Issue |
JNWPU
Volume 43, Number 1, February 2025
|
|
---|---|---|
Page(s) | 84 - 91 | |
DOI | https://doi.org/10.1051/jnwpu/20254310084 | |
Published online | 18 April 2025 |
Model-based safety assessment method of civil aircraft power distribution network
基于模型的民用飞机配电网络安全性评估方法
1
School of Automation, Northwestern Polytechnical University, Xi'an 710072, China
2
Shenzhen Research Institiute of Northwestern Polytechnical University, Shenzhen 518057, China
Received:
5
January
2024
With the continuous development and continuous innovation of aviation technology, the complexity and integration of civil aircraft's power distribution network system are getting higher and higher. Therefore, its safety plays a crucial role in ensuring the safe operation of aircraft. Traditional safety assessment methods rely heavily on the engineering experience of engineers. The complex cross-linking of distribution networks reduces the effectiveness and efficiency of the safety assessment and brings difficulties to subsequent iterations. Model-based safety analysis(MBSA) can effectively reduce the complexity of analysis and iteration, and it can improve the efficiency and accuracy of safety assessment. The MBSA method is introduced. Then, the model-based safety assessment of a civil aircraft distribution network is carried out. The modeling analysis and evaluation process are constructed based on fault logic modeling. The evaluation results are presented, and further comprehensively evaluated based on expert weights. It is proven that MBSA is effective for the safety assessment of actual power distribution systems.
摘要
随着航空技术的不断发展和革新, 民用飞机配电网络系统的复杂化和综合化程度越来越高, 因此其安全性对飞机的安全飞行起着至关重要的作用。传统的安全性评估方法极度依赖工程设计人员的经验, 而配电网络的复杂交联结构极大地降低了传统系统安全性分析的有效性和评估效率。基于模型的安全性分析方法(MBSA)能够有效降低安全性评估的复杂程度及迭代困难等问题, 提升安全性评估工作效率及准确度。文中对MBSA方法进行介绍, 对某民机配电网络进行基于模型的安全性评估, 构建基于故障逻辑建模的分析及评估流程并给出评估结果, 将评估结果结合专家权重进一步进行综合评价。证明MBSA对实际系统的安全性评估是行之有效的。
Key words: safety assessment / power distribution system / model-based safety analysis (MBSA) / civil aircraft
关键字 : 安全性评估 / 配电网络 / 基于模型的安全性分析 / 民用飞机
© 2025 Journal of Northwestern Polytechnical University. All rights reserved.
This is an Open Access article distributed under the terms of the Creative Commons Attribution License (https://creativecommons.org/licenses/by/4.0), which permits unrestricted use, distribution, and reproduction in any medium, provided the original work is properly cited.
民机的电气系统由众多的控制元件、大功率发电机、大量的用电设备以及复杂的配电网络构成。配电网络[1]是实现电能到用电设备输送、分配及控制保护的系统,又称为配电系统或输配电线路,它由馈电电缆、汇流条、配电板以及配电器件等组成。配电网络的作用是保证为飞机各部分可靠地输配电能,管理各类电气负载并保护用电设备。
民机配电网络是现代飞机的一个重要组成部分,几乎所有系统和设备的正常工作都要由配电网络来保障。随着飞机性能的技术革新以及机载电气负载种类、数量及电气化的急剧增加,整个飞机的配电网络变得更加错综复杂。现在的配电网络不仅承载了主汇流条至设备端的电能分配、传输和控制等任务,还承载了容错供电、负载自动管理和自动检测等新功能[2]。因此,配电网络对飞机安全飞行和成功执行任务起着关键或重要的作用,对其可靠性提出了更为严格的要求[3]。
在验证设计的配电网络是否满足安全性需求时,传统评估方式是主观的,极其依赖评估人员对设计原理的熟悉程度和对分析技能的掌握程度[4–5]。不同评估人员在进行评估时,可能会导致不同的评估结果。同时,配电网络整体结构复杂且组件间相互交联,依照传统评估方法无法直接得出完整的评估结果,需评估人员对配电网络的结构进行简化及拆解,从而得到简化评估结果[6]。
基于模型的安全性分析技术(model-based safety analysis, MBSA)是一种以建立形式化的系统模型为基础,对系统的正常行为和故障模型进行描述,从而在一些工具软件的支持下进行自动化安全性分析的方法[7–8]。该方法通过建立一个传递需求、协同设计、规范化的模型,实现自动化安全性分析过程。因此,对比传统安全性评估,MBSA在摆脱对评估人员的经验依赖、提升分析准确度及效率等方面有较大的优势[9–11]。
本文针对民用飞机配电网络的安全性需求,采用MBSA方法构建基于故障逻辑的功能模型,以实现对复杂网络系统的安全性评估,为该技术在评估过程中的具体应用提供参考。本文主要贡献有:
1) 针对配电网络组件复杂且交联造成安全性需求难以验证的问题,提出了基于模型的安全性评估方法,基于故障逻辑建模的方法进行分析及评估,并给出相应的安全性评估结果;
2) 针对基于模型分析结果中底事件评估指标多、评估结果不直观的问题,提出了结合专家意见权重的评价方法,将多指标进行综合分析,分析结果对进行故障排查或故障检修时,快速精准定位失效零部件具有帮助。
1 基于模型的配电网络安全性评估
1.1 基于模型的安全性分析
MBSA是一种基于系统模型构建的自动化安全分析方法,解决了传统分析方法的不足。因此,自20世纪90年代出现以来,受到了来自学术界和工业界的广泛关注,并逐渐被监管机构接受(特别是航空部门)。MBSA原理如图 1所示,根据设计需求,在充分理解设计原理的基础上,将实际系统状态转化为安全性分析模型,即由功能层的故障传播路径构造达成失效状态的逻辑描述。根据构建安全分析模型与系统设计模型之间的关系,可以分为以下2类:基于系统扩展模型(extended system model, ESM)和基于故障逻辑模型(failure logic model, FLM)。
![]() |
图1 基于模型的安全性分析原理示意图 |
ESM方法的优势在于直接采用系统设计模型增加故障逻辑,保障了安全分析模型与设计模型的一致性,但该方法对系统模型有一定要求,且无法分析具有复杂行为的系统。与ESM方法相比,FLM方法需设计以安全性分析为特定目的的故障传递逻辑专用模型。此模型中的细致程度完全由设计人员决定,既满足分析需求,又可避免模型过于复杂,多应用于实际工程[12–16]。配电网络系统采用图纸化设计,无系统设计模型,因此,使用FLM方法进行配电网络的安全性分析,其具体输入和流程如图 2所示。与传统手工方法类似,输入信息为系统的研制信息和系统失效状态分析结果。
![]() |
图2 基于模型的安全性分析流程 |
1.2 某配电网络系统描述
某民用飞机的主电源系统由多台发动机组成,每台发动机安装2台直流起动发电机作为直流主电源,配装1台单相交流发电机作为交流电源。同时安装多个应急蓄电池和飞控蓄电池作为应急电源和飞控专用应急电源向飞机供电,并设置多个直流地面电源和1个交流地面电源输入接口。以一次直流配电网络为例,其原理示意如图 3所示。
![]() |
图3 直流配电网络原理示意图 |
该配电网络主要由左、右智能配电柜组成。
1) 左智能配电柜主要配置
(1) 汇流条功率控制器1(bus power control units,BPCU);
(2) 汇流条:左中央汇流条,左应急汇流条
(3) 主要接触器:1~4号直流主接触器,1号应急蓄电池主接触器,中央汇并联接触器,左应急转换接触器,28 V地面主接触器,70 V地面主接触器;
2) 右智能配电柜主要配置
(1) 汇流条功率控制器2;
(2) 汇流条:右中央汇流条,右应急汇流条,飞控蓄电池汇流条、热汇流条;
(3) 主要接触器:5~8号直流主接触器,2号应急蓄电池主接触器,应急汇并联接触器,右应急转换接触器,飞控蓄电池主接触器。
由原理示意图可以看出,配电网络由BPCU实现与电气系统各控制组件之间的通信、监控各电源和负载的状态信息。当某通道因故障失效时,BPCU发送相应的控制指令,使故障通道能够从正常通道获得电能,保障故障通道负载的正常运行,从而实现配电的自动重构。以直流供电逻辑为例:BPCU在左应急汇流条失去电源时,可以从右应急汇流条提供电源;在右应急汇流条失去电源时,可以从右中央汇流条提供电源;在右中央汇流条失去电源时,可以从左中央汇流条提供电源,因此在直流配电结构上形成了交联的结构。
1.3 失效状态分析
通过对配电网络原理梳理,可对配电网络完成功能进行分解,根据分析结果可列出配电系统的功能清单:①向直流用电设备供电;②提供直流供电控制及保护功能。
针对上述系统功能进行失效状态分析,并针对其影响后果划分危险等级。危险等级是指失效状态对飞机、机组等的影响程度,危险等级可分为灾难的(Ⅰ)、危险的(Ⅱ)、重大的(Ⅲ)、轻微的(Ⅳ)和无影响(Ⅴ)。以“向直流用电设备供电”失效状态为例,可得到如表 1所示的分析结果,其中,根据不同失效状态采用不同的符合性验证方法。
失效状态分析(部分)
根据以上失效状态分析结果,Ⅱ级失效状态会对飞机的安全性造成极大影响,需进行定量分析并验证其是否满足相应的安全性需求。Ⅱ级失效状态将作为MBSA中的顶事件观测变量。本文主要使用基于模型的安全性分析方法实现定量分析系统的安全性需求验证。因此,假设系统的安全性需求已知,且其余安全性工作不予考虑。
1.4 基于模型安全性分析
根据上述安全性需求分析,由于配电网络在设计过程中采用原理图设计,无实际模型,基于FLM方法通过对配电网络组件的故障逻辑进行分析,逐级描述整个系统的故障传递逻辑,完成整个配电网络系统的故障建模分析,实现基于模型的安全性评估基础。具体故障建模的流程如下所示:
1) 故障组件梳理
首先对系统组件的故障类型进行梳理,其中包含故障的底事件和中间事件,以左中央汇流条功能丧失为例,造成其功能丧失的故障包括左中央汇流条短路、左中央汇流条线路短路及左中央汇流条失去电源,其中前2项属于故障的底事件,后1项属于中间事件,其故障原因还可进行细分至底事件。对照原理图,将系统组件故障完全分解,并罗列命名,部分组件命名如表 2所示。
组件命名(部分)
2) 故障状态梳理
根据上述梳理出的底事件,根据组件故障状态(包括故障条件、故障率和故障事件),进行总结分类,根据分类定义不同的故障状态类。例如:左中央汇流条短路、右中央汇流条短路、左应急汇流条短路和右应急汇流条短路的故障状态一致,则归为同一状态类。
3) 故障逻辑梳理
针对每个组件定义故障状态类型,并描述在系统中的作用(作为底事件或中间事件)以及输出条件。例如:在左、右中央汇流条功能均丧失状态中,左中央汇流条功能丧失、左中央汇流条失去电源、右中央汇流条向左中央汇流条供电丧失为中间事件,直流发电机到左中央汇流条供电丧失、左中央汇流条短路、左中央汇流条线路短路为底事件。
4) 故障模型建立
根据原理图实际物理连接关系及BPCU中的动态切换逻辑,梳理组件间故障逻辑输入输出关系并定义连接点,建立配电系统模型的逻辑链接基础。
由于配电系统的交联式网络结构,组件链接关系可以拆解为3类故障逻辑建模。
(1) 单节点故障逻辑
单节点是组件仅有单个故障节点的抽象形式,是构成系统的底层单元。具体形式可参考如下假设:组件S1的输入分别为M1和M2,自身故障为X,输出为T,输入输出模式仅限于正常和失效,选取T失效作为顶事件。基于模型描述组件S1故障逻辑时,主要描述故障节点与输入间的关系,其故障逻辑梳理如表 3所示。
组件S1单节点故障逻辑
(2) 多节点故障逻辑
多节点是组件故障包含多个故障节点输入输出的连接形式。具体形式可参考如下假设:组件S1包含3个节点(I1, I2和I3),I1的输入为M1和M2,I1的输出为N1,I2的输入为M3和M4,I2的输出为N2,I3的输入为N1和N2,I3的输出为T,组件自身故障为X,输入输出模式仅限于正常和失效,选取T失效作为顶事件。基于模型在描述组件S1的故障逻辑时采用分层描述的方式,根据系统中的多节点分别描述该节点间输入输出流关系,其故障逻辑梳理如表 4所示。
组件S1多节点故障逻辑
(3) 嵌套组件故障逻辑
嵌套组件是指包含嵌套子组件故障的多节点故障的连接形式。具体形式可参考如下假设:组件S1由嵌套子系统O1和多组件节点I1、I2、I3和I4组成,嵌套子系统O1的输入为M1和M2,输出为Sub1,I1的输入为Sub1和M3,I1的输出为N1,I2的输入为Sub1和N1,I2的输出为N2,I3的输入为M4和M5,I3的输出为N3,I4的输入为N2和N3,I4的输出为T,组件自身故障为X,输入输出模式仅限于正常和失效,选取T失效作为顶事件。通常嵌套故障采用故障树描述时,不能直接求解,需要进一步拆解简化。而基于建模描述嵌套故障时与多节点故障类似,仍采用分层描述的方式,仅在节点间输入输出流关系,其故障逻辑梳理如表 5所示。
组件S1多节点故障逻辑
根据上述故障逻辑构建的安全性模型,在基于模型进行安全性分析时,首先基于语义模型卫士转换系统(guarded transition systems, GTS)转化为平展化系统模型;通过进一步将系统模型依据故障发生节点状态变量的传递关系进行划分成由相关节点构成的独立传递子模型和无关节点的状态变量;对各个子模型中全部节点给出状态转化指令,获得独立系统内存在的全部节点状态集合;再通过遍历全部独立系统的节点状态集合,生成子模型状态转化间的所有路径,来获取子模型完整故障路径集合(即故障树);最后,求取子模型的节点状态集合和无关节点状态构成所有节点的状态总集合,并以子模型故障路径构为约束条件(即子模型故障路径交集不能为空,为空则无法同时触发)形成总系统的故障树。
(4) 顶事件观测变量
根据失效状态形成可供选择的顶事件选项并罗列命名,部分组件命名如表 6所示。
顶事件命名(部分)
5) 安全性指标计算
通过以上流程,选择顶事件并设置相应任务时间,则可通过相应软件计算顶事件失效概率、底事件的关键重要度、风险成就度、降低风险度等安全性指标。
1.5 评估指标分析
由于配电网络中各部件均处于全寿命周期,难以收集该系统的故障数据,导致故障样本较少。通常采用概率重要度系数进行排序作为维修的排查参考。为更好地量化分析底事件的重要度,采用专家获取底事件安全性指标的权重,同时混合专家权重,一定程度上降低专家主观性对权重的影响,最终加权获得底事件的重要度综合指标P,进而获得底事件排序,计算公式为
式中:s是评审数; ms是第s个评审的权重; n是底事件指标个数; Qn是第n个底事件指标的数值。
2 仿真验证
2.1 AltaRica简介
AltaRica语言由波尔计算机实验室联合其他工业部门共同开发,出现以来便应用于大量的实际工程[17–20]。AltaRica3.0建模分为变量定义、转换(transition)、断言(assertion)、事件定义4个部分。依据1.4节中给出的故障建模流程,采用AltaRica3.0语言通过变量定义描述故障传递关系中的底事件和中间事件;通过transition描述故障中底事件和中间事件的故障输出条件;通过assertion定义系统中组件的故障逻辑关系,构建安全性分析模型;最终通过事件定义顶事件观察变量确定安全性分析内容。
基于AltaRica建立的配电系统完整模型通过AltaRicaWizard对其文件进行扁平化处理,选择不同顶事件,设置相应任务时间,则可计算出该顶事件失效率、底事件最小割集、关键重要度、概率重要度、降低风险度等安全性指标。
2.2 模型仿真结果
在模型中对各组件引入由设计单位给出的实际失效率,选择“左中央、左应急汇流条功能均丧失”为顶事件观测,通过基于模型的仿真计算,获得“左中央、左应急汇流条功能均丧失”的顶事件失效概率为4×10-12,其他安全性指标及分析结果如表 7所示。
左中央左应急汇流条故障底事件重要度(部分)
其中,关键重要度是指导致顶事件发生概率的变化率与底事件发生概率的变化率之比,反映底事件故障概率改进的难易程度。诊断重要度指底事件失效与系统不可靠性的比例。风险成就值是指在实现当前系统可靠性水平时底事件价值的度量,即保持底事件当前可靠性水平的重要性。降低风险度是指通过增加底事件的可靠性可以降低顶事件失效风险的指标,指标越大则越可能降低顶事件风险。这些指标对比以往分析方法从更多方面体现了底事件对顶事件发生概率的影响,有助于改善系统可靠性。此外,这些指标还可以根据指标评估公式进行加权计算,以获得故障底事件的维修优先级排序。
上述分析结果符合已知安全性需求。基于模型的分析结果是依据配电网络完整建模仿真得出,可以得到完整组件故障的底事件的评估指标(例如:可计算出右中央到左中央接触器控制信号故障相应指标,该事件是造成右中央汇流条到左中央汇流条供电丧失的原因之一),而基于传统安全性评估方法需要对网络进行精简(例如:只能分析到右中央汇流条到左中央汇流条供电丧失,其失效原因过于繁杂需要简化),否则无法计算。因此,基于模型计算出的顶事件失效概率更贴近系统真实数据。同时,维修排序对进行故障排查时快速准确定位失效零部件具有帮助;降低风险度对改进配电网络并提高其安全性具有指导作用。
3 结论
通过使用对配电网络进行故障建模及AltaRica实现基于配电网络模型的安全性分析,探索研究了基于模型的民机配电网络安全性评估方法及其工程应用。结果表明:
1) 传统安全性评估方法为了便于计算,经常对系统结构进行简化分析,而基于模型的安全性评估方法可以表现完整系统的安全性评估结果;
2) 与传统安全性分析方法相比,所建模型对系统组件的修改更为方便,对分析效率的影响较小;
3) 配电网络内部相互交联,且BPCU中定义的失效逻辑较为复杂,而基于模型的安全性评估方法仅需定义输出输入关系,对失效传递的处理更为直观;
4) 基于模型的安全性评估结果的指标分析结果能为后期故障维修排查起指导作用。
References
- FENG JianchaoREN RenliangZHAO Zunquan. Study on the power distribution system for civil aircraft[J]. Measurement & Control Technology, 2012, 31(12): 108–112 (in Chinese) [Google Scholar]
- ZHOU YuanjunWANG YongDONG Huifen. Electric power systems of civil aircraft[M]. Shanghai: Shanghai Jiaotong University Press, 2015 (in Chinese) [Google Scholar]
- MARTINS L E GGORSCHEK T. Requirements engineering for safety-critical systems: overview and challenges[J]. IEEE Software, 2017, 34(4): 49–57 [Article] [Google Scholar]
- FAA. Certification of electrical wiring interconnection systems on transport category airplanes[S]. FAA-AC 25.1701-1, 2007 [Google Scholar]
- CCAR-25-R4, 2011 Civil Aviation Administration of China. Civil aviation regulation of China part 25 airworthiness standards: transport category airplane[S]. CCAR-25-R4, 2011 (in Chinese) [Google Scholar]
- XIU Zhongxin. System safety design & assessment in civil aircraft[M]. Shanghai: Shanghai Jiaotong University Press, 2013 (in Chinese) [Google Scholar]
- LISAGOR O, KELLY T, NIU R. Model-based safety assessment: review of the discipline and its challenges[C]//Proceedings of 9th International Conference on Reliability, Maintainability and Satety, 2011: 625–632 [Google Scholar]
- JOSHI A, WHALEN M, HEIMDAHL M. Model-based safety analysis final report[EB/OL]. (2006-02)[2024-08-25]. [Article] [Google Scholar]
- CHEN LeiJIAO JianZHAO Tingdi. Review for model-based safety analysis of complex safety-critical system[J]. System Engineering and Electronics, 2017, 39(6): 1287–1291 (in Chinese) [Google Scholar]
- CHE ChengLIU Yifei. Research on model based safety analysis[J]. Advances in Aeronautical Science and Engineering, 2016, 7(3): 369–373 (in Chinese) [Google Scholar]
- HU XiaoyiWANG RupingWANG Xin, et al. Recent development of safety and reliability analysis technology for model-based complex system[J]. Acta Aeronautica et Astronautica Sinica, 2020, 41(6): 140–151 (in Chinese) [Google Scholar]
- LIU ChaoTANG TaoLI Kaicheng. Safety assessment approach to railway system based on failure logic modeling[J]. Journal of System Simulation, 2014, 26(6): 1208–1216 (in Chinese) [Google Scholar]
- FAN JipingHONG Jiyu. Safety assessment of civil aircraft flight control system based on model-checking[J]. Civil Aircraft Design & Research, 20213): 32–37 (in Chinese) [Google Scholar]
- WANG XiaohuiZHU LiCHE Cheng, et al. Study on safety design and analysis method for electrical wiring interconnection system[J]. Journal of Northwestern Polytechnical University, 2022, 40(3): 690–698 [Article] (in Chinese) [Google Scholar]
- FENG YunwenZHU ZhengzhengYAO Xionghua, et al. An effective safety analysis method of civil aircraft landing gear[J]. Journal of Northwestern Polytechnical University, 2016, 34(6): 969–975 [Article] (in Chinese) [Google Scholar]
- BI Suyi. Research on tire burst safety analysis technology of transport category aircraft[D]. Nanjing: Nanjing University of Aeronautics and Astronautics, 2017 (in Chinese) [Google Scholar]
- DONG HaiyongGU QingfanWANG Guoqing, et al. Availability assessment of IMA system based on model-based safety analysis using AltaRica 3.0[J]. Processes, 2019, 117(7): 1–14 [Google Scholar]
- BOZZANO MCIMATTI ALISAGOR O, et al. Safety assessment of AltaRica models via symbolic model checking[J]. Science of Computer Programming, 2015, 98(4): 464–483 [Google Scholar]
- WU MengjieZHU BingLI Zhen, et al. Fault automated modeling and analysis based on AltaRica[J]. Computer & Digital Engineering, 2021, 49(1): 75–78 (in Chinese) [Google Scholar]
- WANG WenruSHI XiaohuaLU Xinghai. A safety simulation analysis algorithm for Altarica language[J]. Concurrency and Computation: Practice and Experience, 2018, 33(7): 1–10 [Google Scholar]
All Tables
All Figures
![]() |
图1 基于模型的安全性分析原理示意图 |
In the text |
![]() |
图2 基于模型的安全性分析流程 |
In the text |
![]() |
图3 直流配电网络原理示意图 |
In the text |
Current usage metrics show cumulative count of Article Views (full-text article views including HTML views, PDF and ePub downloads, according to the available data) and Abstracts Views on Vision4Press platform.
Data correspond to usage on the plateform after 2015. The current usage metrics is available 48-96 hours after online publication and is updated daily on week days.
Initial download of the metrics may take a while.