■ 盧波 高亞輝 姜成平 劉明 朱靜 尹明明 / 中國航發(fā)動控所

針對當前全權(quán)限數(shù)字式電子控制（FADEC）系統(tǒng)研制過程中安全性評估工作不充分和不準確的問題，中國航發(fā)動控所創(chuàng)新團隊開展了基于模型仿真的“失效模式和影響分析”（FMEA）工作，實現(xiàn)了故障模式對系統(tǒng)功能、性能影響的定性、定量和動態(tài)化分析，顯著提高了復(fù)雜系統(tǒng)安全性評估的準確性和效率，降低了數(shù)控系統(tǒng)的研發(fā)成本，縮短了研制周期。

全權(quán)限數(shù)字式電子控制（FADEC）系統(tǒng)是關(guān)系到飛行安全的關(guān)鍵系統(tǒng)，適航標準對控制系統(tǒng)的安全性也做出了明確的要求。例如，美國和歐洲的適航標準規(guī)定申請人必須通過設(shè)計和驗證來表明控制系統(tǒng)的安全性符合要求，可能對發(fā)動機產(chǎn)生危險性影響的單個元件的一次性失效必須在安全性分析中說明；我國的《航空發(fā)動機適航規(guī)定》 （CCAR-33R2）中規(guī)定，在全勤構(gòu)型中，對于失去推力或功率控制（LOTC/LOPC）事件相關(guān)的電子和電氣的失效，發(fā)動機控制系統(tǒng)必須能容忍單點故障，并且申請人必須完成發(fā)動機控制系統(tǒng)的安全評估。

目前，F(xiàn)ADEC系統(tǒng)的安全性評估主要采用傳統(tǒng)的人工安全性評估流程和分析方法進行——通過非形式化設(shè)計模型和需求文件來人工進行安全性分析工作，如故障樹分析（FTA）等。然而，這種分析非常主觀，很大程度依賴分析人員的個人經(jīng)驗。安全性分析人員由于受專業(yè)領(lǐng)域和認知水平的限制，很難準確評估最小設(shè)計單元失效對系統(tǒng)行為的影響，分析結(jié)果也無法做到完整、準確。

中國航發(fā)動控所創(chuàng)新團隊針對傳統(tǒng)航空發(fā)動機控制系統(tǒng)研制過程中安全性評估流程與分析方法的局限性，在基于模型的系統(tǒng)工程（MBSE）方法論的指導下，開展了FADEC系統(tǒng)的多學科聯(lián)合仿真建模研究；在此基礎(chǔ)上，開展部件故障建模，基于故障注入開展故障影響分析和安全性仿真，實現(xiàn)故障模式對系統(tǒng)功能、性能影響的定量和動態(tài)化分析，將安全性評估工作從人工保證轉(zhuǎn)為工具保證，從而顯著提高了復(fù)雜系統(tǒng)安全性評估的準確性和效率。

FADEC系統(tǒng)的模型化

基于模型的FADEC系統(tǒng)安全性評估與分析的首要問題是解決FADEC系統(tǒng)的模型化。航空發(fā)動機數(shù)控系統(tǒng)主要由電子、液壓、軟件和傳感器等組成，航空發(fā)動機各部件涉及的領(lǐng)域和專業(yè)各不相同，且均使用各自領(lǐng)域內(nèi)的專業(yè)建模工具。航空發(fā)動機FADEC系統(tǒng)全數(shù)字仿真模型主要包括發(fā)動機模型、電子控制器模型、控制軟件模型、液壓模型、傳感器模型等，各模型都使用不同的建模方法、不同的建模工具、不同的求解器形成各自的動態(tài)仿真模型。

發(fā)動機模型主要采用部件級建模方法，先對發(fā)動機各個部件進行獨立模塊建模，然后根據(jù)部件間的物理聯(lián)系將各模塊裝配在一起，構(gòu)成滿足共同工作條件的動態(tài)數(shù)學模型。

電子控制器模型主要由電子控制器硬件電路模型組成，為了設(shè)計精確的控制參數(shù)、進行高精度的性能仿真以及實現(xiàn)故障注入，必須建立電子控制器電路的結(jié)構(gòu)模型，一般采用Saber系統(tǒng)仿真軟件來建立。

控制軟件模型是控制邏輯和控制規(guī)律的載體，用來按照既定的邏輯和計劃對發(fā)動機進行控制，控制軟件模型可以采用C語言編程實現(xiàn)，也可使用MATLAB中的可視化仿真工具Simulink等圖形化建模方法實現(xiàn)。

液壓模型是對燃油泵、液壓機械組件（HMU）和執(zhí)行機構(gòu)的統(tǒng)一建模，可模擬不同狀態(tài)下燃油與作動子系統(tǒng)的工作過程，具有燃油計量模擬、燃油分配模擬和作動反饋模擬等功能。為了提高仿真精度、實現(xiàn)故障注入，同樣必須采用結(jié)構(gòu)化建模方法，常用的建模與仿真工具為AMESim軟件。

傳感器模型的目標是模擬傳感器工作時的靜態(tài)和動態(tài)特性，同時其輸入/輸出接口應(yīng)與發(fā)動機模型、電子控制器模型相匹配。常用的傳感器建模工具為Saber或Simulink。

通過對以上FADEC系統(tǒng)各部件的常規(guī)建模工具與方法的分析可知，如果想要完成基于模型的系統(tǒng)安全性評估，首先就要解決這些多源異構(gòu)模型的數(shù)據(jù)互聯(lián)、仿真協(xié)同調(diào)度，以及故障注入等關(guān)鍵技術(shù)，即FADEC系統(tǒng)各部件的多學科聯(lián)合仿真技術(shù)。

多學科聯(lián)合仿真平臺的建立

圖1 基于CosiMate的FADEC系統(tǒng)多學科聯(lián)合仿真

通過對本項目的不斷探索與實踐，創(chuàng)新團隊采用總線集成式方案解決多源異構(gòu)模型的數(shù)據(jù)互聯(lián)、仿真協(xié)調(diào)調(diào)度?？偩€集成式方案是將各學科模型掛接在第三方虛擬總線上，由總線進行數(shù)據(jù)交互和仿真調(diào)度管理。CosiMate協(xié)同仿真計算平臺是一種開放架構(gòu)的協(xié)同仿真總線，可進行多點集成和不同仿真工具間的數(shù)據(jù)通信和傳遞，同時能對跨越各種網(wǎng)絡(luò)環(huán)境的模型進行仿真，優(yōu)化中央處理器（CPU）的利用率，提升仿真計算的效率?；贑osiMate的FADEC系統(tǒng)多學科聯(lián)合仿真原理如圖1所示。

實現(xiàn)故障注入的手段主要是各部件模型必須采用結(jié)構(gòu)化建模方法且建模層級要追溯到最小元器件單元，通過對部件的詳細建模，采用基于時間觸發(fā)或事件觸發(fā)的方式實現(xiàn)故障模式的注入，從而通過失效模式遍歷仿真獲得元器件失效對系統(tǒng)級的影響域分析，實現(xiàn)基于模型的安全性分析。

基于多學科聯(lián)合仿真的FMEA技術(shù)實施路徑

在完成上述基礎(chǔ)工作之后，創(chuàng)新團隊制定了基于多學科聯(lián)合仿真的FMEA技術(shù)實施路徑，如圖2所示。

圖2 基于多學科聯(lián)合仿真的FMEA技術(shù)實施路徑

圖3 實現(xiàn)故障自動遍歷仿真的過程

首先，由系統(tǒng)工程師完成多學科聯(lián)合仿真的方案設(shè)計，然后協(xié)同各部件專業(yè)完成數(shù)據(jù)流和模型接口的定義。

其次，各部件專業(yè)在已達成共識的各自約束條件下完成各部件的詳細建模。各部件模型需要實現(xiàn)部件的功能、性能、失效模式等仿真。開展故障失效影響分析的前提是識別和定義故障模式，并建立對應(yīng)的故障模型，故障模式根據(jù)部件的最小單元進行劃分，每個最小單元有幾種失效模式，進行遍歷性建模，各部件建模人員需要對各自模型的準確性負責。

然后，由系統(tǒng)工程師對各部件模型進行綜合，開展聯(lián)合仿真調(diào)試。確認各自模型綜合出的系統(tǒng)模型涌現(xiàn)性符合預(yù)期，然后根據(jù)各部件的最小單元失效模式進行遍歷仿真，分析元器件級的失效對系統(tǒng)級的影響，系統(tǒng)級現(xiàn)有的故障檢測與處理方法是否滿足預(yù)期。

最后，通過建立自動比對測試平臺實現(xiàn)對各元器件失效模式的遍歷性仿真結(jié)果的確認，獲取FMEA分析結(jié)果。由系統(tǒng)工程師根據(jù)結(jié)果分析故障覆蓋度和項目風險，完成FMEA分析報告。

基于多學科聯(lián)合仿真的FMEA自動化技術(shù)

由于FADEC系統(tǒng)本身的復(fù)雜程度較高，在具體實施過程中，基于多學科聯(lián)合仿真的安全性評估工作量非常大，需要修改故障用例、配置用例、仿真和結(jié)果分析測試等，故障用例庫也非常龐大，如果全部由人工來實現(xiàn)，效率非常低。因此，在工具鏈的基礎(chǔ)上，創(chuàng)新團隊通過二次開發(fā)，實現(xiàn)了基于MATLAB、Saber、AMESim等仿真軟件的FADEC系統(tǒng)多學科全自動批次聯(lián)合仿真技術(shù)。

根據(jù)梳理的失效模式列表，結(jié)合仿真模型，實現(xiàn)故障的批次注入。以電子控制器的故障自動注入為例，SaberRD軟件的故障仿真模塊能實現(xiàn)故障模式批量錄入、批量設(shè)置、故障模式定時觸發(fā)、多個故障模式并發(fā)、故障自動遍歷仿真的功能?；赟aberRD的故障仿真模塊實現(xiàn)故障自動遍歷仿真的過程如圖3所示。

在實現(xiàn)故障自動注入后的仿真過程中，跨工具進行數(shù)據(jù)抽取與交互將各工具的實施運行結(jié)果傳遞到MATLAB中，再通過二次開發(fā)，實時掃描數(shù)據(jù)并進行非覆蓋性批次存儲，再結(jié)合標稱模型和故障模型各截面數(shù)據(jù)的自動分析判斷，實現(xiàn)仿真結(jié)果報表的自動生成。

實施效果

創(chuàng)新團隊通過研究，實現(xiàn)了基于模型的故障模式與效應(yīng)仿真分析，并實現(xiàn)了過程自動化以及并行仿真等提高仿真效率的關(guān)鍵技術(shù)。隨后，創(chuàng)新團隊將相關(guān)成果在渦扇發(fā)動機數(shù)控系統(tǒng)的溫度電路進行技術(shù)應(yīng)用與驗證。結(jié)果表明，通過基于模型的故障模式與效應(yīng)仿真分析，使得溫度電路96個故障模式和效應(yīng)的掃描分析的時間從人工80h縮短為6h，效率提升了13倍，另外通過多電腦集群并行仿真技術(shù)，效率還可進一步提升N倍（N表示參與并行計算的計算資源節(jié)點數(shù)量）?；诙鄬W科聯(lián)合仿真進行控制系統(tǒng)安全性評估，發(fā)現(xiàn)了系統(tǒng)潛在安全性風險，為故障檢測手段改進優(yōu)化提供了理論依據(jù)，對提高系統(tǒng)的故障檢測率具有重要意義。

結(jié)束語

相比較于現(xiàn)有的安全性分析方法，創(chuàng)新團隊實施的方法不僅可以開展失效影響的定量化、顯形化分析，而且通過自動化技術(shù)降低人工成本，顯著提高效率和準確度，對系統(tǒng)安全性的提高具有重要的現(xiàn)實意義。另外，該項成果還可直接向其他項目和安全性評估等領(lǐng)域進行應(yīng)用推廣。