孔祥芬，王杰，張兆民

中國民航大學(xué) 航空工程學(xué)院，天津 300300

飛機(jī)電源系統(tǒng)作為機(jī)載用電設(shè)備獲取直流電和交流電的直接來源，其可靠性是飛行安全的重要保證[1-2]。近年來，中國正在實(shí)現(xiàn)由民航大國向民航強(qiáng)國的跨越。高質(zhì)量發(fā)展作為建設(shè)新時代民航強(qiáng)國的本質(zhì)，安全可靠是其根本特征[3]，這對飛機(jī)電源系統(tǒng)提出了更高的可靠性要求。從飛機(jī)電源系統(tǒng)的維修數(shù)據(jù)出發(fā)，結(jié)合設(shè)計(jì)參數(shù)對飛機(jī)電源系統(tǒng)進(jìn)行可靠性分析，深度挖掘使用過程中存在的可靠性問題，是提升飛機(jī)電源系統(tǒng)可靠性和深度維修能力的理論依據(jù)。

飛機(jī)電源系統(tǒng)是一個復(fù)雜的冗余系統(tǒng)。系統(tǒng)中的冗余部件往往具有相同的運(yùn)行環(huán)境、相同的結(jié)構(gòu)等，從而造成系統(tǒng)中多個部件由于共同的原因同時發(fā)生故障，即共因失效(Common Cause Failure，CCF)。系統(tǒng)發(fā)生共因失效的來源可分為兩大類。一類來自系統(tǒng)外部的沖擊，如系統(tǒng)所處環(huán)境的變化(如溫度、壓力、振動等)、突發(fā)事件(如閃電、雷擊等)等等。另一類來自系統(tǒng)內(nèi)部的沖擊，如系統(tǒng)中一個部件的故障導(dǎo)致其他部件的故障或是導(dǎo)致其他部件工作環(huán)境惡化間接引起其他部件故障等。共因失效的存在使得系統(tǒng)中部件失效之間相互獨(dú)立的假設(shè)不再成立。

目前，在飛機(jī)電源系統(tǒng)可靠性方面的研究，國內(nèi)外學(xué)者往往忽略了共因失效在飛機(jī)電源系統(tǒng)可靠性分析中的影響。蔡林等[4]通過求解最小路集的方法識別系統(tǒng)的薄弱環(huán)節(jié)，并對最小路集不交化處理，最后結(jié)合配電系統(tǒng)部件的原始可靠性數(shù)據(jù)得出大型飛機(jī)供配電系統(tǒng)的可靠性指標(biāo)；Xu等[5]提出一種基于層次分析的多電飛機(jī)電力系統(tǒng)可靠性建模與評估方法，從組件級、子系統(tǒng)級和系統(tǒng)級3個層次分別對電力電子組件故障率、子系統(tǒng)可靠性以及系統(tǒng)可靠性進(jìn)行建模分析；陳源[6]采用故障模式與危害性分析來識別導(dǎo)致系統(tǒng)不可靠的部件的故障模式，確定其危害性，為安排改進(jìn)措施的先后順序提供依據(jù)；呂弘等[7]提出基于模式重要度的系統(tǒng)可靠性評估方法，結(jié)合蒙特卡羅方法的優(yōu)勢和系統(tǒng)本身結(jié)構(gòu)特點(diǎn)，相比單純采用蒙特卡羅仿真方法，減少了抽樣次數(shù)，提高了計(jì)算效率。然而，不考慮共因失效在飛機(jī)電源系統(tǒng)可靠性分析中的影響，對飛機(jī)電源系統(tǒng)的可靠性進(jìn)行定性分析和定量計(jì)算，忽略了系統(tǒng)內(nèi)部部件故障的相關(guān)性，使得計(jì)算結(jié)果與實(shí)際運(yùn)行產(chǎn)生較大的偏差。

共因失效系統(tǒng)可靠性的研究，主要包括構(gòu)建系統(tǒng)的可靠性模型和定量計(jì)算共因失效部件的失效率2個方面。在構(gòu)建系統(tǒng)的可靠性模型方面，王學(xué)敏等[8]在系統(tǒng)可靠性框圖的基礎(chǔ)上推導(dǎo)得到包含共因失效的系統(tǒng)可靠度表達(dá)式；唐圣金等[9]采用故障樹分析(Fault Tree Analysis，F(xiàn)TA)的方法定量評估常用多光纖陀螺冗余系統(tǒng)的可靠性，為共因失效系統(tǒng)可靠性分析提供了理論基礎(chǔ)。然而，可靠性框圖和故障樹分析的方法不能很好地解決復(fù)雜系統(tǒng)的建模問題，當(dāng)系統(tǒng)共因失效部件數(shù)量增多或系統(tǒng)復(fù)雜程度高時，系統(tǒng)中共因失效基本事件會大量增加，導(dǎo)致故障樹或可靠性框圖過于復(fù)雜，難以求解。貝葉斯網(wǎng)絡(luò)[10-12]能夠很好地表示變量的不確定性和相關(guān)性，近年來，在共因失效系統(tǒng)可靠性分析領(lǐng)域得到了廣泛的應(yīng)用。將共因失效系統(tǒng)的可靠性框圖或者故障樹分析模型轉(zhuǎn)化為貝葉斯網(wǎng)絡(luò)，不僅可以容易地處理共因失效問題，并且簡化了系統(tǒng)可靠性指標(biāo)的計(jì)算與分析。

對于共因失效部件失效率的定量計(jì)算研究，相關(guān)學(xué)者先后提出了多個參數(shù)模型，主要有β因子模型[13]、α因子模型[14-15]、多希臘字母(Multiple Greek Letter, MGL)模型[16-17]等。β因子模型對共因失效的原因劃分單一，如在3個部件并聯(lián)的共因失效系統(tǒng)中，β因子模型假設(shè)只存在部件單獨(dú)失效和3個部件同時共因失效，而部件兩兩發(fā)生共因失效的概率為0。導(dǎo)致在計(jì)算三階或三階以上冗余系統(tǒng)共因失效概率時，計(jì)算結(jié)果存在較大的偏差。多希臘字母模型在本質(zhì)上是β因子模型的細(xì)化，對于高階共因失效計(jì)算仍有一定的困難。α因子模型能夠區(qū)分不同冗余結(jié)構(gòu)下部件獨(dú)立失效與共因失效的概率，在高階復(fù)雜系統(tǒng)的共因失效計(jì)算上具有一定的優(yōu)勢[18]。

綜上所述，現(xiàn)有研究并未考慮共因失效因素在飛機(jī)電源系統(tǒng)可靠性分析中的影響。因此，本文提出將貝葉斯網(wǎng)絡(luò)應(yīng)用到考慮共因失效的飛機(jī)電源系統(tǒng)可靠性建模分析中。建立考慮共因失效的飛機(jī)電源系統(tǒng)貝葉斯網(wǎng)絡(luò)，采用α因子模型對共因失效部件的失效率進(jìn)行分解計(jì)算，并對飛機(jī)電源系統(tǒng)及其共因失效子系統(tǒng)進(jìn)行可靠性分析，最后與不考慮共因失效的情況下得到的可靠度分析結(jié)果進(jìn)行對比。

1 貝葉斯網(wǎng)絡(luò)與共因失效

1.1 貝葉斯網(wǎng)絡(luò)

1.1.1 貝葉斯網(wǎng)絡(luò)基本概念

貝葉斯網(wǎng)絡(luò)是一個有向無環(huán)圖(Directed Acyclic Graph，DAG)[19]，是概率和圖論相結(jié)合的產(chǎn)物。它由節(jié)點(diǎn)和有向邊組構(gòu)成，如圖1所示，節(jié)點(diǎn)A、B、C和D表示具有0和1兩個狀態(tài)的隨機(jī)變量。節(jié)點(diǎn)間的有向邊代表變量之間的因果關(guān)系，由父節(jié)點(diǎn)A、B指向子節(jié)點(diǎn)C、D，且通過條件概率分布表達(dá)節(jié)點(diǎn)之間的定量關(guān)系。

圖1 一個簡單的貝葉斯網(wǎng)絡(luò)Fig.1 A simple Bayesian network

1.1.2 故障樹向貝葉斯網(wǎng)絡(luò)的轉(zhuǎn)換

故障樹分析模型以“系統(tǒng)失效”為頂事件，自上而下細(xì)分導(dǎo)致“系統(tǒng)失效”的原因，直至底事件。貝葉斯網(wǎng)絡(luò)中的各個節(jié)點(diǎn)對應(yīng)故障樹中的各種事件，不同的是，貝葉斯網(wǎng)絡(luò)中的根節(jié)點(diǎn)在其頂端，與故障樹模型方向相反，并用條件概率表代替故障樹中邏輯門表示的因果關(guān)系[20]。

以X1、X2、X33個部件組成的系統(tǒng)為例，其中X1與X2并聯(lián)后再與X3串聯(lián)。根據(jù)系統(tǒng)結(jié)構(gòu)構(gòu)建的故障樹如圖2(a)所示，圖中S為頂事件“系統(tǒng)故障”，Z為一個中間事件，根據(jù)上述方法，構(gòu)建系統(tǒng)的貝葉斯網(wǎng)絡(luò)如圖2(b)所示，其中條件概率表的0和1分別表示正常和故障2種狀態(tài)。

圖2 故障樹向貝葉斯網(wǎng)絡(luò)的轉(zhuǎn)換Fig.2 Transformation of fault tree to Bayesian network

1.2 共因失效

1.2.1 共因失效基本概念

共因失效是指系統(tǒng)中2個或多個部件在某種共同原因的作用下，同一時間或者很短的時間間隔內(nèi)發(fā)生失效，是冗余系統(tǒng)失效相關(guān)的重要原因之一。

1.2.2 考慮共因失效的系統(tǒng)貝葉斯網(wǎng)絡(luò)

建立具有共因失效的系統(tǒng)貝葉斯網(wǎng)絡(luò)，關(guān)鍵在于將共因失效部件分解成串聯(lián)的獨(dú)立失效子部件和共因失效子部件，也就是把共因部件的故障率分解成獨(dú)立失效部分故障率和共因失效部分故障率。再分析串聯(lián)的2個子部件與系統(tǒng)中的其他部件之間的關(guān)系。下面以3個部件組成的并聯(lián)系統(tǒng)為例說明共因失效系統(tǒng)的貝葉斯模型構(gòu)建。

對于3個部件D1、D2、D3組成的并聯(lián)系統(tǒng)，當(dāng)考慮D1、D2、D3的共因失效時，假設(shè)部件具有正常和故障2種狀態(tài)，分別用0、1來表示。構(gòu)建系統(tǒng)共因失效的貝葉斯模網(wǎng)絡(luò)模型，如圖3所示，由于篇幅原因，條件概率表省去。圖中d1、d2分別為部件D1、D2的獨(dú)立失效因子，d12、d13、d23分別為兩兩共因失效因子，d123為系統(tǒng)3個部件共同失效因子。每個部件的失效均分解成1個獨(dú)立失效因子、2個兩兩共因失效因子和1個全部部件共因失效因子。

圖3 考慮共因失效3個部件并聯(lián)系統(tǒng)的BN模型Fig.3 BN model of three-component parallel system based on common cause failures

2 飛機(jī)電源系統(tǒng)可靠性分析

2.1 飛機(jī)電源系統(tǒng)及其故障樹模型

以B737-800為例，如圖4所示。飛機(jī)電源系統(tǒng)包括的部件有：左右2個整體驅(qū)動發(fā)電機(jī)(Integrated Drive Generator，IDG)、1個輔助動力裝置(Auxiliary Power Unit，APU)起動機(jī)發(fā)電機(jī)、3個 變壓整流器組件(Transformer Rectifier Unit，TRU)、1個靜止變流器、1個主電瓶、1個輔助電瓶以及繼電器等控制組件[21]。

將系統(tǒng)中的各部件控制組件的失效視為該部件與其控制組件構(gòu)成的子系統(tǒng)失效處理。如電源系統(tǒng)中左右發(fā)電機(jī)跳開關(guān)GCB1的失效視為部件IDG1和GCB1構(gòu)成的IDG1子系統(tǒng)失效處理，進(jìn)行建模與數(shù)據(jù)統(tǒng)計(jì)。根據(jù)飛機(jī)電源系統(tǒng)的組成結(jié)構(gòu)，建立以“飛機(jī)電源系統(tǒng)失效”為頂事件的故障樹分析模型。如圖5所示，交流電源失效和直流電源失效通過或門連接構(gòu)成飛機(jī)電源系統(tǒng)失效，交流電源失效和直流電源失效由各自的主系統(tǒng)失效和備用系統(tǒng)失效通過與門連接構(gòu)成。主交流電源系統(tǒng)由IDG1(C1)、IDG2(C2)和APU起動發(fā)電機(jī)(C3)并聯(lián)組成，備用交流電源系統(tǒng)由電瓶子系統(tǒng)和靜止變流器(C7)串聯(lián)組成，主直流電源系統(tǒng)由3個并聯(lián)的變壓整流器(C4，C5，C6)和主交流電源串聯(lián)組成，備用直流電源系統(tǒng)由主電瓶(C8)和輔助電瓶(C9)并聯(lián)組成。

圖4 飛機(jī)電源系統(tǒng)Fig.4 Aircraft power system

圖5 飛機(jī)電源系統(tǒng)失效FTA模型Fig.5 FTA model of aircraft power system failures

統(tǒng)計(jì)某航空公司50余架B737-800飛機(jī)2015—2018這3年中電源系統(tǒng)中各部件歷次故障數(shù)據(jù)，并參考可靠性設(shè)計(jì)參數(shù)，以指數(shù)分布為模型得到飛機(jī)電源系統(tǒng)各部件的故障率數(shù)據(jù)，如表1所示。

表1 飛機(jī)電源系統(tǒng)各部件故障率Table 1 Failure rates of aircraft power system components

2.2 共因失效組的確定及其故障率的分解

飛機(jī)電源系統(tǒng)中存在故障隔離裝置，以防止系統(tǒng)中故障的蔓延。因此，本文重點(diǎn)考慮飛機(jī)電源系統(tǒng)中存在的第一類共因失效，即系統(tǒng)外部環(huán)境引起的共因失效。

共因失效組的確定是共因失效系統(tǒng)可靠性分析的基礎(chǔ)。系統(tǒng)共因失效組的確定，應(yīng)遵循部件功能的相同性或相關(guān)性原則和工作環(huán)境的相同性原則。飛機(jī)電源系統(tǒng)中的3個變壓整流器(C4，C5，C6)之間和2個電瓶(C8，C9)之間具有相同的功能和結(jié)構(gòu)，同時都在飛機(jī)的電子設(shè)備艙中工作，也具有相同的工作環(huán)境，在實(shí)際工作狀態(tài)下存在發(fā)生共因失效的概率。因此，本文選取變壓整流器(C4，C5，C6)和電瓶(C8，C9)為飛機(jī)電源系統(tǒng)中的2個共因失效組進(jìn)行研究。

對2個共因失效組中的共因失效部件進(jìn)行分解。如圖6所示，每個電瓶的失效分解成該電瓶獨(dú)立失效因子J8/J9、電瓶共因失效因子J89；每個變壓整流器的失效分解成該變壓整流器的獨(dú)立失效因子J4/J5/J6、兩兩共因失效因子J45/J56/J46以及全部壓整流器共因失效因子J456。

(1)

對選取的2個共因失效組中共因失效部件的故障率分解，以C4和C8為例：

(2)

(3)

根據(jù)采集的50余架B737-800飛機(jī)的電源系統(tǒng)歷次故障數(shù)據(jù)統(tǒng)計(jì)分析，計(jì)算共因失效組中各αk的取值，進(jìn)而計(jì)算2個共因失效組中部件的獨(dú)立失效率和共因失效率。結(jié)果如表2所示。

圖6 共因失效部件的分解Fig.6 Decomposition of common cause failure components

表2 共因失效部件故障率分解Table 2 Failure rate decomposition of common cause failure components

2.3 考慮共因失效的飛機(jī)電源系統(tǒng)貝葉斯網(wǎng)絡(luò)

2.3.1 模型構(gòu)建

根據(jù)圖5建立的飛機(jī)電源系統(tǒng)故障樹分析模型，考慮系統(tǒng)中冗余部件之間的共因失效，建立飛機(jī)電源系統(tǒng)的貝葉斯模型如圖7所示，由于篇幅關(guān)系，將節(jié)點(diǎn)的條件概率表略去。其中Z1～Z4和S為與門節(jié)點(diǎn)，C1～C9、S1和S2為或門節(jié)點(diǎn)。

圖7 考慮共因失效的飛機(jī)電源系統(tǒng)貝葉斯網(wǎng)絡(luò)模型Fig.7 Bayesian network model of aircraft power system based on common cause failures

2.3.2 共因失效子系統(tǒng)可靠性分析

根據(jù)選取的2個共因失效組，對具有共因失效的子系統(tǒng)Y2和Y3進(jìn)行可靠性分析。主電瓶C8和輔助電瓶C9構(gòu)成備用直流電源系統(tǒng)(即Y2子系統(tǒng))。2個電瓶有兩個獨(dú)立失效因子和一個共因失效因子。每個電瓶的失效由一個獨(dú)立失效因子和一個共因失效因子串聯(lián)確定，構(gòu)建子系統(tǒng)共因失效的貝葉斯網(wǎng)絡(luò)，如圖8所示。

圖8 電瓶共因失效組貝葉斯網(wǎng)絡(luò)模型Fig.8 Bayesian network model of battery common cause failure groups

通過貝葉斯網(wǎng)絡(luò)的計(jì)算得到子系統(tǒng)可靠度表達(dá)式為

RY2=2RJ8RJ89-RJ9RJ8RJ89

如果不考慮共因失效，電瓶的可靠度為RC8=RC9=e-λC8t=e-λC9t，t為飛行時間,故子系統(tǒng)可靠度表達(dá)式為

R′Y2=1-[(1-RC8)(1-RC9)]

3個并聯(lián)的TRU(C4，C5，C6)構(gòu)成的Y3子系統(tǒng)是主直流電源系統(tǒng)的一部分。3個TRU分別有3個獨(dú)立失效因子，3個兩兩共因失效因子和一個3部件共同的共因失效因子。每個部件的失效由獨(dú)立失效因子和3個共因失效因子串聯(lián)確定。構(gòu)建考慮共因失效的子系統(tǒng)貝葉斯網(wǎng)絡(luò)，如圖9所示。

圖9 TRU共因失效組貝葉斯網(wǎng)絡(luò)模型Fig.9 Bayesian network model of TRU common cause failure groups

通過貝葉斯網(wǎng)絡(luò)計(jì)算得到子系統(tǒng)可靠度的表達(dá)式為

考慮共因失效，TRU的可靠度為RC4=RC5=RC6=e-λC4t=e-λC5t=e-λC6t。故子系統(tǒng)的可靠度表達(dá)式為

R′Y3=1-[(1-RC4)(1-RC5)(1-RC6)]

令t=1 000 h,計(jì)算2個共因失效組中效部件和子系統(tǒng)的可靠度。如表3所示，從子系統(tǒng)可靠度數(shù)據(jù)看，考慮共因失效得到的子系統(tǒng)可靠度比不考慮共因失效得到的子系統(tǒng)可靠度低。

不考慮共因失效因素時，C8和C9并聯(lián)組成的Y2子系統(tǒng)可靠度R′Y2=0.999 994 63，相比于C8或C9單獨(dú)工作的可靠度RC8=0.997 682 69提升了2.31×10-3；而考慮共因失效因素時，C8和C9并聯(lián)組成的Y2子系統(tǒng)可靠度RY2=0.999 755 71，相比于C8或C9單獨(dú)工作的可靠度RC8=0.997 682 69僅提升了2.07×10-3，提升效果減少了10.39%。同理對于Y3子系統(tǒng)，在考慮共因失效因素時，這樣的提升效果減少了5.23%。

因此，子系統(tǒng)中的冗余設(shè)計(jì)雖然提升了子系統(tǒng)的可靠性，但同時也增加了共因失效發(fā)生的概率。如果不考慮子系統(tǒng)的共因失效因素，往往會高估其可靠度，對系統(tǒng)的可靠性分析結(jié)果造成一定的誤差。

表3 t=1 000 h時共因失效組中部件和子系統(tǒng)可靠度計(jì)算Table 3 Reliability computations of components and subsystems in common cause failure groups (t=1 000 h)

2.3.3 飛機(jī)電源系統(tǒng)可靠性分析

考慮到飛機(jī)電源系統(tǒng)中零部件定期的檢查與更換，取t=1 100 h?？紤]冗余部件之間的共因失效因素，分別通過貝葉斯網(wǎng)絡(luò)模型和蒙特卡羅仿真得到飛機(jī)電源系統(tǒng)可靠度RS(t)在0～t時間內(nèi)的變化曲線。如圖10所示，通過貝葉斯網(wǎng)絡(luò)得到的結(jié)果與蒙特卡羅仿真結(jié)果基本一致。

如果不考慮飛機(jī)電源系統(tǒng)中冗余部件之間的共因失效因素，以C1～C9為根節(jié)點(diǎn)構(gòu)建飛機(jī)電源系的貝葉斯網(wǎng)絡(luò)，如圖11所示。

同樣取t=1 100 h，通過貝葉斯網(wǎng)絡(luò)得到飛機(jī)電源系統(tǒng)可靠度在0～t時間內(nèi)的變化曲線，并與考慮共因失效因素時得到的飛機(jī)電源系統(tǒng)可靠度變化曲線對比。如圖12所示，隨著飛行時間的增加，系統(tǒng)可靠度隨之下降。考慮共因失效因素時，得到的飛機(jī)電源系統(tǒng)的可靠度RS(t)要低于不考慮共因失效因素時得到的飛機(jī)電源系統(tǒng)的可靠度R′S(t)。

圖10 貝葉斯網(wǎng)絡(luò)模型與蒙特卡羅仿真Fig.10 Bayesian network model and Monte Carlo simulation

圖11 不考慮共因失效的飛機(jī)電源系統(tǒng)貝葉斯網(wǎng)絡(luò)模型Fig.11 Bayesian network model of aircraft power system without considering common cause failures

同時，對考慮共因失效和不考慮共因失效得到的系統(tǒng)可靠度之間的差值進(jìn)行計(jì)算，并作出隨飛行時間的變化曲線。

如圖13所示，在400 h飛行時間，考慮共因失效的系統(tǒng)可靠度比不考慮共因失效的系統(tǒng)可靠度低1.14×10-7，已經(jīng)達(dá)到了10-7的數(shù)量級；在1 100 h時間，考慮共因失效的系統(tǒng)可靠度比不考慮共因失效的系統(tǒng)可靠度低1.06×10-6，已經(jīng)達(dá)到了10-6的數(shù)量級。

對于民用飛機(jī)而言，其事故率約在10-7/h左右，而飛機(jī)功能系統(tǒng)級失效率的數(shù)量級為10-6。因此，共因失效因素在飛機(jī)電源系統(tǒng)可靠性分析中的影響不可忽略。

圖12 飛機(jī)電源系統(tǒng)可靠度對比Fig.12 Reliability comparison of aircraft power system

圖13 考慮與不考慮共因失效飛機(jī)電源系統(tǒng)可靠度之間的差值Fig.13 Reliability differences of aircraft power system with and without considering common cause failures

3 結(jié) 論

本文運(yùn)用貝葉斯網(wǎng)絡(luò)對飛機(jī)電源系統(tǒng)共因失效及可靠性進(jìn)行了研究，得出以下結(jié)論。

1) 結(jié)合飛機(jī)電源系統(tǒng)的組成結(jié)構(gòu)與工作環(huán)境，確定飛機(jī)電源系統(tǒng)中冗余部件之間存在的共因失效組?？紤]共因失效因素對飛機(jī)電源系統(tǒng)進(jìn)行可靠性建模分析，得到的可靠性分析結(jié)果與實(shí)際情況更為接近。

2) 對飛機(jī)電源系統(tǒng)中的共因失效子系統(tǒng)進(jìn)行可靠性分析，冗余部件之間存在的共因失效因素降低了子系統(tǒng)中冗余設(shè)計(jì)的可靠性提升效果。如果不考慮冗余部件之間的共因失效因素，往往會高估共因失效子系統(tǒng)的可靠度，進(jìn)而對系統(tǒng)的可靠性分析結(jié)果造成一定的誤差。

3) 對飛機(jī)電源系統(tǒng)進(jìn)行可靠性分析，考慮冗余部件之間的共因失效因素時，其可靠性分析結(jié)果相對于不考慮共因失效因素時具有較低的可靠度。在一定飛行時間內(nèi)，考慮與不考慮共因失效因素得到的飛機(jī)電源系統(tǒng)可靠度差值隨飛行小時增加而增加，且在1 100 h飛行時間，該差值達(dá)到10-6的數(shù)量級。