赵 健，葛红娟，浦程楠，周 波，魏佳丹

（1.中国商飞上海飞机设计研究院，上海 200120；2.南京航空航天大学，南京 210016）

基于失效模式框图的机载设备安全性评估研究

赵 健1，葛红娟2，浦程楠2，周 波2，魏佳丹2

（1.中国商飞上海飞机设计研究院，上海 200120；2.南京航空航天大学，南京 210016）

为了解决故障树方法割集遗漏问题和FMEA方法信息遗漏问题，提出一种新型的基于FMEA的安全性分析建模与数值解算方法——失效模式框图法（FMBD）。通过FMEA分析得出相应设备的失效模式，根据设备工作机理及其各部分的相互关系，建立失效模式框图，推导失效率解算表达式。与通过FTA方法进行失效率计算相比，不但简化了安全性分析过程，而且克服了FTA方法可能导致的割集遗漏问题；提高了失效率估算精度。将该方法应用于飞机发电机过压保护器（OPU）的安全性分析，通过对OPU主要功能的安全性指标研究，提出了硬件设计修改意见，改进后OPU主要功能的安全性得到了很大提高，使得该设备满足预分配的研制等级要求；验证了该方法的可行性和准确性。该方法可用于飞机系统各级别的失效率分析解算，为飞机安全性分析提供了新途径。

机载设备；失效模式效应分析；失效模式框图法；安全性评估

飞机电源系统是机上最重要的机载设备之一，对整架飞机的安全性及其功能的实现有着重要影响。目前，飞机电源系统中发电机输出电压的调节和控制以及部分故障保护功能由发电机控制器（GCU）完成[1]。由于GCU通过调节励磁对发电机进行保护，会导致调节延时[2]；为避免输出电压过高，民机电源系统增加了发电机过压保护器（OPU），与GCU共同实现该功能。单一GCU实现上述功能时，研制保证等级为A级，研制困难；从适航安全性角度增加OPU作为GCU的独立非相似冗余结构，可使得二者的研制保证等级均降至B级[3-5]。OPU的主要功能为：电压超过180 V时，OPU将电压钳位在180 V；钳位时间超过55 ms，直接切断电路，实现GCU的冗余保护。

现有的研究机载设备安全性的方法包括故障树（FTA）、动态故障树（DFTA）、失效模式与影响分析（FMEA）等方法[6-7]，FTA和DFTA通过求最小割集的方法进行定性和定量分析，然而其自上而下和不利于计算的特性可能导致割集遗漏问题[8]，单独使用时确定设备安全性不便。FMEA采用自下而上的方法，通过列举器件失效率来逐级求得顶事件失效率，但由于其实现方式主要通过列表计算，易对器件间的相互关系判断出现疏漏。本文提出了一种基于FMEA的安全性分析建模与数值解算方法，通过建立失效模式框图，推导失效率解算表达式对设备进行安全性分析。

本文以过压保护装置中的钳位控制功能电路为例，建立失效模式框图，提高了失效率估算精度，通过对OPU钳位控制功能的安全性指标研究，提出了提高安全性的硬件设计修改意见，修改后的电路失效率满足安全性要求。最后将失效率模型方法应用于整个电路，验证了整个电路的安全性和该方法的可行性。

1 钳位控制电路安全性分析

1.1 过压保护装置及钳位控制电路

电源保护控制装置（overvoltageprotectionunit，OPU）根据其功能由多个电路部分组成，主要功能有：①过压钳位功能：输出电压超过180 V，1 ms内OPU执行钳位动作，将输出电压钳位控制在180 V；②如果超过55 ms，电压依然不能得到控制，则需要执行保护功能，输出保护信号。本节仅以钳位功能为例进行失效模式框图法的应用分析研究；后文将进一步研究整个装置的安全性。

图1为钳位信号电路图，该电路通过采样电路采样三相电压，将采样所得电压通过电压比较电路，检测电路是否过压，最终通过或门输出过压信号。该电路采用的比较方式不能构成三相冗余，且在过压初始阶段产生矩形波，通过对该电路的安全性分析，也发现该电路不能满足研制保证等级的要求。因此最终对该电路进行了修改，具体的分析过程如下。

图2为根据图1简化得到的钳位信号电路原理框图，以该电路为对象进行电路模块建模及安全性分析。

1.2 钳位信号电路模型

由图2中的钳位信号电路框图及具体电路原理，可以建立如图3所示的钳位信号电路模型框图。

由图可知，钳位信号电路为串联系统，其可靠度为上述几个电路模块乘积，可靠度为

由于指数分布能较好地描述由大量元器件组成的复杂系统寿命分布，适用于电气和电子系统，因此在此处元器件的成功概率（即基本事件的可靠度）计算方程为

其中：Ps表示成功概率；R表示可靠度；e表示自然对数底；λ表示基本事件失效率；t表示基本事件暴露时间或风险时间。

使用λ来表示可靠度，则可得到

由于该系统为串联系统，因此对于每一个模块，其安全性要求较高，首先对采样电路进行FMEA与失效率模型分析。

1.3 采样电路FMEA分析

可能导致采样电路（a相）不能正常工作的失效是“A1：OPU采样电路（a相）采样电压偏小”、“A2：OPU采样电路（a相）采样电压偏大”及“A3：非电源故障导致的OPU采样电路（a相）无法输出采样电压”。其中A1、A3失效模式可能导致OPU钳位功能过压无输出故障，A2失效模式可能导致OPU钳位功能错误输出故障。根据OPU整体功能机采样电路原理分析，可总结得出OPU采样电路FMEA分析内容，如表1所示[9]。

针对每一个失效模式进行失效分析，基于FMEA分析建立失效模式框图模型，得到具体的安全性指标。此处以“非电源故障导致的OPU采样电路（a相）无法输出采样电压”失效模式为例建模，如图4所示。

由于

其中：Pf表示失效概率；Q表示不可靠度。

又由于OPU为航空电子设备，其失效率应低于10-5数量级，因此其电路中使用的元器件失效率远小于0.1。

当λt≤0.1时

由图4可得

图1 钳位信号电路图Fig.1 Clamp-control circuit

图2 钳位信号电路原理框图Fig.2 Clamp-control circuit principle block diagram

图3 钳位信号电路模型框图Fig.3 Clamp-control circuit model block diagram

表1 （SSA OPU FMEA）OPU采样零部件失效模式和影响分析（部分）Tab.1 Partial failure modes and effects of sample circuit components in OPU（SSA OPU FMEA）

图4 OPU采样电路（a相）无法输出采样电压失效模式框图模型Fig.4 Failure mode diagram：OPU sample circuit（aphase）failed to output sample voltage

将式（5）代入式（6），可化简如下

由此可知

代入FMEA中得到各个元器件失效率及其失效方式，可得到

同理得到的A2、A3失效模式以及采样电路其他两相的失效率也大于10-7h数量级，而按照要求，过压保护电路整体失效率必须低于10-7h数量级，因此，整个电路失效率过大，明显不符合要求，需要对电路进行改进。

根据电路的设计需求和实际用途，对电路可采取以下几种改进方法：

1）不影响功能实现的基础上减少元器件的数目，简化电路；

2）设计冗余；

3）选择失效率更低的元器件。

综合以上改进方法，改进后的钳位信号电路如图5所示，三相电路结构相同。改变钳位电路中比较电路的比较门限电压，使得采样电路不需要进行升压输出，同时改变钳位信号电路结构，使得三项采样信号冗余，同时考虑到并联情况下“采样信号偏大这一失效方式”的失效率计算应为串联模型，因此少量修改了几个元器件的质量等级，保证电路的安全等级。

2 修改后钳位信号电路的安全性分析

2.1 修改后钳位信号电路模型

根据图5修改后钳位信号电路的原理电路及整体电路设计，可得到如图6所示的修改后的钳位信号电路的模型框图。

由图5可知，该电路的可靠度为

图5 修改后的钳位信号电路Fig.5 Modified clamp-control circuit

图6 修改后的钳位信号电路模型框图Fig.6 Block diagram of modified clamp-control circuit model

2.2 修改后的钳位信号电路FMEA分析

对修改后的电路进行FMEA分析，其中部分表格如表2所示。

基于表2中的数据，对钳位信号电路建立失效模式框图模型，以“非电源故障导致的OPU无法输出过压钳位信号”失效模式为例建模，如图7所示。

表2 （SSA OPU FMEA）OPU钳位信号电路零部件失效模式和影响分析（部分）Tab.2 Partial failure modes and effects of clamp-control components in OPU（SSA OPU FMEA）

通过上文的分析，由图7可得修改后的采样电路加上后续部分电路的失效率计算公式Q1（t）为

由此可知

由前期的分析计算，λcomp、λor、λor＇均为确定值，分别为6.15×10-8（h）、1.54×10-9（h）、4.52×10-9（h）。则

代入FMEA中得到各个元器件失效率及其失效方式，可以得到

通过以上分析，可知该电路符合安全性要求，同时，采样电路与钳位比较电路串联的部分电路有失效率调整过度的可能性。但由于本处电路修改得到的冗余状况对于“输出采样电压偏高导致不过压情况下输出钳位保护信号”的失效情况并不构成冗余，且形成串联的模式，因此，采样电路的失效率调整是必要且必须的。

图7 修改后的OPU钳位信号电路无法输出过压钳位信号失效率计算模型Fig.7 Failure mode diagram：modified clamp-control circuit of OPU failed to output voltage

3 OPU整体安全性分析

电源保护控制装置的硬件结构，如图8所示。根据电源保护控制装置的功能，其硬件组成分为两部分：过压钳位电路和延时保护电路。

图8 电源保护控制装置的硬件结构Fig.8 Hardware structure of OPU

根据原理电路以及前期工作中对电路失效方式的分析，可得到OPU整体失效模式框图模型，此处以“发电机过压情况下不能进行钳位”失效模式框图模型为例进行分析，可得到修改后的采样电路加上后续部分电路的失效率计算公式Q2（t）为

由此可知

其中：a、b、c三相为并联系统，其失效率为三者失效率乘积，由于每一项的失效率均为10-8（h）数量级，其乘积小于10-20（h）数量级，远小于其他系统失效率，可忽略不计，计算中默认为0。

4 结语

本文在比较研究了FTA、FMEA等方法的基础上提出了基于FMEA的失效模式框图法，并应用于机载设备OPU的安全性解算，通过解算证明：FMBD法不但简化了安全性分析过程、克服了FTA方法可能导致的割集遗漏问题，而且提高了FMEA的失效率估算精度。本文通过对OPU的主要功能（钳位信号功能）的安全性分析，提出了对钳位信号电路提高安全性的合理改进建议，研究结果表明改进后的电路安全性满足预分配的研制等级要求；验证了该方法的可行性和准确性。该方法不仅可用于机载设备的安全性分析及对电路和设备提出合理改进建议，还可以应用于飞机系统各级别的失效率分析解算，为飞机安全性分析提供更加方便、准确、直观的新方法。

[1]严仰光.航空航天器供电系统[M].南京：南京航空航天大学出版社，2010.

[2]应群伟.飞机发电机控制单元的设计与实现[D].西安：西北工业大学，2007.

[3]AC/AMJ 25.1309，System Design and Analysis（Draft ARSENAL revised）[S].Federal Aviation Administration and EuropeanAviation Safety Agency，2002.

[4]CCAR-25-R3，运输类飞机适航标准[S].中国民用航空总局，2005.

[5]Societyof AutomotiveEngineers（SAE），Aerospace Recommended Practice（ARP）.4754/EUROCAE ED-79，Certification Considerations for Highly Integrated or Complex Aircraft Systems[S].SAE，1996.

[6]贾立德，王金安，杨忠堂，等.基于故障树分析的飞船检漏间泄漏分析与建模[J].宇航学报，2012，33（6）：843-848.

[7]罗 勇.FMEA技术在电源模块设计中的应用[J].质量与可靠性，2009（5）：37-40.

[8]吴海桥，刘 超，葛红娟，等.基于模型检验的飞机系统安全性分析方法研究[J].中国民航大学学报，2012，30（2）：17-20.

[9]谷宏强，刘 飞，郭 利.FMEA在某选频电路故障仿真中的应用[J].工程设计学报，2010，17（2）：124-127，155.

（责任编辑：杨媛媛）

Safety assessment of airborne equipments based on FMBD

ZHAO Jian1，GE Hong-juan2，PU Cheng-nan2，ZHOU Bo2，WEI Jia-dan2
（1.Shanghai Aircraft Design and Research Institute，Commercial Aircraft Corporation of China Ltd.，Shanghai 200120，China；2.Nanjing University of Aeronautics and Astronautics，Nanjing 210016，China）

To solve the missing problem of FTA and FMEA，a new safety analysis modeling and numerical solution method is proposed based on FMEA，named FMBD （failure mode block diagram）.This method obtains the failure modes of the airborne equipments through FMEA，and establishes failure mode block diagrams depending on devices，working priniciples and relationships between device parts.By using FMBD method，an expression is proposed to calculate the failure rate.Compared with FTA method，the FMBD method not only simplifies the safety analysis process，but also overcomes the cut set omissions of FTA.The accuracy of failure rate estimation is improved.FMBD method is introduced into safety analysis of OPU，which is an airborne equipment.Through safety analysis of this equipment，some modifications of hardware design are proposed.After modifying，the security of OPU hardware has been greatly improved，and the preallocated development assurance level has been met.Through all these works，the feasibility and accuracy of this method get well verified.This method can also be applied to all levels of failure rate analysis of aircraft systems，offering new path for aircraft safety analysis.

airborn equipments；FMEA；FMBD；safty assessment

V37；N945.1

：A

：1674-5590（2014）05-0015-07

2013-06-26；

：2013-10-21

：国家自然科学基金项目（U1233127）

赵 健(1963—)，男，陕西西安人，研究员，博士研究生，研究方向为飞机电气，电力电子技术.