基于失效模式框圖的機(jī)載設(shè)備安全性評估研究

趙 健，葛紅娟，浦程楠，周 波，魏佳丹

（1.中國商飛上海飛機(jī)設(shè)計(jì)研究院，上海 200120；2.南京航空航天大學(xué)，南京 210016）

基于失效模式框圖的機(jī)載設(shè)備安全性評估研究

趙 健1，葛紅娟2，浦程楠2，周 波2，魏佳丹2

（1.中國商飛上海飛機(jī)設(shè)計(jì)研究院，上海 200120；2.南京航空航天大學(xué)，南京 210016）

為了解決故障樹方法割集遺漏問題和FMEA方法信息遺漏問題，提出一種新型的基于FMEA的安全性分析建模與數(shù)值解算方法——失效模式框圖法（FMBD）。通過FMEA分析得出相應(yīng)設(shè)備的失效模式，根據(jù)設(shè)備工作機(jī)理及其各部分的相互關(guān)系，建立失效模式框圖，推導(dǎo)失效率解算表達(dá)式。與通過FTA方法進(jìn)行失效率計(jì)算相比，不但簡化了安全性分析過程，而且克服了FTA方法可能導(dǎo)致的割集遺漏問題；提高了失效率估算精度。將該方法應(yīng)用于飛機(jī)發(fā)電機(jī)過壓保護(hù)器（OPU）的安全性分析，通過對OPU主要功能的安全性指標(biāo)研究，提出了硬件設(shè)計(jì)修改意見，改進(jìn)后OPU主要功能的安全性得到了很大提高，使得該設(shè)備滿足預(yù)分配的研制等級要求；驗(yàn)證了該方法的可行性和準(zhǔn)確性。該方法可用于飛機(jī)系統(tǒng)各級別的失效率分析解算，為飛機(jī)安全性分析提供了新途徑。

機(jī)載設(shè)備；失效模式效應(yīng)分析；失效模式框圖法；安全性評估

飛機(jī)電源系統(tǒng)是機(jī)上最重要的機(jī)載設(shè)備之一，對整架飛機(jī)的安全性及其功能的實(shí)現(xiàn)有著重要影響。目前，飛機(jī)電源系統(tǒng)中發(fā)電機(jī)輸出電壓的調(diào)節(jié)和控制以及部分故障保護(hù)功能由發(fā)電機(jī)控制器（GCU）完成[1]。由于GCU通過調(diào)節(jié)勵(lì)磁對發(fā)電機(jī)進(jìn)行保護(hù)，會(huì)導(dǎo)致調(diào)節(jié)延時(shí)[2]；為避免輸出電壓過高，民機(jī)電源系統(tǒng)增加了發(fā)電機(jī)過壓保護(hù)器（OPU），與GCU共同實(shí)現(xiàn)該功能。單一GCU實(shí)現(xiàn)上述功能時(shí)，研制保證等級為A級，研制困難；從適航安全性角度增加OPU作為GCU的獨(dú)立非相似冗余結(jié)構(gòu)，可使得二者的研制保證等級均降至B級[3-5]。OPU的主要功能為：電壓超過180 V時(shí)，OPU將電壓鉗位在180 V；鉗位時(shí)間超過55 ms，直接切斷電路，實(shí)現(xiàn)GCU的冗余保護(hù)。

現(xiàn)有的研究機(jī)載設(shè)備安全性的方法包括故障樹（FTA）、動(dòng)態(tài)故障樹（DFTA）、失效模式與影響分析（FMEA）等方法[6-7]，F(xiàn)TA和DFTA通過求最小割集的方法進(jìn)行定性和定量分析，然而其自上而下和不利于計(jì)算的特性可能導(dǎo)致割集遺漏問題[8]，單獨(dú)使用時(shí)確定設(shè)備安全性不便。FMEA采用自下而上的方法，通過列舉器件失效率來逐級求得頂事件失效率，但由于其實(shí)現(xiàn)方式主要通過列表計(jì)算，易對器件間的相互關(guān)系判斷出現(xiàn)疏漏。本文提出了一種基于FMEA的安全性分析建模與數(shù)值解算方法，通過建立失效模式框圖，推導(dǎo)失效率解算表達(dá)式對設(shè)備進(jìn)行安全性分析。

本文以過壓保護(hù)裝置中的鉗位控制功能電路為例，建立失效模式框圖，提高了失效率估算精度，通過對OPU鉗位控制功能的安全性指標(biāo)研究，提出了提高安全性的硬件設(shè)計(jì)修改意見，修改后的電路失效率滿足安全性要求。最后將失效率模型方法應(yīng)用于整個(gè)電路，驗(yàn)證了整個(gè)電路的安全性和該方法的可行性。

1 鉗位控制電路安全性分析

1.1 過壓保護(hù)裝置及鉗位控制電路

電源保護(hù)控制裝置（overvoltageprotectionunit，OPU）根據(jù)其功能由多個(gè)電路部分組成，主要功能有：①過壓鉗位功能：輸出電壓超過180 V，1 ms內(nèi)OPU執(zhí)行鉗位動(dòng)作，將輸出電壓鉗位控制在180 V；②如果超過55 ms，電壓依然不能得到控制，則需要執(zhí)行保護(hù)功能，輸出保護(hù)信號。本節(jié)僅以鉗位功能為例進(jìn)行失效模式框圖法的應(yīng)用分析研究；后文將進(jìn)一步研究整個(gè)裝置的安全性。

圖1為鉗位信號電路圖，該電路通過采樣電路采樣三相電壓，將采樣所得電壓通過電壓比較電路，檢測電路是否過壓，最終通過或門輸出過壓信號。該電路采用的比較方式不能構(gòu)成三相冗余，且在過壓初始階段產(chǎn)生矩形波，通過對該電路的安全性分析，也發(fā)現(xiàn)該電路不能滿足研制保證等級的要求。因此最終對該電路進(jìn)行了修改，具體的分析過程如下。

圖2為根據(jù)圖1簡化得到的鉗位信號電路原理框圖，以該電路為對象進(jìn)行電路模塊建模及安全性分析。

1.2 鉗位信號電路模型

由圖2中的鉗位信號電路框圖及具體電路原理，可以建立如圖3所示的鉗位信號電路模型框圖。

由圖可知，鉗位信號電路為串聯(lián)系統(tǒng)，其可靠度為上述幾個(gè)電路模塊乘積，可靠度為

由于指數(shù)分布能較好地描述由大量元器件組成的復(fù)雜系統(tǒng)壽命分布，適用于電氣和電子系統(tǒng)，因此在此處元器件的成功概率（即基本事件的可靠度）計(jì)算方程為

其中：Ps表示成功概率；R表示可靠度；e表示自然對數(shù)底；λ表示基本事件失效率；t表示基本事件暴露時(shí)間或風(fēng)險(xiǎn)時(shí)間。

使用λ來表示可靠度，則可得到

由于該系統(tǒng)為串聯(lián)系統(tǒng)，因此對于每一個(gè)模塊，其安全性要求較高，首先對采樣電路進(jìn)行FMEA與失效率模型分析。

1.3 采樣電路FMEA分析

可能導(dǎo)致采樣電路（a相）不能正常工作的失效是“A1：OPU采樣電路（a相）采樣電壓偏小”、“A2：OPU采樣電路（a相）采樣電壓偏大”及“A3：非電源故障導(dǎo)致的OPU采樣電路（a相）無法輸出采樣電壓”。其中A1、A3失效模式可能導(dǎo)致OPU鉗位功能過壓無輸出故障，A2失效模式可能導(dǎo)致OPU鉗位功能錯(cuò)誤輸出故障。根據(jù)OPU整體功能機(jī)采樣電路原理分析，可總結(jié)得出OPU采樣電路FMEA分析內(nèi)容，如表1所示[9]。

針對每一個(gè)失效模式進(jìn)行失效分析，基于FMEA分析建立失效模式框圖模型，得到具體的安全性指標(biāo)。此處以“非電源故障導(dǎo)致的OPU采樣電路（a相）無法輸出采樣電壓”失效模式為例建模，如圖4所示。

由于

其中：Pf表示失效概率；Q表示不可靠度。

又由于OPU為航空電子設(shè)備，其失效率應(yīng)低于10-5數(shù)量級，因此其電路中使用的元器件失效率遠(yuǎn)小于0.1。

當(dāng)λt≤0.1時(shí)

由圖4可得

圖1 鉗位信號電路圖Fig.1 Clamp-control circuit

圖2 鉗位信號電路原理框圖Fig.2 Clamp-control circuit principle block diagram

圖3 鉗位信號電路模型框圖Fig.3 Clamp-control circuit model block diagram

表1 （SSA OPU FMEA）OPU采樣零部件失效模式和影響分析（部分）Tab.1 Partial failure modes and effects of sample circuit components in OPU（SSA OPU FMEA）

圖4 OPU采樣電路（a相）無法輸出采樣電壓失效模式框圖模型Fig.4 Failure mode diagram：OPU sample circuit（aphase）failed to output sample voltage

將式（5）代入式（6），可化簡如下

由此可知

代入FMEA中得到各個(gè)元器件失效率及其失效方式，可得到

同理得到的A2、A3失效模式以及采樣電路其他兩相的失效率也大于10-7h數(shù)量級，而按照要求，過壓保護(hù)電路整體失效率必須低于10-7h數(shù)量級，因此，整個(gè)電路失效率過大，明顯不符合要求，需要對電路進(jìn)行改進(jìn)。

根據(jù)電路的設(shè)計(jì)需求和實(shí)際用途，對電路可采取以下幾種改進(jìn)方法：

1）不影響功能實(shí)現(xiàn)的基礎(chǔ)上減少元器件的數(shù)目，簡化電路；

2）設(shè)計(jì)冗余；

3）選擇失效率更低的元器件。

綜合以上改進(jìn)方法，改進(jìn)后的鉗位信號電路如圖5所示，三相電路結(jié)構(gòu)相同。改變鉗位電路中比較電路的比較門限電壓，使得采樣電路不需要進(jìn)行升壓輸出，同時(shí)改變鉗位信號電路結(jié)構(gòu)，使得三項(xiàng)采樣信號冗余，同時(shí)考慮到并聯(lián)情況下“采樣信號偏大這一失效方式”的失效率計(jì)算應(yīng)為串聯(lián)模型，因此少量修改了幾個(gè)元器件的質(zhì)量等級，保證電路的安全等級。

2 修改后鉗位信號電路的安全性分析

2.1 修改后鉗位信號電路模型

根據(jù)圖5修改后鉗位信號電路的原理電路及整體電路設(shè)計(jì)，可得到如圖6所示的修改后的鉗位信號電路的模型框圖。

由圖5可知，該電路的可靠度為

圖5 修改后的鉗位信號電路Fig.5 Modified clamp-control circuit

圖6 修改后的鉗位信號電路模型框圖Fig.6 Block diagram of modified clamp-control circuit model

2.2 修改后的鉗位信號電路FMEA分析

對修改后的電路進(jìn)行FMEA分析，其中部分表格如表2所示。

基于表2中的數(shù)據(jù)，對鉗位信號電路建立失效模式框圖模型，以“非電源故障導(dǎo)致的OPU無法輸出過壓鉗位信號”失效模式為例建模，如圖7所示。

表2 （SSA OPU FMEA）OPU鉗位信號電路零部件失效模式和影響分析（部分）Tab.2 Partial failure modes and effects of clamp-control components in OPU（SSA OPU FMEA）

通過上文的分析，由圖7可得修改后的采樣電路加上后續(xù)部分電路的失效率計(jì)算公式Q1（t）為

由此可知

由前期的分析計(jì)算，λcomp、λor、λor＇均為確定值，分別為6.15×10-8（h）、1.54×10-9（h）、4.52×10-9（h）。則

代入FMEA中得到各個(gè)元器件失效率及其失效方式，可以得到

通過以上分析，可知該電路符合安全性要求，同時(shí)，采樣電路與鉗位比較電路串聯(lián)的部分電路有失效率調(diào)整過度的可能性。但由于本處電路修改得到的冗余狀況對于“輸出采樣電壓偏高導(dǎo)致不過壓情況下輸出鉗位保護(hù)信號”的失效情況并不構(gòu)成冗余，且形成串聯(lián)的模式，因此，采樣電路的失效率調(diào)整是必要且必須的。

圖7 修改后的OPU鉗位信號電路無法輸出過壓鉗位信號失效率計(jì)算模型Fig.7 Failure mode diagram：modified clamp-control circuit of OPU failed to output voltage

3 OPU整體安全性分析

電源保護(hù)控制裝置的硬件結(jié)構(gòu)，如圖8所示。根據(jù)電源保護(hù)控制裝置的功能，其硬件組成分為兩部分：過壓鉗位電路和延時(shí)保護(hù)電路。

圖8 電源保護(hù)控制裝置的硬件結(jié)構(gòu)Fig.8 Hardware structure of OPU

根據(jù)原理電路以及前期工作中對電路失效方式的分析，可得到OPU整體失效模式框圖模型，此處以“發(fā)電機(jī)過壓情況下不能進(jìn)行鉗位”失效模式框圖模型為例進(jìn)行分析，可得到修改后的采樣電路加上后續(xù)部分電路的失效率計(jì)算公式Q2（t）為

由此可知

其中：a、b、c三相為并聯(lián)系統(tǒng)，其失效率為三者失效率乘積，由于每一項(xiàng)的失效率均為10-8（h）數(shù)量級，其乘積小于10-20（h）數(shù)量級，遠(yuǎn)小于其他系統(tǒng)失效率，可忽略不計(jì)，計(jì)算中默認(rèn)為0。

4 結(jié)語

本文在比較研究了FTA、FMEA等方法的基礎(chǔ)上提出了基于FMEA的失效模式框圖法，并應(yīng)用于機(jī)載設(shè)備OPU的安全性解算，通過解算證明：FMBD法不但簡化了安全性分析過程、克服了FTA方法可能導(dǎo)致的割集遺漏問題，而且提高了FMEA的失效率估算精度。本文通過對OPU的主要功能（鉗位信號功能）的安全性分析，提出了對鉗位信號電路提高安全性的合理改進(jìn)建議，研究結(jié)果表明改進(jìn)后的電路安全性滿足預(yù)分配的研制等級要求；驗(yàn)證了該方法的可行性和準(zhǔn)確性。該方法不僅可用于機(jī)載設(shè)備的安全性分析及對電路和設(shè)備提出合理改進(jìn)建議，還可以應(yīng)用于飛機(jī)系統(tǒng)各級別的失效率分析解算，為飛機(jī)安全性分析提供更加方便、準(zhǔn)確、直觀的新方法。

[1]嚴(yán)仰光.航空航天器供電系統(tǒng)[M].南京：南京航空航天大學(xué)出版社，2010.

[2]應(yīng)群偉.飛機(jī)發(fā)電機(jī)控制單元的設(shè)計(jì)與實(shí)現(xiàn)[D].西安：西北工業(yè)大學(xué)，2007.

[3]AC/AMJ 25.1309，System Design and Analysis（Draft ARSENAL revised）[S].Federal Aviation Administration and EuropeanAviation Safety Agency，2002.

[4]CCAR-25-R3，運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)[S].中國民用航空總局，2005.

[5]Societyof AutomotiveEngineers（SAE），Aerospace Recommended Practice（ARP）.4754/EUROCAE ED-79，Certification Considerations for Highly Integrated or Complex Aircraft Systems[S].SAE，1996.

[6]賈立德，王金安，楊忠堂，等.基于故障樹分析的飛船檢漏間泄漏分析與建模[J].宇航學(xué)報(bào)，2012，33（6）：843-848.

[7]羅 勇.FMEA技術(shù)在電源模塊設(shè)計(jì)中的應(yīng)用[J].質(zhì)量與可靠性，2009（5）：37-40.

[8]吳海橋，劉 超，葛紅娟，等.基于模型檢驗(yàn)的飛機(jī)系統(tǒng)安全性分析方法研究[J].中國民航大學(xué)學(xué)報(bào)，2012，30（2）：17-20.

[9]谷宏強(qiáng)，劉 飛，郭 利.FMEA在某選頻電路故障仿真中的應(yīng)用[J].工程設(shè)計(jì)學(xué)報(bào)，2010，17（2）：124-127，155.

（責(zé)任編輯：楊媛媛）

Safety assessment of airborne equipments based on FMBD

ZHAO Jian1，GE Hong-juan2，PU Cheng-nan2，ZHOU Bo2，WEI Jia-dan2
（1.Shanghai Aircraft Design and Research Institute，Commercial Aircraft Corporation of China Ltd.，Shanghai 200120，China；2.Nanjing University of Aeronautics and Astronautics，Nanjing 210016，China）

To solve the missing problem of FTA and FMEA，a new safety analysis modeling and numerical solution method is proposed based on FMEA，named FMBD （failure mode block diagram）.This method obtains the failure modes of the airborne equipments through FMEA，and establishes failure mode block diagrams depending on devices，working priniciples and relationships between device parts.By using FMBD method，an expression is proposed to calculate the failure rate.Compared with FTA method，the FMBD method not only simplifies the safety analysis process，but also overcomes the cut set omissions of FTA.The accuracy of failure rate estimation is improved.FMBD method is introduced into safety analysis of OPU，which is an airborne equipment.Through safety analysis of this equipment，some modifications of hardware design are proposed.After modifying，the security of OPU hardware has been greatly improved，and the preallocated development assurance level has been met.Through all these works，the feasibility and accuracy of this method get well verified.This method can also be applied to all levels of failure rate analysis of aircraft systems，offering new path for aircraft safety analysis.

airborn equipments；FMEA；FMBD；safty assessment

V37；N945.1

：A

：1674-5590（2014）05-0015-07

2013-06-26；

：2013-10-21

：國家自然科學(xué)基金項(xiàng)目（U1233127）

趙 健(1963—)，男，陜西西安人，研究員，博士研究生，研究方向?yàn)轱w機(jī)電氣，電力電子技術(shù).