荘露，陸中，*，宋海靖，董力，吳雨婷，周伽

1．南京航空航天大學(xué) 民航學(xué)院，南京 211106

2．中國飛行試驗(yàn)研究院 可靠性研究中心，西安 710089

3．中國航空無線電電子研究所 民機(jī)系統(tǒng)部，上海 200241

4．東方航空江蘇有限公司 飛機(jī)維修部，南京 211106

現(xiàn)代大型民用飛機(jī)的電傳飛控（Fly-by-Wire， FBW）系統(tǒng)是由機(jī)械、電氣、電子、液壓等部件組成的高集成復(fù)雜系統(tǒng)，具有飛行姿態(tài)控制、顫振抑制、俯仰軸配平、飛機(jī)增穩(wěn)和升阻控制等重要功能。飛行姿態(tài)控制、顫振抑制等功能的喪失、故障或非指令性工作會對飛機(jī)、機(jī)組和乘客的安全產(chǎn)生嚴(yán)重影響，導(dǎo)致災(zāi)難性的失效后果。

系統(tǒng)安全性分析既是飛機(jī)研制過程中開展安全性設(shè)計(jì)、提高飛機(jī)系統(tǒng)安全性的主要手段，也是適航審定過程中針對《運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)》［1］“設(shè)備、系統(tǒng)及安裝”等條款開展符合性驗(yàn)證的重要方法。目前，對民用飛機(jī)系統(tǒng)開展安全性分析主要使用功能危害性評估（Functional Hazard Assessment， FHA）、故障模式與影響分析（Failure Mode and Effect Analysis， FMEA）和故障樹分析（Fault Tree Analysis， FTA）等方法［2-3］。在傳統(tǒng)的安全性分析過程中，這些方法主觀性強(qiáng)，過于依賴分析人員的工程經(jīng)驗(yàn)，當(dāng)分析人員對設(shè)計(jì)方案理解存在偏差時，容易導(dǎo)致分析結(jié)果的不完整性和不一致性。同時，這些方法的自動化程度不高，通常需要分析人員手工來完成，飛機(jī)系統(tǒng)的研制是一個不斷更新迭代的過程，這將導(dǎo)致傳統(tǒng)的安全性分析工作異常煩瑣。

基于模型的安全性分析（Model-Based Safety Analysis， MBSA）是一類通過將基于模型的開發(fā)過程與安全性分析技術(shù)相結(jié)合以實(shí)現(xiàn)自動化或半自動化安全分析的理論或方法［4-5］。在基于模型的開發(fā)過程中，各種開發(fā)活動（如仿真、驗(yàn)證和測試等）都在系統(tǒng)模型上進(jìn)行。在該模型基礎(chǔ)上，自動注入相應(yīng)的故障模式，根據(jù)模型的響應(yīng)分析故障影響，確定故障的傳播路徑或故障之間的邏輯關(guān)系，能夠?qū)崿F(xiàn)安全性分析的自動化。同時，安全性分析的輸出由系統(tǒng)模型自動生成，從而避免了對分析人員工程經(jīng)驗(yàn)的依賴。

近20 年來，MBSA 方法已經(jīng)成為系統(tǒng)安全性建模與分析領(lǐng)域的熱點(diǎn)。當(dāng)前，MBSA 方法總體上可分為體系結(jié)構(gòu)建模方法、有限狀態(tài)機(jī)方法和動力學(xué)模型方法3 類。體系結(jié)構(gòu)建模方法利用UML［6］、SysML［7］、AADL［8-9］和AltaRica［10-11］等體系結(jié)構(gòu)建模語言建立系統(tǒng)的形式化模型，在此基礎(chǔ)上確定系統(tǒng)各層級故障之間的邏輯關(guān)系或故障傳播路徑，從而自動生成故障樹、事件樹等安全性分析工具。有限狀態(tài)機(jī)方法通過描述系統(tǒng)狀態(tài)以及狀態(tài)之間的變遷關(guān)系來對系統(tǒng)進(jìn)行建模，通過線性時態(tài)邏輯或分支時態(tài)邏輯來表示系統(tǒng)的安全性需求，并利用模型檢測方法來驗(yàn)證能否滿足安全性需求，典型的有限狀態(tài)機(jī)建模方法包括Petri 網(wǎng)［12-14］、Stateflow［15］、NuSMV［16-17］等。動力學(xué)模型方法利用對象的微分方程、傳遞函數(shù)或狀態(tài)方程等數(shù)學(xué)模型來構(gòu)建仿真模型，能夠反映系統(tǒng)的動力學(xué)特性，典型的動力學(xué)建模工具包括Simulink［18-20］、Modelica［21］等。

對于FBW 系統(tǒng)而言，無論是飛控計(jì)算機(jī)的控制律、傳感器和執(zhí)行機(jī)構(gòu)的輸入輸出模型，還是飛機(jī)本身的飛行動力學(xué)模型，都是通過微分方程、傳遞函數(shù)或狀態(tài)方程來表示的。這些模型和相關(guān)參數(shù)可以通過風(fēng)洞試驗(yàn)、CFD 模擬、系統(tǒng)辨識等方法獲得。這些模型和相關(guān)參數(shù)同樣也是在地面構(gòu)建鐵鳥試驗(yàn)臺的先決條件，在設(shè)計(jì)中，也將根據(jù)計(jì)算機(jī)仿真、鐵鳥試驗(yàn)、飛行試驗(yàn)的結(jié)果對模型和相關(guān)參數(shù)進(jìn)行修正。本文將基于FBW 系統(tǒng)的數(shù)學(xué)模型，使用Simulink 分別構(gòu)建FBW 系統(tǒng)的名義模型（即無故障模型）和拓展模型（即帶故障模型），利用單故障注入后的系統(tǒng)響應(yīng)提出故障影響分析方法，以支持FMEA 的開展，基于狀態(tài)遍歷實(shí)現(xiàn)組合故障注入，并利用組合故障注入后的系統(tǒng)響應(yīng)提出FTA 方法。根據(jù)安全性分析的結(jié)果，可以對設(shè)計(jì)進(jìn)行修正。這樣有助于在系統(tǒng)的研發(fā)迭代中，實(shí)時獲取系統(tǒng)模型和參數(shù)的變化對系統(tǒng)安全性的影響，使得安全性分析成為系統(tǒng)開發(fā)過程的一部分，避免在安全性分析和系統(tǒng)開發(fā)過程中存在“兩張皮”的問題。最后結(jié)合某橫側(cè)向FBW 系統(tǒng)給出應(yīng)用案例。

1 基于Simulink 的電傳飛控系統(tǒng)建模

系統(tǒng)的形式化模型是開展MBSA 的基礎(chǔ)，本節(jié)以某FBW 系統(tǒng)的橫側(cè)向控制系統(tǒng)為對象，利用Simulink 工具分別建立系統(tǒng)的名義模型和拓展模型，基于拓展模型實(shí)施故障注入，監(jiān)控仿真系統(tǒng)在不同故障模式下的響應(yīng)并分析故障影響。其中，名義模型可由Simulink 模塊直接搭建，拓展模型則需要在名義模型的基礎(chǔ)上融合部件故障模式的Simulink 模型進(jìn)行構(gòu)建。

1. 1 某橫側(cè)向FBW 系統(tǒng)

該FBW 系統(tǒng)的橫側(cè)向飛控系統(tǒng)由飛控計(jì)算機(jī)子系統(tǒng)、執(zhí)行機(jī)構(gòu)子系統(tǒng)、傳感器子系統(tǒng)以及副翼、方向舵等舵面組成，以實(shí)現(xiàn)飛機(jī)的滾轉(zhuǎn)和偏航控制，系統(tǒng)架構(gòu)如圖1 所示［22-23］。

圖1 某橫側(cè)向FBW 系統(tǒng)架構(gòu)Fig. 1 Architecture of lateral-directional FBW system

飛控計(jì)算機(jī)子系統(tǒng)為雙冗余架構(gòu)，由2 臺相同的主飛行計(jì)算機(jī)（Primary Flight Computer，PFC）組成，每個PFC 包含1 個指令單元和1 個監(jiān)控單元。指令單元根據(jù)輸入的飛行狀態(tài)、飛行員指令等數(shù)據(jù)，計(jì)算控制律并輸出舵面偏轉(zhuǎn)指令。監(jiān)控單元也進(jìn)行控制律的計(jì)算，但其計(jì)算結(jié)果用于與指令單元進(jìn)行比較，當(dāng)2 個單元的計(jì)算差值超過一定的閾值時，監(jiān)控單元會抑制舵面偏轉(zhuǎn)指令的輸出，并將故障信息發(fā)送給另一個PFC 以重新配置控制命令。

驅(qū)動機(jī)構(gòu)子系統(tǒng)由左副翼驅(qū)動機(jī)構(gòu)（Left Aileron Actuation， LAA）、右副翼驅(qū)動機(jī)構(gòu)（Right Aileron Actuation， RAA）和方向舵驅(qū)動機(jī)構(gòu)（Rudder Actuation， RA）組成。驅(qū)動機(jī)構(gòu)均為雙冗余架構(gòu)，每個驅(qū)動機(jī)構(gòu)與合成器連接，用于合成2 個驅(qū)動機(jī)構(gòu)的信號。傳感器子系統(tǒng)包括3 個舵面的位置傳感器和慣性測量單元（Inertial Measurement Unit， IMU），它們均為三冗余架構(gòu)。

1. 2 橫側(cè)向FBW 系統(tǒng)名義模型

文獻(xiàn)［23］給出了以微分方程、傳遞函數(shù)或狀態(tài)方程等形式表示的該橫側(cè)向FBW 系統(tǒng)各部件的數(shù)學(xué)模型，利用Simulink 模塊庫可構(gòu)建相應(yīng)部件的模型，將部件模型綜合后即為FBW 系統(tǒng)的名義模型，如圖2 所示。

圖2 基于Simulink 的橫側(cè)向FBW 系統(tǒng)名義模型Fig. 2 Simulink-based nominal model of lateral-directional FBW system

1. 3 部件故障模式建模與注入

該橫側(cè)向飛控系統(tǒng)組成部件共有無響應(yīng)、隨機(jī)輸出、延遲、卡滯、舵面松浮、增益改變和信號漂移共7 種故障模式［24］。借助Simulink 中的Switch及相關(guān)模塊，可以對部件故障模式進(jìn)行建模，通過控制信號端口，可以實(shí)現(xiàn)正常信號和故障信號的切換。表1 給出了各故障模式的描述、數(shù)學(xué)模型以及建模時使用的Simulink 模塊。表中，y(t)表示故障信號；yr(t)表示輸入的正常信號；min 和max 表示設(shè)定的生成隨機(jī)數(shù)的下界和上界；t0表示設(shè)定的延遲時間量；yr(t′)表示上一時間步的正常信號；yi表示第i個飛行狀態(tài)（包括爬升、巡航、下降）舵面松浮的角度；a表示設(shè)定的信號放大或縮小的倍數(shù)；y0表示設(shè)定的信號偏移量。

表1 常見故障模式及說明Table 1 Typical fault modes and descriptions

假設(shè)某部件具有表1 給出的7 種故障模式，則使用Simulink 的“Multiport Switch”模塊構(gòu)建的部件故障模型如圖3 所示。圖3 中部件共有8 種狀態(tài)，包括“正?！睜顟B(tài)以及表1 中7 種故障模式對應(yīng)的故障狀態(tài)，這8 種狀態(tài)分別對應(yīng)控制信號0、1、2、3、4、5、6、7。通過選擇控制信號值，可在名義模型中注入不同的故障模式。

圖3 基于Simulink 的部件故障模型Fig. 3 Simulink-based component extended model

1. 4 橫側(cè)向飛控系統(tǒng)拓展模型

將部件的無故障模型與故障模型相融合，即可建立部件的拓展模型，將所有部件的拓展模型連接在一起，即可建立系統(tǒng)的拓展模型［25］。

該FBW 系統(tǒng)的25 個組成部件的序號、名稱以及故障模式序號如表2 所示，其中故障模式序號與表1 給出的7 種故障模式的序號對應(yīng)。

表2 各個部件的故障模式Table 2 Failure modes of each component

圖4 以PFC 為例給出了部件的拓展模型，圖4中左側(cè)為PFC 的名義模型，右側(cè)為PFC 的故障模型，該故障模型包括“正?！睜顟B(tài)以及“無響應(yīng)”“隨機(jī)輸出”“延遲”“卡滯”4 種故障狀態(tài)，這5 種狀態(tài)對應(yīng)的控制信號值分別為0、1、2、3、4。

圖4 基于Simulink 的PFC 的拓展模型Fig. 4 Simulink-based extended model of PFC

針對圖2 中每個部件構(gòu)建拓展模型，并將其連接在一起，可建立該橫側(cè)向FBW 系統(tǒng)的拓展模型，如圖5 所示。

圖5 基于Simulink 的橫側(cè)向FBW 系統(tǒng)拓展模型Fig. 5 Simulink-based extended model of lateral-directional FBW system

2 基于單故障注入的故障影響

在飛機(jī)系統(tǒng)安全性分析中，F(xiàn)MEA 是一種識別部件的所有故障模式并分析其對更高層次影響的安全性分析方法。FMEA 通常用于分析單個故障模式對飛機(jī)或系統(tǒng)的影響，以利于發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)的薄弱環(huán)節(jié)。其中故障影響的確定是FMEA 的重要環(huán)節(jié)，傳統(tǒng)的FMEA 方法主要依賴分析人員的經(jīng)驗(yàn)來識別故障影響，本研究將通過故障注入后的系統(tǒng)性能響應(yīng)來確定故障影響。

2. 1 系統(tǒng)性能指標(biāo)與閾值

FHA 確定的系統(tǒng)頂層失效狀態(tài)（Failure Condition， FC）是否會發(fā)生，是分析故障模式“最終影響”的主要依據(jù)。為每個FC 定義性能指標(biāo)和閾值，并監(jiān)控注入故障后的系統(tǒng)響應(yīng)。當(dāng)飛機(jī)處于安全狀態(tài)時，各性能指標(biāo)的響應(yīng)應(yīng)限制在可接受的范圍內(nèi)，一旦性能指標(biāo)超出了閾值，系統(tǒng)頂層FC 發(fā)生。

圖1 所示的橫側(cè)向FBW 系統(tǒng)由FHA 確定的頂層FC 包括“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)功能喪失”和“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)振蕩”。

“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)功能喪失”的性能指標(biāo)為側(cè)滑角β、滾轉(zhuǎn)率pr、偏航率rr和滾轉(zhuǎn)角?。其性能要求定義為

式中：yi(t)是第i個性能指標(biāo)；yir(t)是第i個性能指標(biāo)的參考值，即系統(tǒng)在無故障情況下第i個性能指標(biāo)的取值；ri是第i個性能指標(biāo)的閾值；β、pr、rr和?的閾值分別為0.15 rad、0.45 rad/s、0.45 rad/s 和0.15 rad。

“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)振蕩”的性能指標(biāo)為飛機(jī)的滾轉(zhuǎn)角?，閾值定義為20 s 內(nèi)通過0 rad 的頻率大于1 次/s 的數(shù)量不超過10。

對于故障的“局部影響”或“高層次影響”，可根據(jù)相應(yīng)層級的系統(tǒng)或子系統(tǒng)的輸出響應(yīng)，采用與上述類似的方法來分析。例如，要分析圖5 中PFC1 指令單元的故障模式的影響，可通過故障注入后PFC1 的輸出參數(shù)“左右橫滾命令輸出”和“偏航命令輸出”的響應(yīng)來進(jìn)行判別。

2. 2 典型故障模式的故障影響

以圖1 所示的橫側(cè)向FBW 系統(tǒng)為例，其輸入的滾轉(zhuǎn)指令為0.2 rad、0.1 Hz 的方波，系統(tǒng)在正常狀態(tài)時的響應(yīng)如圖6 所示。

圖6 無故障狀態(tài)下橫側(cè)向FBW 系統(tǒng)的性能響應(yīng)Fig. 6 Performance responses of lateral-directional FBW system without fault injection

注入“左/右副翼-舵面松浮”故障后，系統(tǒng)的性能響應(yīng)如圖7 所示。此時，滾轉(zhuǎn)角?顯然超過了規(guī)定的閾值0.15 rad，因此可判斷“左/右副翼-舵面松浮”故障的最終影響為“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)功能喪失”。

圖7 左/右副翼松浮時橫側(cè)向FBW 系統(tǒng)的性能響應(yīng)Fig. 7 Performance responses of lateral-directional FBW system with left/right aileron trailing

注入“方向舵-舵面松浮”故障后，系統(tǒng)的性能響應(yīng)如圖8 所示。此時，滾轉(zhuǎn)角?超過了規(guī)定的閾值0.15 rad，且發(fā)生了微小振蕩，但其振蕩頻率沒有超過閾值（即20 s 內(nèi)通過0 rad 的頻率大于1 次/s 的數(shù)量不超過10），因此可判斷“方向舵-舵面松浮”故障的最終影響僅僅為“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)功能喪失”。

圖8 方向舵松浮時橫側(cè)向FBW 系統(tǒng)的性能響應(yīng)Fig. 8 Performance responses of lateral-directional FBW system with rudder trailing

完成所有單故障注入發(fā)現(xiàn)，所有單故障均不會“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)振蕩”，則該頂層FC 不會被單故障觸發(fā)。

3 基于故障遍歷的故障樹

FTA 是一種組合故障分析方法，能夠確定導(dǎo)致頂層FC 的故障原因組合，并計(jì)算頂事件發(fā)生概率。FMEA 不能分析組合故障的影響，上述分析中盡管所有單故障都不會“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)振蕩”，但是當(dāng)“PFC 指令單元-無響應(yīng)”和“PFC 監(jiān)控單元-無響應(yīng)”2 個故障模式同時發(fā)生將導(dǎo)致該FC 發(fā)生，如圖9 所示。

圖9 PFC 指令和監(jiān)控單元無響應(yīng)時橫側(cè)向FBW 系統(tǒng)的性能響應(yīng)Fig. 9 Performance responses of lateral-directional FBW system with both PFC command and monitor unit omission

本節(jié)提出了一種基于故障遍歷的FTA 方法，首先利用遞歸法得到了系統(tǒng)的所有故障組合；其次提出了故障組合的約簡方法以提高分析效率；然后通過狀態(tài)遍歷將故障組合注入到名義模型中，并根據(jù)系統(tǒng)響應(yīng)來判斷是否會導(dǎo)致頂層FC 的發(fā)生，即確定故障組合是否是割集；最后可利用最小割集（Minimal Cut Set， MCS）計(jì)算出響應(yīng)的FC 的發(fā)生概率。所提出的方法利用組合故障的性能響應(yīng)來確定導(dǎo)致頂層FC 的MCS，同樣避免了對分析人員經(jīng)驗(yàn)的依賴。

3. 1 基于遞歸法的故障組合確定

要使用狀態(tài)遍歷進(jìn)行故障注入，首先必須得到所有的故障組合。假設(shè)系統(tǒng)由m個部件組成，每個部件的故障模式數(shù)用向量N來表示：

式中：ni表示第i個部件共具有ni種故障模式。

每個故障組合用向量C來表示：

式中：ci=0 表示第i個部件無故障；ci=j(j=1，2，…，ni)表示第i個部件的第j種故障模式發(fā)生。假設(shè)一個故障組合中有q(q=1，2，…，m)個部件故障，則向量C中有q個非零元素。

通過遞歸法得到的q個部件故障的所有故障組合的偽代碼描述如算法1 所示。

3. 2 故障組合的約簡

為減少需遍歷的故障組合數(shù)，提高安全性分析效率，可先對已生成的故障組合進(jìn)行約簡。故障組合的約簡有2 種方法：

算法1 故障組合的生成Input： 故障部件的個數(shù)q、部件的總個數(shù)m、部件的故障模式數(shù)向量N Output： q 個部件故障的所有故障組合Com 1. void GetCombination（q， m， N） ∥得到q 個部件故障的所有故障組合2. C←[0]1×m ∥向量C 表示一個故障組合，C 為全零矩陣時表示系統(tǒng)正常3. i←1 ∥ i 為部件編號4. k←0 ∥ k 表示故障部件編號，即向量C 中的第k 個非零元素5. Recursive（i， k）6. End 7. void Recursive（i， k） ∥遞歸函數(shù)8. if i≤m then 9. k←k+1 10. for x=i：m 11. for j=1：N（x）12. C（x）=j 13. if k=q then 14. 當(dāng)前向量C為一個故障組合，保存入向量組Com 15. else 16. Recursive（x+1， k）17. End if 18. C（x）=0 19. End for 20. End for 21. else 22. return 23. End if 24. End

1）若某一故障組合的子集是MCS，則該故障組合可舍棄，不用再進(jìn)行故障注入。即在遍歷q個元素的故障組合時，若該故障組合包含MCS（階數(shù)小于q），則該故障組合無須考慮，因?yàn)槠湟呀?jīng)在之前的迭代中考慮過。

2）利用相似余度，余度架構(gòu)中的相似部件的故障在故障組合中不重復(fù)考慮。在生成故障組合時，部件的冗余被視作幾個不同的部件（如PFC、驅(qū)動機(jī)構(gòu)、傳感器），包括單個故障、多個故障等所有故障方式都被考慮在內(nèi)。對于非相似冗余，可以直接遍歷；對于相似冗余，其對故障的響應(yīng)也是相同的，可先對這部分故障組合進(jìn)行約簡。如該FBW 的PFC 采用了2×2 余度結(jié)構(gòu)，使用了2 個完全相同的PFC，每個PFC 中有2 個相似的支路，分別為指令單元和監(jiān)控單元；2 個完全相同的驅(qū)動機(jī)構(gòu)分別與2 個PFC 單獨(dú)連接（如圖2 所示）。由于部件A、B、C、D 均為相似的指令或監(jiān)控單元，因此與部件組合｛A， E， G， I｝、｛C， E， G，I｝、｛B， F， H， J｝和｛D， F， H， J｝相關(guān)的故障組合注入系統(tǒng)后的響應(yīng)是相同的，因此僅需要保留一個作為代表，本文稱之為故障組合代表。對故障組合進(jìn)行約簡的偽代碼如算法2 所示。

算法2 故障組合的約簡Input： q 個部件故障的所有故障組合Com Output： 約簡后的剩下的q 個部件故障的故障組合SimpleCom 1. void Simplify（Com）2. n←size（Com，1） ∥讀取剩余q 個部件故障的故障組合的個數(shù)3. for i=1：n 4. if 包含q-1 階及以下MCS then 5. Com（i，：）清零6. End if 7. if 有相似余度故障 then 8. 將Com（i，：）中對應(yīng)元素替換為故障組合代表9. End if 10. End for 11. 去除故障組合中的重復(fù)行和全零行，得到SimpleCom 12. End

3. 3 基于狀態(tài)遍歷的安全性分析方法

將遍歷約簡后的故障組合注入系統(tǒng)模型并分析系統(tǒng)響應(yīng)，可以得到導(dǎo)致系統(tǒng)頂層FC 發(fā)生的MCS，即確定系統(tǒng)失效的原因，以便于改進(jìn)系統(tǒng)設(shè)計(jì)。并且，利用故障模式的故障率數(shù)據(jù)還可以根據(jù)MCS 計(jì)算頂層FC 的概率。

基于狀態(tài)遍歷識別MCS 并計(jì)算系統(tǒng)頂層FC 概率的偽代碼描述如算法3 所示。

4 實(shí)例分析和討論

本節(jié)基于圖1 所示的橫側(cè)向FBW 系統(tǒng)給出了FMEA 與FTA 分析實(shí)例。

4. 1 基于單故障注入的FMEA 實(shí)例

考慮到該橫側(cè)向FBW 系統(tǒng)的功能及組成特點(diǎn)，可將系統(tǒng)劃分為PFC 子系統(tǒng)、驅(qū)動機(jī)構(gòu)、傳感器子系統(tǒng)和控制面4 個部分。每個子系統(tǒng)都由若干部件組成，各部件的故障模式如表2 所示，部件故障模式的故障率如表3 所示，其層次分解圖如圖10 所示。

表3 部件故障模式的故障率Table 3 Failure rate of failure modes of components

圖10 橫側(cè)向FBW 系統(tǒng)的層次分解圖Fig. 10 Hierarchical decomposition diagram of lateral-directional FBW system

分析每類部件的故障模式，給出其對當(dāng)前層級、高一層的子系統(tǒng)級、系統(tǒng)級的影響，確定故障檢測方法，即完成了FMEA。

算法3 基于狀態(tài)遍歷的MCS 識別與FC 概率求解Input： 故障部件的個數(shù)q、部件的總個數(shù)m、部件的故障模式數(shù)向量N Output： 系統(tǒng)的MCS 和頂層FC 的失效概率1. void StateTraversal（）2. for q=1：m 3. l←1 4. GetCombination（q， m， N） ∥ 調(diào)用算法1 得到q 個部件故障的所有故障組合5. Simplify（Com） ∥調(diào)用算法2 約簡故障組合6. n←size（SimpleCom，1） ∥讀取剩余q 個部件故障的故障組合的個數(shù)7. for l=1：n 8. 將第l 個故障組合注入系統(tǒng)模型9. 運(yùn)行拓展模型10. if 導(dǎo)致系統(tǒng)頂層FC 發(fā)生 then 11. 記錄當(dāng)前故障組合為頂層FC 的一個q 階MCS 12. End if 13. End for 14. End for 15. 根據(jù)系統(tǒng)頂層FC 的所有MCS 計(jì)算其失效概率16. End

以PFC 子系統(tǒng)中的PFC1 指令單元為分析對象，其功能為“獲取飛行員指令和飛機(jī)姿態(tài)信息，經(jīng)控制律解算，指令驅(qū)動機(jī)構(gòu)動作”。通過分析PFC1 指令單元的4 種故障模式及其影響，得到的FMEA 表如表4 所示。

表4 PFC1 指令單元部件級FMEA 表Table 4 Piece-part FMEA worksheet for command unit of PFC1

以控制面子系統(tǒng)中的左副翼為分析對象，其功能為“為飛機(jī)提供滾轉(zhuǎn)控制”。通過分析左副翼的2 種故障模式及其影響，得到的FMEA 表如表5 所示。

表5 左副翼部件級FMEA 表Table 5 Piece-part FMEA worksheet for left aileron

4. 2 基于狀態(tài)遍歷的FTA 實(shí)例

通過狀態(tài)遍歷法，分別得到該橫側(cè)向FBW系統(tǒng)頂層FC“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)功能喪失”的MCS 共3 293 個，對等價的MCS 約簡后剩余215 個，其中一階3 個，二階42 個，三階104個，四階及以上66 個。

頂層FC“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)振蕩”的MCS 共1 128 個，對等價的MCS 進(jìn)行約簡后剩余109 個，其中一階0 個，二階6 個，三階60 個，四階及以上69 個。

（一）有利于生產(chǎn)各環(huán)節(jié)的全程監(jiān)控，保障畜產(chǎn)品質(zhì)量安全 隨著社會經(jīng)濟(jì)的快速發(fā)展，人們消費(fèi)意識和水平的不斷提高，消費(fèi)者對所需食品的質(zhì)量要求越來越高。而分散的小規(guī)模生產(chǎn)，很難有效對其生產(chǎn)的各個環(huán)節(jié)進(jìn)行有效監(jiān)控，產(chǎn)品質(zhì)量無法保障，只有標(biāo)準(zhǔn)化規(guī)模化發(fā)展生豬養(yǎng)殖，才能有利于監(jiān)管，有效避免有毒、有害、違禁藥品、飼料、添加劑、微量元素、礦物質(zhì)進(jìn)入畜體，保障畜產(chǎn)品質(zhì)量安全。

在計(jì)算頂事件發(fā)生概率時，需要用到基本事件的暴露時間和故障率，由于該橫側(cè)向FBW 系統(tǒng)的所有部件在整個航段時間內(nèi)均在工作且不存在隱性故障，因此故障樹每一基本事件的暴露時間均取平均航段時間。各部件故障模式的故障率見表3，假設(shè)該飛機(jī)的平均航段時間為10 h，根據(jù)求得的MCS 可計(jì)算得到“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)功能喪失”每航段時間內(nèi)的發(fā)生概率為3.002 661×10-7，每飛行小時發(fā)生概率為3.002 7×10-8；“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)振蕩”每航段時間內(nèi)的發(fā)生概率為1.140 6×10-10，每飛行小時發(fā)生概率為1.140 6×10-11。

4. 3 分析與驗(yàn)證

針對該系統(tǒng)，文獻(xiàn)［26］提出了利用經(jīng)典的馬爾可夫分析方法（Markov Analysis， MA）求失效概率上下限的近似方法求解失效狀態(tài)發(fā)生概率。MA 的主要步驟為：① 注入故障模式，運(yùn)行系統(tǒng)拓展模型，確定系統(tǒng)的各個狀態(tài)（正常、失效），繪制出系統(tǒng)的狀態(tài)轉(zhuǎn)移圖；② 依據(jù)系統(tǒng)狀態(tài)轉(zhuǎn)移圖，構(gòu)建相應(yīng)的狀態(tài)轉(zhuǎn)移矩陣以及用于求解飛行控制系統(tǒng)狀態(tài)概率的微分方程組；③ 通過求解微分方程組能夠得出系統(tǒng)在某一時刻處于各個狀態(tài)的概率，進(jìn)而求解系統(tǒng)失效概率。

該橫側(cè)向FBW 系統(tǒng)“導(dǎo)致不安全飛行路徑的滾轉(zhuǎn)功能喪失”的MA 模型如圖11 所示。

圖11 滾轉(zhuǎn)功能喪失的MA 模型Fig. 11 MA model for loss of roll control

圖11 中，紅色圓表示系統(tǒng)的吸收狀態(tài)；標(biāo)號為N 的圓表示系統(tǒng)的正常狀態(tài)；標(biāo)號為字母與數(shù)字組合的圓表示系統(tǒng)的中間狀態(tài)。以標(biāo)號為A1的圓為例，其表示部件A 的故障模式1 發(fā)生，λA1為部件A 的故障模式1 的故障率。通過求解馬爾可夫過程的Fokker-Planck 方程可以計(jì)算出頂層FC 發(fā)生的概率。

為了簡化MA 過程，可以通過截?cái)郙A 模型來減少狀態(tài)數(shù)［27］，截?cái)嗪蟮腗A 模型包含的狀態(tài)數(shù)將大幅減少，其減小程度取決于截?cái)嗨降母叩?。圖11 取3 級截?cái)嗪蟮腗A 狀態(tài)轉(zhuǎn)移圖如圖12 所示，圖12 中除了完全失效狀態(tài)T 外，其他包含3 個故障以上的狀態(tài)將不再考慮。

圖12 3 級截?cái)嘞碌臓顟B(tài)轉(zhuǎn)移圖Fig. 12 State transition diagram at third truncation level

圖12 中相應(yīng)的故障率可通過式（4）求得

MA 模型截?cái)嗪?，無法得到系統(tǒng)的MCS 和頂層FC 發(fā)生的精確概率，但可以計(jì)算頂層FC 發(fā)生的概率的上下界［25，27］。當(dāng)取截?cái)嗟燃墳? 時，求得的2 個頂層FC 的發(fā)生概率的上下界見表6。

表6 不同方法得到的頂層FC 發(fā)生概率Table 6 Probability of top-level FC occurrence calculated by different methods

此外，還能夠通過蒙特卡羅仿真的方法近似求解該FBW 系統(tǒng)失效狀態(tài)的發(fā)生概率［25］。蒙特卡羅仿真的具體方法為：將每個部件故障模式的故障時間用隨機(jī)數(shù)表示，將這些數(shù)字從小到大排序，按照故障注入方法逐個注入發(fā)生時的失效模式。當(dāng)響應(yīng)不滿足安全要求時，將終止一次模擬，得到不安全狀態(tài)下的時間樣本。根據(jù)幾個時間樣本，可以得到不安全條件下的時間概率分布。這樣就可以計(jì)算出不同時間點(diǎn)的不安全狀況發(fā)生的概率。通過蒙特卡羅仿真計(jì)算出的平均航段時間內(nèi)發(fā)生不安全狀況的概率見表6。

由此可見，通過本文方法計(jì)算得到的概率位于MA 方法得到的概率上下界之間，與蒙特卡羅仿真的結(jié)果近似，說明了本文方法的準(zhǔn)確性。

此外，隨著設(shè)計(jì)的更改，MA 模型需要重新手動構(gòu)建，而本文方法可以根據(jù)修改后的系統(tǒng)模型，自動更新安全性分析結(jié)果，避免了煩瑣的建模工作。蒙特卡羅仿真方法雖然節(jié)約了分析時間，但其是一種隨機(jī)方法，無法得到精確的失效概率，也無法得到失效狀態(tài)的MCS。

5 結(jié) 論

本文提出了基于Simulink 的FBW 系統(tǒng)安全性分析方法。通過注入單個故障和故障組合遍歷，實(shí)現(xiàn)了FMEA 和FTA 的自動化。與傳統(tǒng)的安全性分析方法相比，本文方法具有以下優(yōu)點(diǎn)：

1）提出了一種MBSA 方法，基于Simulink建立了FBW 系統(tǒng)名義模型和拓展模型，能夠自動分析FMEA 的故障影響、確定FTA 的MCS 并計(jì)算頂層FC 的發(fā)生概率。

2）利用故障注入后的系統(tǒng)的性能響應(yīng)來確定部件故障或故障組合對系統(tǒng)安全性的影響。與傳統(tǒng)的安全性分析方法相比，系統(tǒng)失效的確定不依賴于分析人員的技術(shù)和經(jīng)驗(yàn)，更具有客觀性。

3）當(dāng)系統(tǒng)設(shè)計(jì)方案更改時，利用更改后的拓展模型能夠自動更新安全性分析結(jié)果，不需要重新構(gòu)建安全性分析模型（如FTA、MA 或依賴圖分析），從而避免了手動重新建模的煩瑣工作。