基于失效模式框圖的機載設備安全性評估研究

趙 健，葛紅娟，浦程楠，周 波，魏佳丹

（1.中國商飛上海飛機設計研究院，上海 200120；2.南京航空航天大學，南京 210016）

基于失效模式框圖的機載設備安全性評估研究

趙 健1，葛紅娟2，浦程楠2，周 波2，魏佳丹2

（1.中國商飛上海飛機設計研究院，上海 200120；2.南京航空航天大學，南京 210016）

為了解決故障樹方法割集遺漏問題和FMEA方法信息遺漏問題，提出一種新型的基于FMEA的安全性分析建模與數值解算方法——失效模式框圖法（FMBD）。通過FMEA分析得出相應設備的失效模式，根據設備工作機理及其各部分的相互關系，建立失效模式框圖，推導失效率解算表達式。與通過FTA方法進行失效率計算相比，不但簡化了安全性分析過程，而且克服了FTA方法可能導致的割集遺漏問題；提高了失效率估算精度。將該方法應用于飛機發電機過壓保護器（OPU）的安全性分析，通過對OPU主要功能的安全性指標研究，提出了硬件設計修改意見，改進后OPU主要功能的安全性得到了很大提高，使得該設備滿足預分配的研制等級要求；驗證了該方法的可行性和準確性。該方法可用于飛機系統各級別的失效率分析解算，為飛機安全性分析提供了新途徑。

機載設備；失效模式效應分析；失效模式框圖法；安全性評估

飛機電源系統是機上最重要的機載設備之一，對整架飛機的安全性及其功能的實現有著重要影響。目前，飛機電源系統中發電機輸出電壓的調節和控制以及部分故障保護功能由發電機控制器（GCU）完成[1]。由于GCU通過調節勵磁對發電機進行保護，會導致調節延時[2]；為避免輸出電壓過高，民機電源系統增加了發電機過壓保護器（OPU），與GCU共同實現該功能。單一GCU實現上述功能時，研制保證等級為A級，研制困難；從適航安全性角度增加OPU作為GCU的獨立非相似冗余結構，可使得二者的研制保證等級均降至B級[3-5]。OPU的主要功能為：電壓超過180 V時，OPU將電壓鉗位在180 V；鉗位時間超過55 ms，直接切斷電路，實現GCU的冗余保護。

現有的研究機載設備安全性的方法包括故障樹（FTA）、動態故障樹（DFTA）、失效模式與影響分析（FMEA）等方法[6-7]，FTA和DFTA通過求最小割集的方法進行定性和定量分析，然而其自上而下和不利于計算的特性可能導致割集遺漏問題[8]，單獨使用時確定設備安全性不便。FMEA采用自下而上的方法，通過列舉器件失效率來逐級求得頂事件失效率，但由于其實現方式主要通過列表計算，易對器件間的相互關系判斷出現疏漏。本文提出了一種基于FMEA的安全性分析建模與數值解算方法，通過建立失效模式框圖，推導失效率解算表達式對設備進行安全性分析。

本文以過壓保護裝置中的鉗位控制功能電路為例，建立失效模式框圖，提高了失效率估算精度，通過對OPU鉗位控制功能的安全性指標研究，提出了提高安全性的硬件設計修改意見，修改后的電路失效率滿足安全性要求。最后將失效率模型方法應用于整個電路，驗證了整個電路的安全性和該方法的可行性。

1 鉗位控制電路安全性分析

1.1 過壓保護裝置及鉗位控制電路

電源保護控制裝置（overvoltageprotectionunit，OPU）根據其功能由多個電路部分組成，主要功能有：①過壓鉗位功能：輸出電壓超過180 V，1 ms內OPU執行鉗位動作，將輸出電壓鉗位控制在180 V；②如果超過55 ms，電壓依然不能得到控制，則需要執行保護功能，輸出保護信號。本節僅以鉗位功能為例進行失效模式框圖法的應用分析研究；后文將進一步研究整個裝置的安全性。

圖1為鉗位信號電路圖，該電路通過采樣電路采樣三相電壓，將采樣所得電壓通過電壓比較電路，檢測電路是否過壓，最終通過或門輸出過壓信號。該電路采用的比較方式不能構成三相冗余，且在過壓初始階段產生矩形波，通過對該電路的安全性分析，也發現該電路不能滿足研制保證等級的要求。因此最終對該電路進行了修改，具體的分析過程如下。

圖2為根據圖1簡化得到的鉗位信號電路原理框圖，以該電路為對象進行電路模塊建模及安全性分析。

1.2 鉗位信號電路模型

由圖2中的鉗位信號電路框圖及具體電路原理，可以建立如圖3所示的鉗位信號電路模型框圖。

由圖可知，鉗位信號電路為串聯系統，其可靠度為上述幾個電路模塊乘積，可靠度為

由于指數分布能較好地描述由大量元器件組成的復雜系統壽命分布，適用于電氣和電子系統，因此在此處元器件的成功概率（即基本事件的可靠度）計算方程為

其中：Ps表示成功概率；R表示可靠度；e表示自然對數底；λ表示基本事件失效率；t表示基本事件暴露時間或風險時間。

使用λ來表示可靠度，則可得到

由于該系統為串聯系統，因此對于每一個模塊，其安全性要求較高，首先對采樣電路進行FMEA與失效率模型分析。

1.3 采樣電路FMEA分析

可能導致采樣電路（a相）不能正常工作的失效是“A1：OPU采樣電路（a相）采樣電壓偏小”、“A2：OPU采樣電路（a相）采樣電壓偏大”及“A3：非電源故障導致的OPU采樣電路（a相）無法輸出采樣電壓”。其中A1、A3失效模式可能導致OPU鉗位功能過壓無輸出故障，A2失效模式可能導致OPU鉗位功能錯誤輸出故障。根據OPU整體功能機采樣電路原理分析，可總結得出OPU采樣電路FMEA分析內容，如表1所示[9]。

針對每一個失效模式進行失效分析，基于FMEA分析建立失效模式框圖模型，得到具體的安全性指標。此處以“非電源故障導致的OPU采樣電路（a相）無法輸出采樣電壓”失效模式為例建模，如圖4所示。

由于

其中：Pf表示失效概率；Q表示不可靠度。

又由于OPU為航空電子設備，其失效率應低于10-5數量級，因此其電路中使用的元器件失效率遠小于0.1。

當λt≤0.1時

由圖4可得

圖1 鉗位信號電路圖Fig.1 Clamp-control circuit

圖2 鉗位信號電路原理框圖Fig.2 Clamp-control circuit principle block diagram

圖3 鉗位信號電路模型框圖Fig.3 Clamp-control circuit model block diagram

表1 （SSA OPU FMEA）OPU采樣零部件失效模式和影響分析（部分）Tab.1 Partial failure modes and effects of sample circuit components in OPU（SSA OPU FMEA）

圖4 OPU采樣電路（a相）無法輸出采樣電壓失效模式框圖模型Fig.4 Failure mode diagram：OPU sample circuit（aphase）failed to output sample voltage

將式（5）代入式（6），可化簡如下

由此可知

代入FMEA中得到各個元器件失效率及其失效方式，可得到

同理得到的A2、A3失效模式以及采樣電路其他兩相的失效率也大于10-7h數量級，而按照要求，過壓保護電路整體失效率必須低于10-7h數量級，因此，整個電路失效率過大，明顯不符合要求，需要對電路進行改進。

根據電路的設計需求和實際用途，對電路可采取以下幾種改進方法：

1）不影響功能實現的基礎上減少元器件的數目，簡化電路；

2）設計冗余；

3）選擇失效率更低的元器件。

綜合以上改進方法，改進后的鉗位信號電路如圖5所示，三相電路結構相同。改變鉗位電路中比較電路的比較門限電壓，使得采樣電路不需要進行升壓輸出，同時改變鉗位信號電路結構，使得三項采樣信號冗余，同時考慮到并聯情況下“采樣信號偏大這一失效方式”的失效率計算應為串聯模型，因此少量修改了幾個元器件的質量等級，保證電路的安全等級。

2 修改后鉗位信號電路的安全性分析

2.1 修改后鉗位信號電路模型

根據圖5修改后鉗位信號電路的原理電路及整體電路設計，可得到如圖6所示的修改后的鉗位信號電路的模型框圖。

由圖5可知，該電路的可靠度為

圖5 修改后的鉗位信號電路Fig.5 Modified clamp-control circuit

圖6 修改后的鉗位信號電路模型框圖Fig.6 Block diagram of modified clamp-control circuit model

2.2 修改后的鉗位信號電路FMEA分析

對修改后的電路進行FMEA分析，其中部分表格如表2所示。

基于表2中的數據，對鉗位信號電路建立失效模式框圖模型，以“非電源故障導致的OPU無法輸出過壓鉗位信號”失效模式為例建模，如圖7所示。

表2 （SSA OPU FMEA）OPU鉗位信號電路零部件失效模式和影響分析（部分）Tab.2 Partial failure modes and effects of clamp-control components in OPU（SSA OPU FMEA）

通過上文的分析，由圖7可得修改后的采樣電路加上后續部分電路的失效率計算公式Q1（t）為

由此可知

由前期的分析計算，λcomp、λor、λor＇均為確定值，分別為6.15×10-8（h）、1.54×10-9（h）、4.52×10-9（h）。則

代入FMEA中得到各個元器件失效率及其失效方式，可以得到

通過以上分析，可知該電路符合安全性要求，同時，采樣電路與鉗位比較電路串聯的部分電路有失效率調整過度的可能性。但由于本處電路修改得到的冗余狀況對于“輸出采樣電壓偏高導致不過壓情況下輸出鉗位保護信號”的失效情況并不構成冗余，且形成串聯的模式，因此，采樣電路的失效率調整是必要且必須的。

圖7 修改后的OPU鉗位信號電路無法輸出過壓鉗位信號失效率計算模型Fig.7 Failure mode diagram：modified clamp-control circuit of OPU failed to output voltage

3 OPU整體安全性分析

電源保護控制裝置的硬件結構，如圖8所示。根據電源保護控制裝置的功能，其硬件組成分為兩部分：過壓鉗位電路和延時保護電路。

圖8 電源保護控制裝置的硬件結構Fig.8 Hardware structure of OPU

根據原理電路以及前期工作中對電路失效方式的分析，可得到OPU整體失效模式框圖模型，此處以“發電機過壓情況下不能進行鉗位”失效模式框圖模型為例進行分析，可得到修改后的采樣電路加上后續部分電路的失效率計算公式Q2（t）為

由此可知

其中：a、b、c三相為并聯系統，其失效率為三者失效率乘積，由于每一項的失效率均為10-8（h）數量級，其乘積小于10-20（h）數量級，遠小于其他系統失效率，可忽略不計，計算中默認為0。

4 結語

本文在比較研究了FTA、FMEA等方法的基礎上提出了基于FMEA的失效模式框圖法，并應用于機載設備OPU的安全性解算，通過解算證明：FMBD法不但簡化了安全性分析過程、克服了FTA方法可能導致的割集遺漏問題，而且提高了FMEA的失效率估算精度。本文通過對OPU的主要功能（鉗位信號功能）的安全性分析，提出了對鉗位信號電路提高安全性的合理改進建議，研究結果表明改進后的電路安全性滿足預分配的研制等級要求；驗證了該方法的可行性和準確性。該方法不僅可用于機載設備的安全性分析及對電路和設備提出合理改進建議，還可以應用于飛機系統各級別的失效率分析解算，為飛機安全性分析提供更加方便、準確、直觀的新方法。

[1]嚴仰光.航空航天器供電系統[M].南京：南京航空航天大學出版社，2010.

[2]應群偉.飛機發電機控制單元的設計與實現[D].西安：西北工業大學，2007.

[3]AC/AMJ 25.1309，System Design and Analysis（Draft ARSENAL revised）[S].Federal Aviation Administration and EuropeanAviation Safety Agency，2002.

[4]CCAR-25-R3，運輸類飛機適航標準[S].中國民用航空總局，2005.

[5]Societyof AutomotiveEngineers（SAE），Aerospace Recommended Practice（ARP）.4754/EUROCAE ED-79，Certification Considerations for Highly Integrated or Complex Aircraft Systems[S].SAE，1996.

[6]賈立德，王金安，楊忠堂，等.基于故障樹分析的飛船檢漏間泄漏分析與建模[J].宇航學報，2012，33（6）：843-848.

[7]羅 勇.FMEA技術在電源模塊設計中的應用[J].質量與可靠性，2009（5）：37-40.

[8]吳海橋，劉 超，葛紅娟，等.基于模型檢驗的飛機系統安全性分析方法研究[J].中國民航大學學報，2012，30（2）：17-20.

[9]谷宏強，劉 飛，郭 利.FMEA在某選頻電路故障仿真中的應用[J].工程設計學報，2010，17（2）：124-127，155.

（責任編輯：楊媛媛）

Safety assessment of airborne equipments based on FMBD

ZHAO Jian1，GE Hong-juan2，PU Cheng-nan2，ZHOU Bo2，WEI Jia-dan2
（1.Shanghai Aircraft Design and Research Institute，Commercial Aircraft Corporation of China Ltd.，Shanghai 200120，China；2.Nanjing University of Aeronautics and Astronautics，Nanjing 210016，China）

To solve the missing problem of FTA and FMEA，a new safety analysis modeling and numerical solution method is proposed based on FMEA，named FMBD （failure mode block diagram）.This method obtains the failure modes of the airborne equipments through FMEA，and establishes failure mode block diagrams depending on devices，working priniciples and relationships between device parts.By using FMBD method，an expression is proposed to calculate the failure rate.Compared with FTA method，the FMBD method not only simplifies the safety analysis process，but also overcomes the cut set omissions of FTA.The accuracy of failure rate estimation is improved.FMBD method is introduced into safety analysis of OPU，which is an airborne equipment.Through safety analysis of this equipment，some modifications of hardware design are proposed.After modifying，the security of OPU hardware has been greatly improved，and the preallocated development assurance level has been met.Through all these works，the feasibility and accuracy of this method get well verified.This method can also be applied to all levels of failure rate analysis of aircraft systems，offering new path for aircraft safety analysis.

airborn equipments；FMEA；FMBD；safty assessment

V37；N945.1

：A

：1674-5590（2014）05-0015-07

2013-06-26；

：2013-10-21

：國家自然科學基金項目（U1233127）

趙 健(1963—)，男，陜西西安人，研究員，博士研究生，研究方向為飛機電氣，電力電子技術.