民用航空發(fā)動機(jī)頂層故障事件的概率計算研究

連 超

(中國航發(fā)商用航空發(fā)動機(jī)有限責(zé)任公司，上海 200241)

0 引言

飛行安全是民用飛機(jī)的永恒主題。為了保證民用飛機(jī)的飛行安全，新研發(fā)動機(jī)應(yīng)具備要求的安全性水平。

安全性是通過設(shè)計賦予民用航空發(fā)動機(jī)的重要特性，旨在將影響飛機(jī)安全性的發(fā)動機(jī)頂層故障事件的概率降低至可接受狀態(tài)，即影響后果越嚴(yán)重的發(fā)動機(jī)頂層故障事件應(yīng)該越不可能發(fā)生[1-2]。為了確保發(fā)動機(jī)的安全性達(dá)到飛機(jī)安全性設(shè)計要求和適航要求，首先需要識別發(fā)動機(jī)頂層故障事件(頂事件)，分析導(dǎo)致頂事件發(fā)生的潛在原因及其途徑，從上到下建造導(dǎo)致頂事件發(fā)生的故障樹。然后，從定性與定量角度對故障樹進(jìn)行分析，確定發(fā)動機(jī)關(guān)鍵組件和各個組件的失效率要求，通過設(shè)計解決措施將頂事件的發(fā)生概率降低至可接受狀態(tài)。

目前，國內(nèi)在頂事件概率計算方面的研究主要集中在通過故障樹最小割集計算頂事件發(fā)生概率[3-6]，國外相關(guān)文獻(xiàn)[7-9]提到了頂事件概率計算方法，但是均未研究僅在特定飛行階段內(nèi)頂事件發(fā)生才會導(dǎo)致考慮的故障影響后果。

因此，為了保證運(yùn)算精度使頂事件概率更接近真實值，在計算頂事件發(fā)生概率時，除了運(yùn)用故障樹最小割集外，有必要深入考慮頂事件的特定飛行階段、底事件失效率及其風(fēng)險時間等影響因素。本文結(jié)合實際工程經(jīng)驗，對發(fā)動機(jī)頂層故障事件的概率計算方法和過程進(jìn)行研究。

1 故障樹的建造方法

分析人員從一個不希望發(fā)生的發(fā)動機(jī)頂層故障事件(頂事件)開始，逐層向下分析確定引起頂事件發(fā)生的原因，從上到下逐級建造故障樹。下面簡要說明故障樹的組成要素及其建造過程。

1.1 故障樹的組成要素

故障樹的組成要素包括兩類符號：事件符號和門符號[8]。事件符號表示故障樹中各種故障狀態(tài)或不正常情況。門符號用于描述故障樹中各種事件之間的邏輯關(guān)系，門符號在故障樹中不應(yīng)直接相連，其輸入和輸出都應(yīng)該是事件。故障樹組成要素的簡要說明如圖1所示。

圖1 故障樹組成要素示例圖

1.2 故障樹的建造過程

以一個不希望發(fā)生的發(fā)動機(jī)頂層故障事件(頂事件)作為對象，分析導(dǎo)致頂事件發(fā)生的直接原因(中間事件)，使用邏輯門將識別出的中間事件與頂事件進(jìn)行連接。以此類推，向下演繹分析導(dǎo)致中間事件發(fā)生的直接原因，直至分析至約定層次或者無需繼續(xù)向下展開為止，此時的事件為故障樹底事件，使用邏輯門將識別出的底事件與中間事件進(jìn)行連接。根據(jù)上述過程，可以建造一顆以頂事件為“根”、中間事件為“節(jié)”、底事件為“葉”，使用邏輯門連接“根、節(jié)、葉”的倒置樹。

2 故障樹分析的開展時機(jī)及作用

根據(jù)航空工業(yè)界認(rèn)可的行業(yè)標(biāo)準(zhǔn)，安全性評估過程主要包括：功能危險性評估、初步系統(tǒng)安全性評估和系統(tǒng)安全性評估[8]。其中，初步系統(tǒng)安全性評估過程和系統(tǒng)安全性評估過程都應(yīng)開展故障樹分析，在以上兩個過程中故障樹分析的作用分別為：

1)在初步設(shè)計階段[10]，初步系統(tǒng)安全性評估過程中的故障樹分析以頂事件(功能危險性評估識別出的功能失效狀態(tài))概率要求(即發(fā)動機(jī)安全性目標(biāo))為對象，對頂事件概率要求逐級向下分配，得到發(fā)動機(jī)系統(tǒng)/部件/組件失效概率預(yù)算值，作為系統(tǒng)/部件/組件的安全性設(shè)計要求；

2)在詳細(xì)設(shè)計階段和試制與驗證階段[10]，系統(tǒng)安全性評估過程中的故障樹分析(可用設(shè)計細(xì)節(jié)可能會引起初步系統(tǒng)安全性評估中的故障樹發(fā)生更改)對頂事件概率要求進(jìn)行符合性分析，將來自故障模式影響分析的失效率數(shù)據(jù)輸入至故障樹底事件，計算得出故障樹頂事件的發(fā)生概率，用于證明發(fā)動機(jī)設(shè)計符合功能危險性評估中功能失效狀態(tài)的安全性目標(biāo)。

3 發(fā)動機(jī)頂層故障事件的概率計算模型

為了得到發(fā)動機(jī)頂層故障事件(頂事件)的發(fā)生概率，需要確定引發(fā)頂事件的底事件組合(即最小割集)，然后考慮所有最小割集的概率、頂事件的飛行階段影響因素來計算頂事件的發(fā)生概率。

3.1 計算頂事件的發(fā)生概率

通過發(fā)動機(jī)功能危險性評估識別出功能失效狀態(tài)(發(fā)動機(jī)頂層故障事件)，在特定飛行階段內(nèi)功能失效狀態(tài)的發(fā)生才會產(chǎn)生所考慮的失效狀態(tài)影響。如果功能失效狀態(tài)發(fā)生在特定階段之外，則失效狀態(tài)影響不會發(fā)生。為了考慮功能失效狀態(tài)的飛行階段影響因素，將功能失效狀態(tài)所在特定飛行階段影響因素定義為條件事件，故障樹示例如圖2所示。

圖2 考慮功能失效狀態(tài)飛行階段影響因素的故障樹示例

根據(jù)圖1中禁止門的定義，功能失效狀態(tài)(頂事件A)發(fā)生概率的計算式如下：

P(A)=P(B)×F(C)

(1)

式中：

P(A)是功能失效狀態(tài)(頂事件A)的發(fā)生概率；

P(B)是功能失效狀態(tài)原因(中間事件B)的發(fā)生概率；

F(C)是功能失效狀態(tài)的飛行階段影響因素(條件事件C)，計算方法為功能失效影響所在特定飛行階段時間占整個飛行階段時間的比例。

為了計算功能失效狀態(tài)原因(中間事件B)的發(fā)生概率，需要使用導(dǎo)致中間事件B發(fā)生的底事件組合(即中間事件B的最小割集)及其概率。對于中間事件B的發(fā)生概率，計算式為：

(2)

式中：

P(Gi)是第i個最小割集Gi的概率，G1，…,Gn是導(dǎo)致中間事件B發(fā)生的所有最小割集。

最小割集中底事件類型不同，最小割集的概率計算方法也不同。按照故障影響后果，可將底事件分為兩類，即顯性故障和隱蔽故障：

1)顯性故障：可被飛行機(jī)組或維修人員察覺的故障。也就是，通過其故障影響后果，在下一個航班前顯性故障的發(fā)生可被探測到；

2)隱蔽故障：發(fā)生時未被檢測或未通告的故障。通常，隱蔽故障使保護(hù)性機(jī)理喪失作用，當(dāng)被保護(hù)功能異常時，隱蔽故障的發(fā)生才可被探測到。

3.1.1 最小割集中底事件全是顯性故障

對于最小割集中底事件全是顯性故障的情況，在飛行開始前，底事件對應(yīng)組件/部件/系統(tǒng)都正常運(yùn)行，同一次飛行中最小割集中底事件(顯性故障)全部發(fā)生而引發(fā)中間事件B。對于最小割集Gi中各底事件發(fā)生概率進(jìn)行相乘運(yùn)算，就可以得到每次飛行中最小割集Gi的概率，計算式為：

(3)

式中：

P(Gi)是第i個最小割集Gi的概率；

P(Dj)是最小割集Gi中底事件Dj的發(fā)生概率，D1,…,Dm是最小割集Gi中所有底事件。

3.1.2 最小割集中包含隱蔽故障底事件

對于包含隱蔽故障底事件的情況而言，隱蔽故障可在檢查間隔時間內(nèi)的任何一次飛行中發(fā)生。因此，分別考慮隱蔽故障發(fā)生在檢查間隔時間內(nèi)任何一次飛行中，求出每種情況下最小割集的概率值，并將各概率值求和，再除以檢查間隔時間內(nèi)飛行次數(shù)得到每次飛行中最小割集的概率。下面結(jié)合最小割集中包含顯性故障底事件、隱蔽故障底事件且有順序要求的情形[8]，推導(dǎo)該情形下最小割集概率的計算式。

假設(shè)最小割集Gi中包含底事件Dj(隱蔽故障)和底事件Dk(顯性故障)，底事件Dj的檢查間隔時間為T，底事件Dj對應(yīng)組件/部件/系統(tǒng)可在對其檢查時(時刻=0)與下一次對其檢查時(時刻=T)之間的任何時間點(diǎn)故障，飛機(jī)的平均飛行時間為t0。

對于小概率事件，兩個底事件以任一順序發(fā)生的概率幾乎相等。在同一次飛行中，為了引發(fā)中間事件B，底事件Dj(隱蔽故障)須在底事件Dk(顯性故障)之前發(fā)生，其順序要求系數(shù)為0.5。在底事件Dj的檢查間隔時間T內(nèi)，飛機(jī)共進(jìn)行n次(n是不超過T/t0的最大整數(shù))飛行。每次飛行中最小割集Gi的概率的計算過程如下：

1)自從底事件Dj上次檢查后的首次飛行中，底事件Dj首先發(fā)生和底事件Dk后續(xù)發(fā)生將導(dǎo)致中間事件B發(fā)生，其順序要求系數(shù)為0.5，最小割集Gi的概率為0.5P(Dj)×P(Dk)；

2)自從底事件Dj上次檢查后的第二次飛行中，底事件Dj在兩次飛行中任一次失效，底事件Dk在第二次飛行中失效，兩種情況下的發(fā)生概率分別為：

(1)底事件Dj在第一次飛行中發(fā)生和底事件Dk在第二次飛行中發(fā)生將導(dǎo)致中間事件B發(fā)生，最小割集Gi的概率為P(Dj)×P(Dk)；

(2)底事件Dj在第二次飛行中首先發(fā)生和底事件Dk后續(xù)發(fā)生將導(dǎo)致中間事件B發(fā)生，其順序要求系數(shù)為0.5，最小割集Gi的概率為0.5P(Dj)×P(Dk)。

因此，第二次飛行中最小割集Gi的概率為1.5P(Dj)×P(Dk)。

3)以此類推，自從底事件Dj上次檢查后的第n次(最后一次)飛行中，底事件Dj在n次飛行中任一次失效，底事件Dk在第n次飛行中失效。該情況下，第n次飛行中最小割集Gi的概率[(2n-1)/2]×P(Di)×P(Dk)；

4)每次飛行中最小割集Gi的平均概率等于每次飛行的發(fā)生概率之和除以檢查間隔時間內(nèi)飛行次數(shù)n，計算式如下：

(4)

式中：

P(Gi)是第i個最小割集Gi的概率；

n是不超過T/t0的最大整數(shù)；

P(Dj)是最小割集Gi中底事件Dj的發(fā)生概率；

P(Dk)是最小割集Gi中底事件Dk的發(fā)生概率。

3.2 計算底事件的發(fā)生概率

為了符合適航規(guī)章對頂事件的安全性定量要求，需要計算每飛行小時平均概率[3]。在計算過程中涉及的單個組件/部件/系統(tǒng)假定處于正常使用階段，其失效率特征符合浴盆曲線中的偶然失效階段。也就是，組件/部件/系統(tǒng)的失效率近似為常數(shù)，其壽命服從指數(shù)分布，底事件(組件/部件/系統(tǒng)的失效)的發(fā)生概率僅和組件/部件/系統(tǒng)使用時間的長短有關(guān)，其發(fā)生概率為：

P(Dj)=1-e-λjtj

(5)

式中：

P(Dj)是底事件Dj的發(fā)生概率；

e是自然常數(shù)；

夜里戴菲兒躺在中間，艾莉和秦川，各守一側(cè)。每夜艾莉都會驚醒好幾次，她知道，戴菲兒隨時可能死去。戴菲兒早已不能下地，吃喝屙撒睡，全都需要艾莉和秦川的照顧。有時艾莉試圖喚來女傭，秦川急忙制止她說，讓我來吧！他明曉戴菲兒的心思，他想在她生命的盡頭，給她一點(diǎn)“做人”的尊嚴(yán)。想想便覺得滑稽，兩個人為一個即將報廢的玩偶夜不能寐，兩個人為這個玩偶的所謂尊嚴(yán)筋疲力盡，這樣的事情說出去，絕不會有人相信。可是這樣的事情每天都在發(fā)生，艾莉和秦川，已經(jīng)很久沒有做愛。

λj是底事件Dj對應(yīng)組件/部件/系統(tǒng)的恒定失效率；

tj是底事件Dj的風(fēng)險時間。

3.2.1 確定底事件的失效率

對于初步系統(tǒng)安全性評估過程中的故障樹分析，底事件的失效率可以參照已投入使用的相似設(shè)備的統(tǒng)計數(shù)據(jù)進(jìn)行初步分析。對于系統(tǒng)安全性評估過程中的故障樹分析，底事件的失效率應(yīng)與故障模式影響分析中的失效率對應(yīng)，底事件失效率的來源可以是航線統(tǒng)計數(shù)據(jù)、試驗數(shù)據(jù)、其它廣泛使用的工業(yè)標(biāo)準(zhǔn)和手冊。

3.2.2 確定底事件的風(fēng)險時間

顯性故障底事件和隱蔽故障底事件分別具有不同的風(fēng)險時間[8]，下面分別說明：

1)顯性故障底事件的風(fēng)險時間

(1)如果顯性故障底事件對應(yīng)組件/部件/系統(tǒng)在整個飛行過程中都使用，則該底事件的風(fēng)險時間等于估計的平均飛行時間；

(2)如果顯性故障底事件對應(yīng)組件/部件/系統(tǒng)僅在特定飛行階段使用，并且已知使用之前它可正常工作，則該底事件的風(fēng)險時間等于從功能檢查到特定飛行階段結(jié)束所耗用的時間；否則該底事件的風(fēng)險時間等于從起飛到特定飛行階段結(jié)束所耗用的時間。

2)隱蔽故障底事件的風(fēng)險時間

對于隱蔽故障底事件而言，其風(fēng)險時間為對應(yīng)組件/部件/系統(tǒng)上次檢查其正常工作與再次檢查其正常工作之間的時間段，即該底事件的風(fēng)險時間為對應(yīng)組件/部件/系統(tǒng)的檢查間隔時間。

4 示例

為了縮短飛機(jī)著陸后的滑跑距離，大型民用客機(jī)發(fā)動機(jī)上通常設(shè)有反推力裝置，通過阻擋涵道氣流使之反向，以形成反向推力，使飛機(jī)高效地減速。

按照CCAR-33R2第33.75條的要求，“與駕駛員命令的推力方向相反的較大的推力”是危害性發(fā)動機(jī)后果，申請人必須表明，危害性發(fā)動機(jī)后果的預(yù)期發(fā)生概率不超過定義的極小可能概率(概率范圍是10-7～10-9次/發(fā)動機(jī)飛行小時)[11]。造成“與駕駛員命令的推力方向相反的較大的推力”的發(fā)動機(jī)失效與飛行階段有關(guān)，會導(dǎo)致與飛機(jī)操縱有關(guān)的危險情況，“要求反推力時卻出現(xiàn)較大的前進(jìn)推力”可以被歸類為危害性發(fā)動機(jī)后果[1-2]。也就是，發(fā)動機(jī)頂層故障事件“要求反推力時卻出現(xiàn)較大的前進(jìn)推力”是危害性發(fā)動機(jī)后果，其發(fā)生概率應(yīng)不超過定義的極小可能概率。

根據(jù)故障樹建造過程，逐層向下分析導(dǎo)致發(fā)動機(jī)頂層故障事件“要求反推力時卻出現(xiàn)較大的前進(jìn)推力”發(fā)生的原因。首先，在飛機(jī)著陸時需要反向推力使飛機(jī)減速，“要求反推力時卻出現(xiàn)較大的前進(jìn)推力”事件在飛機(jī)著陸階段才會造成危害性發(fā)動機(jī)后果。其次，可從以下兩方面分析其發(fā)生的直接原因：

1)反推著陸時未展開；

2)出現(xiàn)非指令的較大前進(jìn)推力。

根據(jù)上述分析，得到“要求反推力時卻出現(xiàn)較大的前進(jìn)推力”的故障樹如圖3所示。

圖3 “要求反推力時卻出現(xiàn)較大的前進(jìn)推力”的故障樹

頂事件A的影響階段為飛機(jī)著陸階段，中間事件B的最小割集是底事件D1和底事件D2。根據(jù)發(fā)動機(jī)頂層故障事件的概率計算方法，使用頂事件的飛行階段影響因素和最小割集概率計算頂事件A的發(fā)生概率為P(A)=P(B)×F(C)=[(1-e)-λFt0]×β，其中β為飛機(jī)著陸階段時間占整個飛行階段時間的比例。

5 結(jié)論

本文面向民用航空發(fā)動機(jī)的安全性設(shè)計，從安全性要求出發(fā)，使用故障樹對發(fā)動機(jī)頂層故障事件的潛在原因及其途徑進(jìn)行建模，給出了故障樹分析的開展時機(jī)及作用。然后，考慮頂事件的飛行階段影響因素和故障樹最小割集的概率，給出了頂事件發(fā)生概率的計算模型，并結(jié)合示例對該計算方法進(jìn)行應(yīng)用。

此外，本文僅給出發(fā)動機(jī)頂層故障事件的概率計算模型，未說明降低頂事件概率的措施。為了將頂事件發(fā)生概率降低至可接受狀態(tài)，可從提高發(fā)動機(jī)組件可靠性、采取冗余設(shè)計、消除底事件等方面開展進(jìn)一步研究。