CN110704215B - 一种机载冗余系统带多重故障运行的时间间隔计算方法 - Google Patents

Abstract

本发明公开了一种机载冗余系统带多重故障运行的时间间隔计算方法，提出了机载冗余系统带多重故障运行的派遣类别决策原则，利用系统瞬时失效率确定各种单故障或多重故障所属派遣类别；对于简单冗余系统与复杂冗余系统，分别利用马尔可夫模型法与蒙特卡罗仿真法，建立系统平均安全性水平与带故障运行时间间隔、以及系统签派可靠度与带故障运行时间间隔之间的函数关系；根据系统平均性安全水平和签派可靠度要求，利用上述函数关系，计算机载冗余系统带多重故障运行的时间间隔。本发明可应用于民用飞机与航空发动机的适航审定与系统安全性评估，同时，对于避免由于非计划维修导致的航班延误或取消、提高飞机的签派可靠度具有重要的理论意义及应用价值。

Description

一种机载冗余系统带多重故障运行的时间间隔计算方法

技术领域

本发明属于适航审定中飞机系统安全性分析领域，具体涉及一种机载冗余系统带多重故障运行的时间间隔计算方法。

背景技术

现代民用飞机的机载系统如电传飞控系统、发动机电子控制系统、导航系统等均为典型的安全关键系统，欧洲航空安全局(EASA)在其颁布的咨询材料中指出，机载系统故障导致的飞机顶层灾难性失效状态大约在一百个以上，要远远高于飞机结构失效导致的灾难性失效状态数量，目前机载系统故障已经成为仅次于人为因素的第二大空难原因。

为了提高民用飞机的安全性，机载系统在设计中通常采用冗余技术，即对关键部件采用并联、表决、热备份、温备份、冷备份以及多模冗余等设计方案。冗余技术的采用提高了机载系统的任务可靠性以及飞机的安全性，但是部件数量的增加势必会降低机载系统的基本可靠性，导致故障频率升高、平均故障间隔缩短。为了避免频繁的故障维修导致不可接受的航班延误率或航班取消率，民用飞机通常会采取带故障运行策略，即当冗余部件发生故障后，不需要立即进行维修，允许飞机系统带故障运行一段规定长度的时间。

机载冗余系统带故障运行时间决策是在系统能够满足平均安全性要求的前提下，确定系统允许带故障运行的时间间隔。目前，应用较为广泛的带故障运行分析方法包括时间加权平均法及马尔可夫分析法。

时间加权平均法是一种近似方法，仅适用于余度数为2的冗余系统，且只能针对带单故障运行的情况进行分析。马尔可夫模型法与时间加权平均法相比精度更高，但马尔可夫模型法建模过程复杂，对于多单元的冗余系统，可能导致状态爆炸，而且目前马尔可夫模型法也主要应用于单故障领域。

现有的技术方法还存在以下问题：

(1)目前机载冗余系统带故障运行的研究与应用主要集中在带单故障运行领域，即只考虑单个故障状态、以及单故障派遣时导致系统进入失效状态的继发单故障。其特点包括：一、单故障发生后系统的瞬时失效率为常数；二、通常假定冗余部件的单故障不会是不可派遣(ND)状态；三、单故障发生后，只有将该故障修复到完好状态一种维修方案。但是冗余系统单多重故障运行时，不具备上述三种特征，因此目前方法不能完全适用于带多重故障运行的时间间隔决策。

(2)目前技术仅考虑了满足安全性要求，未考虑签派可靠度对带故障运行时间间隔的约束。实际上，飞机运营中不可派遣(ND)会经常出现，由于该状态的发生概率与飞机延误、取消率密切相关，若只满足安全性要求，而不考虑签派可靠度的约束，将会使飞机的签派可靠度(出勤率)降低。

(3)目前的马尔可夫模型技术无法避免状态空间爆炸问题，建模过程繁琐、并且对于每一新系统需要重新进行建模；同时派遣类别决策需要由人工判断完成，无法通过程序自动实现，不能适用于复杂容易系统的带故障运行模型构建。

发明内容

发明目的：针对现有技术中存在的问题，本发明考虑签派可靠度与平均安全性水平的约束，分别针对简单结构与复杂结构的机载冗余系统，提供一种机载冗余系统带多重故障运行的时间间隔计算方法，以避免由于非计划维修导致的航班延误或取消、从而提高飞机的签派可靠度，实现飞机安全性与经济性的最佳平衡。

发明内容：为实现上述目的，本发明所述的一种机载冗余系统带多重故障运行的时间间隔计算方法，包括下列步骤：

(1)基于机载冗余系统带多重故障运行的派遣类别决策原则，利用瞬时失效率，确定各种故障或故障组合所属派遣类别；

(2)构建平均性安全水平与带多重故障运行时间间隔的函数关系：对于结构简单的冗余系统，利用马尔可夫模型计算系统平均首次失效前时间，从而构造该函数关系；对于结构复杂的冗余系统，利用蒙特卡罗仿真法，通过随机数模拟系统寿命，获取系统平均失效间隔时间，从而构造该函数关系；

(3)构建签派可靠度与带多重故障运行时间间隔的函数关系：对于结构简单的冗余系统，利用马尔可夫模型计算非派遣状态的时间间隔，从而构造该函数关系；对于结构复杂的冗余系统，基于蒙特卡罗法仿真法，利用随机数模拟非派遣状态的时间间隔，从而构造该函数关系；

(4)根据平均安全性水平和签派可靠度要求，由上述步骤(2)、(3)中建立的模型，确定机载冗余系统带多重故障运行的时间间隔。

步骤(1)所述带多重故障运行派遣类别决策原则包括：

当λ_MaxLT＜λ_LT时，可带相应故障进行长时派遣(LT)；当λ_MaxST＜λ_ND并且λ_MaxLT≥λ_LT时，可带相应故障进行短时派遣(ST)；当λ_MaxST≥λ_ND，不允许带相应故障派遣；λ_MaxLT为在长时运行时间间隔内的最大瞬时失效率，λ_MaxST为在短时运行时间间隔内的时的最大瞬时失效率；λ_ND与λ_LT为瞬时失效率的阈值，取值因系统而异，其将瞬时失效率划分为不允许派遣、短时派遣和长时派遣类别三个区间。

步骤(2)所述的基于马尔可夫模型法构建函数关系过程如下：

建立机载冗余系统马尔可夫模型，确定完好状态、长时派遣状态、短时派遣状态、不允许派遣状态以及失效状态之间的转移关系，列出状态转移方程，基于连续时间马尔可夫过程理论获得系统平均首次失效前时间，计算系统平均安全性水平，从而构建系统平均性安全水平与短时运行时间间隔T_ST及长时运行时间间隔T_LT的函数关系。

步骤(2)所述基于蒙特卡罗仿真法构建函数关系实现过程如下：

利用随机数模拟部件寿命，依据部件失效或修复时的状态改变，获得系统更新的可靠性函数，判断系统可靠性函数值是否为0，当为0时获得一个系统失效的间隔时间，统计系统所有失效间隔时间样本，获得系统平均失效时间间隔，从而建立系统平均安全性水平与T_ST及T_LT的函数关系。

步骤(3)所述的签派可靠度可通过以下公式实现：

其中，T_FL表示平均航段时间，T_ND-F表示系统平均非派遣状态时间间隔。

步骤(3)所描述的基于马尔可夫法函数关系步骤包括：

将不可派遣状态及系统失效状态均视为系统的非派遣状态，利用马尔可夫模型确定完好状态、长时派遣状态、短时派遣状态以及失效状态之间的转移关系，基于马尔可夫过程相关理论及签派可靠度定义，建立签派可靠度与带多重故障运行时间间隔T_ST及T_LT的函数关系。

步骤(3)所描述的基蒙特卡罗仿真法构建函数关系过程如下：

将不可派遣故障状态与系统失效状态视为系统的非派遣状态，基于蒙特卡罗仿真法，利用随机数模拟部件寿命，依据部件失效或修复时的部件状态改变，获得系统更新的可靠性函数，当系统可靠性函数值为0时，获得一个非派遣状态的时间间隔，由多个时间间隔样本统计求得系统平均非派遣状态时间间隔，依据签派可靠度定义构建签派可靠度与带多重故障运行时间间隔T_ST及T_LT的函数关系。

本发明的优点在于：

(1)与现有方法相比，本发明适用于机载冗余系统带多重故障运行的时间间隔的决策，可应用于多重故障发生情况下的飞机带故障运行决策；

(2)将签派可靠度作为机载冗余系统带故障运行的约束，在保证飞机带多重故障运行能够满足安全性要求的同时，也能将飞机航班的延误率和取消率控制在规定范围内，提高了飞机的出勤率；

(3)本发明提出的蒙特卡洛仿真方法，避免了马尔可夫模型面临的状态空间爆炸、建模过程复杂、以及派遣类别决策需要人工完成等问题，同时不需要针对每一系统重新建模，为解决复杂系统带多重故障运行的时间间隔决策提供了有效途径。

附图说明

图1是本发明的流程图；

图2是本发明提供的考虑平均性安全水平的蒙特卡罗仿真流程图；

图3是本发明提供的考虑签派可靠度的蒙特卡罗仿真流程图；

图4是本发明实施例1提供的FADEC系统简化模型图；

图5是本发明实施例1提供的系统不完全维修时的马尔可夫模型图；

图6是本发明实施例1提供的系统不完全维修时的平均安全性水平曲线图；

图7是本发明实施例1提供的系统不完全维修时的签派可靠度水平曲线图；

图8是本发明实施例1提供的系统完全维修时的马尔可夫模型图；

图9是本发明实施例1提供的系统完全维修时的平均安全性水平曲线图；

图10是本发明实施例1提供的系统完全维修时的签派可靠度水平曲线图；

图11是本发明实施例2提供的FADEC系统结构图；

图12是本发明实施例2提供的FADEC系统的可靠性模型图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

如图1所示，本发明提供了一种机载冗余系统带多重故障运行的时间间隔计算方法，包括以下步骤：

1、故障发生后的瞬时失效率表征了系统的瞬时安全性要求，机载冗余系统带多重故障运行的派遣类别决策原则，利用系统瞬时失效率确定各种单故障或多重故障所属派遣类别。不同的瞬时失效率值对应于三种不同的派遣类别：

(1)若瞬时失效率大于λ_ND，不允许系统带故障运行，故障需立即修复，此时为不允许派遣状态(ND)；

(2)若瞬时失效率在区间[λ_LT,λ_ND)内，系统可以在较短的时间T_ST内带故障运行，故障可安排在时间间隔T_ST内修复，该状态称为短时派遣状态(ST)；

(3)若瞬时失效率在区间[λ_FU,λ_LT)内，系统可以在较长时间间隔T_LT(T_LT≥T_ST)内带故障运行，故障可安排在时间间隔T_LT内修复，该状态称为长时派遣状态(LT)。

若系统的瞬时失效率小于λ_FU时，认为系统处于完好状态。λ_FU，λ_ND及λ_LT为瞬时失效率的阈值，其取值因系统而异，将系统带故障运行的状态划分为不允许派遣、短时派遣和长时派遣三个类别。

目前机载冗余系统带故障运行分析更多的为带单故障运行分析，在带单故障运行中只考虑单个故障状态、以及单故障派遣时导致系统进入失效状态的继发单个故障。如果故障发生后不存在导致系统失效状态的单个继发故障，这将意味着多个继发故障才会导致系统失效状态，此时瞬时失效率将是时间的函数，这种情况在多重故障派遣时广为存在。当系统的瞬时失效率是时间的函数时，带故障运行时间间隔决策时必须保证瞬时失效率在整个带故障运行时间间隔内满足派遣分类方法的规定。令λ_F(t)为系统瞬时失效率，λ_MaxST与λ_MaxLT分别表示短时和长时带故障运行时间间隔内瞬时失效率的最大值，定义见式(1)

由于T_ST＜T_LT，必然有λ_MaxST≤λ_MaxLT，带多重故障运行时将会出现的所有情况如下表。

表中，情况①：λ_MaxLT与λ_MaxST均小于λ_LT，低于长时派遣(LT)要求，因此带故障运行时间间隔可大于T_LT，本文将按照长时派遣(LT)处理；情况②与③，λ_MaxLT在区间[λ_FU,λ_LT)内，满足长时派遣(LT)的要求；情况④～⑨，λ_MaxST在区间[λ_LT,λ_ND)，满足短时派遣要求(ST)要求；情况⑩，λ_MaxLT与λ_MaxST均大于λ_ND，此时不允许派遣。

因此，派遣类别与λ_MaxST、λ_MaxLT的对应关系如下表：

派遣类别	瞬时失效率
		LT	λ<sub>MaxLT</sub>＜λ<sub>LT</sub>
ST	λ<sub>MaxST</sub>＜λ<sub>ND</sub>∩λ<sub>MaxLT</sub>≥λ<sub>LT</sub>
		ND	λ<sub>MaxST</sub>≥λ<sub>ND</sub>

2、构造平均性安全水平与带多种故障运行时间间隔时间的函数关系：对于结构简单的冗余系统，建立马尔可夫模型，确定系统各个状态之间相互关系，获得系统平均失效前时间(MTTFF)，系统平均安全性水平为MTTFF的倒数。对于复杂结构的系统采用蒙特卡罗仿真法，通过随机数模拟获得系统平均失效时间间隔，系统平均安全性水平为该时间间隔的倒数。

对于结构简单的机载冗余系统，采用马尔可夫模型法建立系统平均安全性水平与带多重故障运行时间间隔的函数关系。

在机载冗余系统带故障运行的马尔可夫模型中，系统有FU、LT、ST、ND和F共5种状态，其中FU是完好状态，LT是长时派遣状态和ST是短时派遣状态，LT和ST是系统安全性退化的工作状态，ND是不可派遣状态也是退化状态，该状态下系统可以继续工作，但是由于安全裕度下降过多我们不允许其继续工作，F状态为系统失效状态。对于ND状态和F状态，不允许系统带故障工作或无法工作，此状态需要立即维修(修复时间极小)，马尔可夫模型中相应的修复率(修复时间的倒数)应当是一个较大的数。

规定马尔可夫模型的状态数为n，1状态为FU状态，n状态为F状态。MTTFF是指由初始工作状态(FU)首次到达失效状态(F状态)的时间的平均值，因此可由状态1到状态n的首达时间来表示。

假定Q为机载冗余系统带故障运行的马尔可夫模型的转移率矩阵：

式中，q_ij为状态i到j的转移概率。q_ii为

状态i到状态j的首达时间t_ij(i≠j)可由式(3)计算

式中，T_j＝[t_1j L t_i-1j t_i+1j L t_nj]^T，Q_j是马尔可夫过程的转移率矩阵Q删除第j行与第j列后剩余的矩阵，

是所有元素均为1的n维向量。

因此有

MTTFF＝t_1n＝T_n(1) (4)

进而可得系统平均安全性水平为

由于T_n(1)是转移率的函数，同样系统平均安全性水平

可表示为带故障运行时间间隔(T_LT和T_ST)的函数关系，即

对于复杂结构的机载冗余系统基于蒙特卡罗仿真法建立安全性水平与带故障运行时间的函数关系。

在蒙特卡罗仿真算法中，机载冗余系统同样有FU、LT、ST、ND和F共5种状态，而组成系统的部件有工作与故障两种状态，部件的故障或修复会引起系统状态的改变。蒙特卡罗方法是一种基于随机数的数值模拟方法，本方法通过随机数模拟求得系统平均失效间隔时间T_F，进而由式(7)求得

在机载冗余系统带故障运行分析中，随机数用来表示每一个部件的寿命，当部件故障或修复时，部件的状态将会得的更新，从而使得系统的可靠性函数得到更新。在某一部件的故障时刻，若系统可靠性函数的值更新为0，则系统失效，由此可得到一个系统失效时间间隔，若T_F收敛则程序结束，否则开始新一次仿真；若可靠性函数更新后值不为0，则根据派遣原则判断派遣类别。此时，系统可处于下面三种状态之一：(1)LT状态：相应故障将在T_LT时间内修复；(2)ST状态：相应故障将在T_ST时间内修复；(3)ND状态：相应故障将被立即修复。故障被修复后，重新生成随机数表示相关部件的寿命，并且使得系统的可靠度函数得到更新。

每次仿真结束后，我们可以得到一个新的T_F，由N_sim次仿真求得的T_F可表示为

式中，

是第i次蒙特卡罗仿真求得的系统失效时间间隔，N_sim是仿真次数，由于F状态发生后将开始新一次仿真，N_sim同样也是系统失效发生的次数。

当

收敛时，整个仿真程序将结束，可求得

当给定不同的T_ST及T_LT值，可以通过蒙特卡罗仿真程序求得不同的

值，通过回归方法可求得如式(6)所示的函数。根据给定的平均安全性水平和FAA规定的短时运行时间间隔T_ST，可求得对应的长时运行时间间隔T_LT值。对于FAA未规定T_ST的系统，可将T_ST与T_LT均视为未知变量，由规定的系统安全性水平计算求得。

本发明提供的考虑平均安全性水平的蒙特卡罗仿真流程如图2所示。

流程图所示的详细步骤如下：

步骤1：给出已知条件

已知条件包括T_ST与T_LT，以及系统的可靠度函数。T_ST取值通常由FAA给定(如FAA未给定，可将其视为变量取不同值)，T_LT可根据需要给出不同的值。系统的可靠度函数可通过可靠度框图计算得到，表示如下

R_S(t)＝f(R(t)) (9)

式中，R(t)为部件可靠度向量，R(t)可表示为

R(t)＝[R₁(t) R₂(t) … R_n(t)] (10)

式中，R_i(t)(i＝1,2…n)为部件i的可靠度函数。当部件寿命通常服从指数分布时，R_i(t)可表示为

式中，λ_i(i＝1,2…n)是第i个部件的故障。对于其他寿命分布，将有不同的可靠度函数表达式，本程序以指数分布为例给出，对于其他分布同样适用。

步骤2：初始化全局变量

全局变量包括：当前仿真次数N_sim(程序循环次数，也是系统失效出现的次数)与失效平均间隔时间T_F，它们的初始值全为0。T_F的初始值表示为

这些变量在整个程序终止后(若干次仿真完成后)，才能求得相应的值，因此被称为全局变量。

步骤3：判断程序能否终止

当T_F与T_ND-F收敛时，程序终止。因此，程序终止的准则可描述为

式中，

和

分别是经过N_sim次和N_sim-1次仿真求得的值T_F，

是

与

之差的绝对值。ε是一个极小的正实数，通常我们取其值为0.1。为了保证第一次仿真不会被终止，我们取

的值为10。

如果式(12)成立，则程序终止，并有

否则进入步骤4。

步骤4：开始新一次仿真并初始化局部变量

将N_sim更新为N_sim+1(令N_sim＝N_sim+1)。

局部变量包括部件状态向量S，部件时间向量T，以及部件可靠度向量R(t)。这3种变量，在每一次仿真开始时刻，都会被初始化，因此被称为局部变量。S表示为

S＝[s₁ s₂ … s_n] (13)

式中，s_i(i＝1,2,L,n)为第i个部件的状态，当部件i失效时，s_i＝0，当部件i正常时，s_i＝1。在每次仿真开始时刻，所有部件都被修复，因此所有s_i的初始值均为1。

T表示为

T＝[t₁ t₂ … t_n] (14)

式中，t_i(i＝1,2,L,n)是第i个部件状态改变的时间，在t_i时刻，部件i故障或被修复。t_i的初始值可根据第i个部件的寿命分布类型生成随机数获得。

此时的R(t)由式(10)给出，当s_i为1时，R_i(t)为部件i的可靠度函数表达式，对于指数分布由式(11)给出；当s_i为0时，R_i(t)为0。显然仿真初始时刻，R_i(t)应为部件i的可靠度函数表达式。

步骤5：确定部件m在t_m时刻的状态

部件m是下一个状态将要改变的部件，因此t_m为

t_m＝min{t₁,t₂,…,t_n} (15)

如果在t_m之前s_m为1，则部件m在t_m时刻将故障，程序将进入步骤6；否则部件m将在t_m时刻被修复，程序将进入步骤12。

步骤6：判断系统失效时间在t_m时刻是否发生

令s_m＝0，R_m(t)＝0，并且根据式(9)计算系统可靠度函数R_S(t)。如果R_S(t)为0，则系统发生失效，程序进入步骤7；否则，将进行派遣类别决策，程序将进入步骤8。

步骤7：获得由前N_sim次仿真求得的T_F。

令

再根据式(8)可获得由前N_sim次仿真求得的

完成该步骤后程序回到步骤3。

步骤8：派遣类别决策

当派遣类别为ND时，进入步骤9；当派遣类别为ST时，进入步骤10；当派遣类别为LT时，进入步骤11。

此外，对于每一种派遣类别，我们将在随后的步骤中考虑两种维修方式：一、不完全维修，将后发生的故障在相应的带故障运行时间间隔内修复；二、完全维修，将所有故障在带故障运行时间间隔内修复。

步骤9：更新状态改变时间——ND派遣类别

当采用不完全维修方式时，t_m将被更新为

(即令

)，

是根据部件m的寿命分布生成的随机数。同时令s_m＝1、

因为采用不完全维修时，仅有部件m在t_m时刻被立即修复。当采用完全维修方式时，对所有s_k＝0的k(所有的故障部件)，将t_k更新为

(即令

)，

是根据部件k的寿命分布生成的随机数。同时令s_k＝1、

因为采用完全维修时，所有故障部件都在t_m时刻被立即修复。

完成该步骤后程序回到步骤5。

步骤10：更新状态改变时间——ST派遣类别

当采用不完全维修方式时，t_m将被更新为t_m+T_ST(即令t_m＝t_m+T_ST)；当采用完全维修方式时，对所有s_k＝0并且t_k≥t_m+T_ST的k(所修复时间位于t_m+T_ST之后的故障部件)，将t_k更新为t_m+T_ST(即令

)，因为采用完全维修时，所有的故障部件都将在t_m+T_ST时刻修复。

完成该步骤后程序回到步骤5。

步骤11：更新状态改变时间——LT派遣类别

在这种派遣类别下，不管采用何种维修方式，t_m都将被更新为t_m+T_LT(即令t_m＝t_m+T_LT)。因为采取完全维修时，之前发生的故障都会在t_m+T_LT之前被修复，即对于s_k＝0，t_k≥t_m+T_LT的情况是不存在的。

完成该步骤后程序回到步骤5。

步骤12：更新状态改变时间——部件m被修复

当部件m被修复时，令s_m＝1、

部件m故障发生的时间将被更新为

(即令

)。表明部件m的下一个故障将在

时刻发生，完成该步骤后程序回到步骤5。

3、建立签派可靠度与带故障运行时间间隔的函数关系：对于结构简单的系统，基于马尔可夫模型描述的各个状态之间的关系及马尔可夫过程理论确定非派遣状态的时间间隔，依据签派可靠度定义建立模型。对于复杂结构的系统，基于蒙特卡罗法仿真求得非派遣状态平均间隔时间，依据签派可靠度定义建立函数关系。

签派可靠度是指没有延误或取消(由飞机技术原因导致的)而正常离站的航班占计划航班的百分比。在冗余系统带故障运行的马尔可夫模型中，当ND与F状态出现时，系统必须立即进行维修，这将导致航班延误或取消。因此，签派可靠度可表示为

式中，T_FL是平均航段时间(通常取T_FL值为10小时)，T_ND-F为非派遣状态平均间隔时间，非派遣状态包括不可派遣状态(ND状态)和失效状态(F状态)。

对于结构简单的机载冗余系统，采用马尔可夫模型法建立签派可靠度与带故障运行时间的函数关系。

计算签派可靠度时，我们将FU状态、ST状态和LT状态视为工作状态(该状态集合用W表示)，ND状态和F状态视为失效状态(非派遣状态，该状态集合用F表示)。假设马尔可夫模型中状态1到状态i属于W，即W＝{1,2,…,i}，状态i+1到状态n属于F，即F＝{i+1,i+2,…,n}，根据马尔可夫模型的失效频率公式有

系统可用度为

由于

以及

由式(17)至式(20)可得

由于此处故障状态即为非派遣状态，即T_ND-F＝MTBF，因此

最终可求得签派可靠度的表达式为

由于平稳分布π_k是Q的函数，而Q中表示故障修复的转移率是运行时间间隔(T_LT和T_ST)的倒数，因此最终可将R_D表示成T_LT和T_ST函数，即

R_D＝f(T_ST,T_LT) (24)

对于复杂结构的机载冗余系统，采用蒙特卡罗仿真法建立签派可靠度与带故障运行时间的函数关系。

考虑签派可靠度的机载冗余系统带故障运行时间决策的蒙特卡罗仿真方法与本发明所提供的基于蒙特卡罗仿真法的平均安全性水平与带故障运行时间间隔的函数关系的建立所述方法基本类似，区别在必须在程序引入表示ND状态出现次数的变量N_ND以及表示非派遣状态平均间隔时间的变量T_ND-F，程序中通过N_SIM次仿真求得的T_ND-F可表示为

并且程序的终止条件为T_F与T_ND-F均收敛。

本发明提供的考虑签派可靠度的蒙特卡罗仿真流程如图3所示。

与图2相比，图3主要对步骤2、步骤3、步骤7和步骤9进行了修正。具体修正步骤如下：

步骤2：初始化全局变量

全部变量包括：当前仿真次数N_sim，ND状态出现次数N_ND，平均失效间隔时间T_F以及非派遣状态平均间隔时间T_ND-F，它们的初始值全为0。T_F与T_ND-F的初始值分别表示为

与

这些变量在整个程序终止后(若干次仿真完成后)，才能求得相应的值，因此被称为全局变量。完成该步骤后进入步骤3。

步骤3：判断程序能否终止

当T_F与T_ND-F收敛时程序终止。因此，程序终止的准则可描述为

式中

和

分别是经过N_sim次和N_sim-1次仿真求得的T_F值，

是

与

之差的绝对值。

和

分别是经过N_sim次和N_sim-1次仿真求得的T_ND-F值，

是

和

之差的绝对值。ε是一个极小的正实数，通常我们取其值为0.1。为了保证第一次仿真不会被终止，我们取

与

的值为10。

如果式(26)成立，则程序终止，并有

否则进入步骤4。

步骤7：由前N_sim次仿真求得T_F和T_ND-F

令

获得由前N_sim次仿真求得的

与

完成该步骤后程序回到步骤3。

步骤9：更新状态改变时间——ND派遣类别

N_ND被更新为N_ND+1，即令N_ND＝N_ND+1。

当采用不完全维修方式时，t_m将被更新为

(即令

)，

是根据部件m的寿命分布生成的随机数。同时令s_m＝1、

因为采用不完全维修时，仅有部件m在t_m时刻被立即修复。当采用完全维修方式时，对所有s_k＝0的k(所有的故障部件)，将t_k更新为

(即令

)，

是根据部件k的寿命分布生成的随机数。同时令s_k＝1、

因为采用完全维修时，所有失效部件都在t_m时刻被立即修复。

完成该步骤后程序回到步骤5。

4、在同时满足平均安全性要求及签派可靠度要求的条件下，根据FAA规定的短时运行时间间隔T_ST，可确定带故障长时运行时间间隔T_LT。对于FAA未规定短时运行时间间隔T_ST的系统，可将T_ST也视为未知变量，不断改变其取值，求得相应的T_LT值。

为了进一步说明本发明，下面结合实施例对本发明提供的机载冗余系统带多重故障运行的时间间隔决策方法进行详细的描述，但不能将他们理解为对本发明保护范围的限定。

实施例1

本发明实施例1提供的FADEC系统简化模型如图4所示。

航空发动机全权限数字式发动机电子控制(FADEC)系统可简化成由ECU两个完全相同的通道A1与A2、电源B1与B2及HMU构成。

根据FADEC系统的安全性要求可知λ_LT＝7.5×10^-5，λ_ND＝1×10^-4。由多重故障派遣类别决策原则得到此系统的多重故障派遣类型判别方法为：

(1)长时派遣(LT)：λ_MaxLT＜7.5×10^-5；

(2)短时派遣(ST)：λ_MaxST＜1×10^-4∩λ_MaxLT≥7.5×10^-5；

(3)不允许派遣(ND)：λ_MaxST≥1×10^-4。

ECU通道A1、A2失效率为λ_A＝8×10^-5，电源失效率为λ_B＝2×10^-5及HMU失效率为λ_C＝6×10^-6，根据此系统的派遣分类原则可知ECU通道A1或A2故障后系统的瞬时失效率为λ_A+λ_C，属于短时派遣(ST)状态；ECU通道A1或A2故障后系统的瞬时失效率为λ_B+λ_C，属于长时派遣状态(LT)状态；ECU通道A1或A2故障后电源B1或B2故障，此时系统的瞬时失效率为2λ_A，属于不可派遣状态(ND)；电源B1或B2故障后ECU通道A1或A2，此时系统的瞬时失效率为2λ_B，属于不可派遣状态(ND)；且从系统结构可以看出，HMU故障将直接导致系统进入失效状态，故此时也不可派遣。考虑不完全维修(修复后发生故障)与完全维修两种维修方式(修复所有故障)的机载冗余系统带故障决策如下：

(1)采用不完全维修方式时

本发明实施例1提供的系统不完全维修时的马尔可夫模型如图5所示。

图中，A表示ECU通道A1或A2故障，B表示电源B1或B2故障，AB表示单元ECU通道故障后电源故障，BA表示电源故障后ECU故障。

此时，系统马尔可夫模型的转移率矩阵为下式：

矩阵Q中，∑_i为第i行中除了对角线上的元素之外的其他元素之和，μ_ST＝1/T_ST，μ_LT＝1/T_LT，修复率μ_FB1、μ_FB2与μ_FB任意取一较大值。本例中μ_FB1、μ_FB2与μ_FB取值均为100每小时，表示故障后将在0.01小时内修复。

本发明实施例1提供的系统不完全维修时的平均安全性水平曲线如图6所示。

在满足

的条件下，短时运行时间间隔T_ST为250小时时，由“马尔可夫过程”方法求长时运行时间间隔T_LT为1671小时。

本发明施例1提供的系统不完全维修时的签派可靠度水平曲线如图7所示。

在给定R_D＝99.98％，短时运行时间间隔T_ST为250小时时，由“马尔可夫过程”方法求长时运行时间间隔T_LT为1543小时。

在同时满足安全性水平及签派可靠度要求的情况下，系统带多重故障短时运行时间为250小时，带多重故障长时运行时间为1543小时。

(2)完全维修方式

本发明实施例1提供的系统完全维修时马尔可夫模型如图8所示。

采用完全维修方式时，马尔可夫模型的转移率矩阵为

本发明实施例1提供的系统完全维修时的平均安全性水平曲线如图9所示。

在满足

的条件下，短时运行时间间隔T_ST为250小时时，由“马尔可夫过程”方法求长时运行时间间隔T_LT为2370小时。

本发明实施例1提供的系统完全维修时的签派可靠度水平曲线如图10所示。

在给定R_D＝99.98％，短时运行时间间隔T_ST为250小时的条件下，由“马尔可夫过程”方法求长时运行时间间隔T_LT为2060小时。

在同时满足安全性水平及签派可靠度要求的情况下，系统带多重故障短时运行时间为250小时，带多重故障长时运行时间为2060小时。

实施例2

本发明实施例2提供的FADEC系统结构如图11所示。

某型FADEC系统由发动机控制组件(ECU)、液压机械组件(HMU)、电源、传感器等部件组成。ECU包括两个完全相同的通道(Channel)A与B，均接收输入信号并进行计算，但是只有一个通道向HMU输出控制指令，通道A与B由CCDL连接，当某一通道的输入信号失效时，可以通过CCDL使用另一通道的输入信号。所有控制信号传感器(Control Sensor)都是双余度的，分别与通道A与B相连；指示传感器则是双通道共享(Shared)，但是指示传感器所提供信号与推力控制无关。发动机起动后通道A与B分别由专用电源(Alternator)的两个独立线圈(Winding)供电，飞机电源(Aircraft Power)备用。适航标准要求，即使飞机电源丧失也不允许FADEC系统产生危害性的后果，因此可靠性建模时不应包含飞机电源。HMU将源于ECU的控制指令转换为液压压力，驱动燃油计量活门(FMV)实现燃油控制，驱动可变静子叶片(VSV)与可变引气活门(VBV)实现压气机气流控制。ECU计算FMV、VSV以及VBV控制指令所需输入信号包括：低压转子转速(N1)、高压转子转速(N2)、压气机排气温度(T3)、油门杆角度(TLA)以及FMV、VSV与VBV等执行机构的位置反馈信号。

综上所述，要实现推力控制，HMU以及至少一个ECU通道及其传感器、电源是工作的。CCDL故障时，ECU通道与传感器先串联后再与另一通道并联，形成并-串联模型；CCDL可靠时，双余度ECU通道、双余度传感器先并联后再相互串联，构成串-并联模型；CCDL本质上是桥联单元。

本发明实施例2提供的FADEC系统的可靠性模型如图12所示。

该FADEC系统的可靠度函数为

各部件的故障率见表1。

表1

序号	部件	失效率(1/小时)
			1	N1A,N1B	3.3×10<sup>-6</sup>
2	N2A,N2B	3.3×10<sup>-6</sup>
			3	T3A,T3B	3.2×10<sup>-6</sup>
4	TLAA,TLAB	3.4×10<sup>-6</sup>
			5	FMVA,FMVB	3.5×10<sup>-6</sup>
6	VBVA,VBVB	3.6×10<sup>-6</sup>
			7	VSVA,VSVB	3.6×10<sup>-6</sup>
8	ChannelA,ChannelB	8×10<sup>-6</sup>
			9	WindingA,WindingB	9×10<sup>-6</sup>
10	HMU	7×10<sup>-6</sup>
			11	CCDL	1×10<sup>-4</sup>

利用蒙特卡罗仿真方法求解，令长时运行的时间间隔分别为

仿真后可求得与每一个T_LT相对应的

和R_D的样本。

当采用不完全维修时，求得的

曲线为

在满足

的条件下，短时运行时间间隔T_ST为250小时时，由上式求得T_LT为1589小时。

求得的R_D曲线为

在给定R_D＝99.98％的条件下，短时运行时间间隔T_ST为250小时时，由上式求得T_LT为1525小时。

在同时满足安全性水平及签派可靠度要求的情况下，系统带多重故障短时运行时间为250小时，带多重故障长时运行时间为1525小时。

当采用完全维修时，求得

的曲线为

在满足

的条件下，短时运行时间间隔T_ST为250小时时，由上式求得T_LT为2193小时。

在给定R_D＝99.98％的条件下，短时运行时间间隔T_ST为250小时时，由上式求得T_LT为1944小时。

在同时满足安全性水平及签派可靠度要求的情况下，系统带多重故障短时运行时间为250小时，带多重故障长时运行时间为1944小时。

Claims (4)

1.一种机载冗余系统带多重故障运行的时间间隔计算方法，其特征在于，包括以下步骤：

(1)基于机载冗余系统带多重故障运行的派遣类别决策原则，利用瞬时失效率，确定各种故障或故障组合所属派遣类别；

(2)构建平均性安全水平与带多重故障运行时间间隔的函数关系：对于结构简单的冗余系统，利用马尔可夫模型计算系统平均首次失效前时间，从而构造该函数关系；对于结构复杂的冗余系统，利用蒙特卡罗仿真法，通过随机数模拟系统寿命，获取系统平均失效间隔时间，从而构造该函数关系；

(3)构建签派可靠度与带多重故障运行时间间隔的函数关系：对于结构简单的冗余系统，利用马尔可夫模型计算非派遣状态的时间间隔，从而构造该函数关系；对于结构复杂的冗余系统，基于蒙特卡罗法仿真法，利用随机数模拟非派遣状态的时间间隔，从而构造该函数关系；

(4)根据平均安全性水平和签派可靠度要求，由上述步骤(2)、(3)中建立的模型，确定机载冗余系统带多重故障运行的时间间隔；

步骤(2)所述的利用马尔可夫模型构建函数关系的实现过程如下：

建立机载冗余系统马尔可夫模型，确定完好状态、长时派遣状态、短时派遣状态、不允许派遣状态以及失效状态之间的转移关系，列出状态转移方程，基于连续时间马尔可夫过程理论获得系统平均首次失效前时间，计算系统平均安全性水平，从而构建系统平均性安全水平与短时运行时间间隔T_ST及长时运行时间间隔T_LT的函数关系；

步骤(3)所描述的利用马尔可夫模型构建函数关系的实现过程如下：

将不可派遣状态及系统失效状态均视为系统的非派遣状态，利用马尔可夫模型确定完好状态、长时派遣状态、短时派遣状态以及失效状态之间的转移关系，基于马尔可夫过程相关理论及签派可靠度定义，建立签派可靠度与带多重故障运行时间间隔T_ST及T_LT的函数关系；

步骤(3)所描述的利用蒙特卡罗仿真法构建函数关系的实现过程如下：

将不可派遣故障状态与系统失效状态视为系统的非派遣状态，基于蒙特卡罗仿真法，利用随机数模拟部件寿命，依据部件失效或修复时的部件状态改变，获得系统更新的可靠性函数，当系统可靠性函数值为0时，获得一个非派遣状态的时间间隔，由多个时间间隔样本统计求得系统平均非派遣状态时间间隔，依据签派可靠度定义构建签派可靠度与带多重故障运行时间间隔T_ST及T_LT的函数关系。

2.根据权利要求1所述的一种机载冗余系统带多重故障运行的时间间隔计算方法，其特征在于，步骤(1)所述带多重故障运行的派遣类别决策原则包括：当λ_MaxLT＜λ_LT时，可带相应故障进行长时派遣(LT)；当λ_MaxST＜λ_ND并且λ_MaxLT≥λ_LT时，可带相应故障进行短时派遣(ST)；当λ_MaxST≥λ_ND，不允许带相应故障派遣；λ_MaxLT为在长时运行时间间隔内的最大瞬时失效率，λ_MaxST为在短时运行时间间隔内的时的最大瞬时失效率；λ_ND与λ_LT为瞬时失效率的阈值，取值因系统而异，其将瞬时失效率划分为不允许派遣、短时派遣和长时派遣类别三个区间。

3.根据权利要求1所述的一种机载冗余系统带多重故障运行的时间间隔计算方法，其特征在于，步骤(2)所述利用蒙特卡罗仿真法构建函数关系的实现过程如下：

利用随机数模拟部件寿命，依据部件失效或修复时的状态改变，获得系统更新的可靠性函数，判断系统可靠性函数值是否为0，当为0时获得一个系统失效的间隔时间，统计系统所有失效间隔时间样本，获得系统平均失效时间间隔，从而建立系统平均安全性水平与T_ST及T_LT的函数关系。

4.根据权利要求1所述的一种机载冗余系统带多重故障运行的时间间隔计算方法，其特征在于，步骤(3)所述的签派可靠度可通过以下公式实现：

其中，T_FL表示平均航段时间，T_ND-F表示系统平均非派遣状态时间间隔。

Images