǎo)致LOTC事件的所有最小割集如表2所示。

根據(jù)上述圖2，表1、表2，求解頂事件LOTC發(fā)生概率7.59E-6/小時，可以看出，LOTC事件發(fā)生概率低于航空發(fā)動機電子控制系統(tǒng)安全性要求的1/105發(fā)動機工作小時，表明了該系統(tǒng)設(shè)計方案能夠滿足規(guī)定的安全性要求。分析中，F(xiàn)MV卡滯、FMV電磁線圈不工作等是導(dǎo)致LOTC事件中的單點故障，建議在航空發(fā)動機電子控制系統(tǒng)使用中應(yīng)定期對該類部件進行檢查，以減少單點故障事件發(fā)生。

4 結(jié)論

LOTC是航空發(fā)動機最主要的頂層失效狀態(tài)，其事件的發(fā)生會對飛機安全造成嚴重后果。本文基于故障樹分析方法對某型航空發(fā)動機電子控制系統(tǒng)開展了安全性分析，介紹了系統(tǒng)主要組成，利用CARMES軟件工具繪制了以LOTC事件為頂事件的故障樹，分析并揭示了LOTC事件產(chǎn)生原因，發(fā)生概率，從定性和定量分析兩個方面驗證了發(fā)動機電子控制系統(tǒng)滿足規(guī)定的安全性要求。