宛偉健 謝健 葛曉瑜

摘 ?要：隨著航空發(fā)動機技術(shù)的不斷發(fā)展，對其性能要求不斷提高，使得航空發(fā)動機的安全性和可靠性變得愈發(fā)重要。然而，當(dāng)前針對航空發(fā)動機的可靠性分析方法較少考慮系統(tǒng)失效時的動態(tài)特性，面向《航空發(fā)動機適航規(guī)定》（CCAR33-R2），考慮航空發(fā)動機危害性發(fā)動機后果發(fā)生時系統(tǒng)的動態(tài)特性，提出了一種將動態(tài)故障樹和概率模型檢測相結(jié)合的可靠性分析方法，對航空發(fā)動機的可靠性進行分析。首先，通過動態(tài)故障樹對航空發(fā)動機的動態(tài)行為進行建模，并將其轉(zhuǎn)換到離散時間馬爾科夫鏈模型;然后基于概率模型檢測語言PRISM對離散時間馬爾科夫鏈模型進行描述，并利用相應(yīng)工具進行定量分析，將頂事件發(fā)生概率和《CCAR33-R2.75》條款規(guī)定的故障發(fā)生概率比較，驗證航空發(fā)動機是否符合《CCAR33-R2.75》條款安全性要求;最后對某型航空渦輪發(fā)動機進行實例建模分析，驗證所提方法的正確性與可行性。

關(guān)鍵詞：CCAR33-R2.75;動態(tài)故障樹;離散時間馬爾科夫鏈;概率模型檢測;PRISM

中圖分類號：TP311 ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標(biāo)識碼：A

Analysis Method for Aeroengine Reliability Based on Dynamic Fault Tree

WAN Wei-jian1，2？覮，XIE Jian1，2，GE Xiao-Yu1，2

（1. College of Computer Science and Technology，Nanjing University of Aeronautics

and Astronautics，Nanjing，Jiangsu 210016，China;

2. Key Laboratory of Software Development and Verification Technology of High Security System（Nanjing University

of Aeronautics and Astronautics），Ministry of Industry and Information Technology，Nanjing，Jiangsu 211106，China）

Abstract： With the development of technology of aeronautical engine and the increasing requirements for its performance，engine's safety and reliability has become more and more important. However，analytical methods applied to previous studies on reliability of aeronautical paid less attention to dynamic behavior followed by system failure. The paper puts forward a method to analyze reliability of aeronautical engine that combines DFT （Dynamic Fault Tree） and PMC （Probabilistic Model Checking） in accordance with the rules on airworthiness of aeronautical engine. First，the paper will complete a modeling for the dynamic behavior of aeronautical engine through DFT，and transform it to the model of DTMC （Discrete Time Markov Chins）. ?Next，the paper will provide the expression of DTMC by PRISM based on the probability model，and make a quantitative analysis by means of corresponding methods comparing the occurrence rate of Top-Event with that stipulated by “CCAR33-R2.75” to test whether the safety of aeronautical engine complies with it. At last，a modeling analysis of a certain type of aeronautical turbine engine will be made to prove the correctness and feasibility of the method proposed in this paper.

Key words：CCAR33-R2.75;dynamic fault tree;discrete time Markov chins;probabilistic model checking;PRISM

航空發(fā)動機結(jié)構(gòu)復(fù)雜，經(jīng)常在高速、高溫惡劣環(huán)境下工作，一旦出現(xiàn)故障即可能導(dǎo)致災(zāi)難性的后果，因此在發(fā)動機研制過程中，必須開展安全性設(shè)計、分析、評估與符合性驗證工作，最終確保研制出的發(fā)動機能夠滿足相關(guān)的安全性要求[1-2]。

傳統(tǒng)故障樹分析方法（Fault Tree Analysis，F(xiàn)TA）[3]作為安全性與可靠性分析的有效工具，被廣泛用于航空電子、核能和化工領(lǐng)域等安全關(guān)鍵領(lǐng)

域[4]，但是其無法描述系統(tǒng)失效的動態(tài)行為，如故障修復(fù)、時序相關(guān)的故障和冷儲備等。馬爾科夫過程作為一種特殊的隨機過程[5]，雖然能夠描述系統(tǒng)的動態(tài)特性，但因其狀態(tài)空間規(guī)模隨系統(tǒng)規(guī)模增長呈指數(shù)增長，導(dǎo)致馬爾科夫模型的建立和求解非常繁瑣，有時甚至由于計算量太大而無法使用[6]。

動態(tài)故障樹（Dynamic Fault Tree，DFT）分析方法綜合了傳統(tǒng)FTA分析方法和Markov模型兩者的優(yōu)點，它通過引入描述時序邏輯關(guān)系的動態(tài)邏輯門擴展傳統(tǒng)故障樹，建立相應(yīng)的動態(tài)故障樹，進行動態(tài)故障樹分析，從而能夠?qū)討B(tài)系統(tǒng)進行可靠性和安全性分析[7]，被廣泛應(yīng)用于動態(tài)系統(tǒng)的故障建模。以動態(tài)故障樹為基礎(chǔ)，面向航空適航標(biāo)準(zhǔn)的安全條款，選擇航空發(fā)動機的危害性發(fā)動機后果為對象，詳細討論航空發(fā)動機危害性發(fā)動機后果動態(tài)故障樹的基于概率模型檢測工具的分析方法，為解決復(fù)雜動態(tài)系統(tǒng)的可靠性設(shè)計分析提供了一種新的思路。

其他章節(jié)安排如下，第二部分給出航空發(fā)動機可靠性分析框架，并介紹了相關(guān)理論;第三部分介紹了動態(tài)故障樹到馬爾科夫模型的轉(zhuǎn)換;第四部分介紹了DTMC模型到PRISM代碼的轉(zhuǎn)換：第五部分給出了航空發(fā)動機危害性后果"不可控火情"動態(tài)故障樹建模和分析;第六部分給出了基于故障樹的可靠性分析相關(guān)工作;第七部分是本文的總結(jié)與展望。

1 ? 航空發(fā)動機可靠性分析框架

現(xiàn)有的基于動態(tài)故障樹可靠性分析方法，通常先對動態(tài)故障樹進行定量分析，求出頂事件失效概率，然后對系統(tǒng)可靠性進行分析與評估。但動態(tài)故障樹是一個非形式化的模型，不能直接對其進行定量分析，而且，由于動態(tài)系統(tǒng)復(fù)雜的動態(tài)特性和缺乏有效工具的支撐，動態(tài)故障樹的量化分析一直是可靠性領(lǐng)域研究的重點和難點之一。

結(jié)合離散時間馬爾可夫鏈、PRISM、PCTL，提出一種基于概率模型檢測的動態(tài)故障樹定量分析方法，圖1為航空發(fā)動機可靠性分析方法框架圖，主要包括三部分內(nèi)容：（1）DFT建模及形式化規(guī)約：通過需求文檔與相關(guān)領(lǐng)域知識構(gòu)建動態(tài)故障樹，然后對動態(tài)故障樹進行形式化規(guī)約，將其轉(zhuǎn)換成DTMC模型;（2）定義定量分析屬性公式：定義定量分析屬性PCTL公式-計算頂事件發(fā)生概率;（3）概率模型檢測：用PRISM語言對DTMC模型進行描述，然后將生成的PRISM代碼和定量分析屬性公式作為輸入，運行PRISM工具，得到定量分析結(jié)果，即頂事件發(fā)生概率。并通過將得到的頂事件發(fā)生概率與《CCAR33-R2.75》條款安全性要求規(guī)定的故障發(fā)生概率進行比較，分析該航空發(fā)動機是否符合適航標(biāo)準(zhǔn)提出的航空發(fā)動機安全性設(shè)計要求。還可以通過定義不同的定量分析屬性公式，求出每個構(gòu)件失效時分別導(dǎo)致頂事件失效的概率，找出最不可靠構(gòu)件，為故障發(fā)生后的檢修和維護工作提供幫助。

2 ? 動態(tài)故障樹到馬爾科夫鏈的轉(zhuǎn)換

將動態(tài)故障樹轉(zhuǎn)換馬爾可夫鏈已有相關(guān)研究，詳見文獻[8]。在已有的轉(zhuǎn)換規(guī)則下在邏輯門內(nèi)引入了故障屏蔽機制，即在故障產(chǎn)生之前，有一個確定的概率可以避免故障發(fā)生，記為PM，引入故障屏蔽機制的目的是使系統(tǒng)組成簡化，減少狀態(tài)遷移的次數(shù)。轉(zhuǎn)換過程中假設(shè)基本事件服從離散時間概率分布，且基本事件統(tǒng)計獨立，系統(tǒng)和構(gòu)件只取正常或故障兩種狀態(tài)。邏輯門的輸入事件的發(fā)生順序組合作為DTMC的基本狀態(tài)，同時DTMC的狀態(tài)轉(zhuǎn)移概率設(shè)置為輸入事件的故障概率。本文只考慮動態(tài)邏輯門，靜態(tài)邏輯門的轉(zhuǎn)換詳見文獻[9]，在此不再贅述。得到動態(tài)邏輯門的DTMC模型如圖2.1所示。

（1）PAND門的形式化規(guī)約

將優(yōu)先與門轉(zhuǎn)換成離散時間馬爾科夫鏈如圖2所示，記為PAND-DTMC。

圖2.1中，初始狀態(tài)“00”代表兩個輸入事件均正常工作的系統(tǒng)狀態(tài)，“10”代表輸入事件B失效而輸入事件C正常工作的系統(tǒng)狀態(tài)，“11”表示兩個輸入事件都失效的狀態(tài)，但是下個時刻才會產(chǎn)生輸出事件，“Fail”即指輸出事件A發(fā)生，系統(tǒng)處于失效狀態(tài)，“Mask”是本文引入故障屏蔽機制產(chǎn)生的狀態(tài)，表示邏輯門在產(chǎn)生失效輸出之前有一個固定概率故障被屏蔽，系統(tǒng)處于工作狀態(tài);ps和pc分別表示輸入事件B和C的失效率。 表示故障屏蔽概率，是一個給定的固定值。

（2）FDEP門的形式化規(guī)約

根據(jù)功能相關(guān)門的工作原理和失效原理，可以將FDEP轉(zhuǎn)換成離散時間馬爾可夫鏈如圖2.2所示，記為FDEP-DTMC。其中，和 分別表示相關(guān)事件X和Y的失效率，為觸發(fā)事件T的失效率;“000”表示三個輸入事件均工作的系統(tǒng)狀態(tài)，“001”為只有事件B失效的系統(tǒng)狀態(tài)，“010”為只有事件A失效的系統(tǒng)狀態(tài)，“111”為兩個相關(guān)事件和觸發(fā)事件都失效的系統(tǒng)狀態(tài)，下個時刻遷移到“Fail”狀態(tài)，“Fail”為系統(tǒng)失效狀態(tài)，“Mask”為故障屏蔽狀態(tài)，系統(tǒng)正常工作。

（3）SPARE門的形式化規(guī)約

如圖2.3，2.4，2.5所示為冷備件、溫備件、熱備件門轉(zhuǎn)換成相應(yīng)形式的離散時間馬爾可夫鏈模型，其中B為主件，S為備件;pB和ps分別表示B和S處于工作狀態(tài)時的失效率，pM為故障屏蔽的概率。其中各個狀態(tài)的含義與之前優(yōu)先與門的離散時間馬爾可夫鏈模型中的狀態(tài)相同。根據(jù)三種門的失效機理可知，冷備件門中備件在主件未失效前不工作，所以其輸入事件之間的順序關(guān)系與優(yōu)先與門一樣，溫備門中備件在主件B失效前也具有一定的失效率，將其表示為= αps（0<α<）;當(dāng)B失效時，S轉(zhuǎn)為正常工作狀態(tài)，此時=ps。對于熱備件門，備件S一直處于正常工作狀態(tài)，所以其=ps。

3 ? DTMC模型到PRISM代碼的轉(zhuǎn)換

PRISM語言通過一個模塊（module）來描述一個有限狀態(tài)自動機系統(tǒng)，一個模塊由局部變量（local_var）和命令（command）兩部分構(gòu)成。有限狀態(tài)機系統(tǒng)由三個部分構(gòu)成：狀態(tài)、狀態(tài)遷移和狀態(tài)遷移概率;其轉(zhuǎn)換關(guān)系如圖3所示，一個狀態(tài)對應(yīng)多個局部變量，一個狀態(tài)對應(yīng)于一條命令，且一個狀態(tài)對應(yīng)于n個狀態(tài)遷移;一個狀態(tài)遷移對應(yīng)于一個狀態(tài)遷移概率，n個狀態(tài)遷移對應(yīng)于一條命令;n個狀態(tài)遷移概率對應(yīng)于一條命令;其中局部變量對應(yīng)于DTMC模型狀態(tài)里的變量，即動態(tài)故障樹的事件，包括基本事件、中間事件和頂事件;命令用于表示狀態(tài)之間的遷移關(guān)系和遷移概率，即輸入事件之間的邏輯關(guān)系和輸入事件的失效概率。

PRISM命令由元組cmd={act，guard，rate，action}構(gòu)成，且格式為[〈act〉]〈guard〉|〈rate1〉∶〈action1〉+…+〈raten〉∶〈actionn〉： 其中act是一個動作標(biāo)簽;guard是一個動作的謂詞;rate1到raten是一個數(shù)字，表示一個動作發(fā)生的概率;action1到actionn是模型中的遷移動作，表示一組n個變量的更新。

根據(jù)轉(zhuǎn)換關(guān)系和PRISM命令格式，基于有向圖廣度優(yōu)先搜索，提出DTMC模型到PRISM代碼自動轉(zhuǎn)換算法如下：

Input：DTMC model D=（S，s，P，L）

Output：PRISM module Code

Function：Convertion from DTMC model to PRISM module code

//vexnum 為DTMC模型有向圖的狀態(tài)結(jié)點數(shù)量

Initial visited[i] equlas 0，i from 1 to D.vexnum;

InitQueue（Q）;

state←s;//將初始結(jié)點賦值給state

if state visited equlas false then

EnQueue（Q，state）;

state.visited←true;

endif

printf “module D”

while ！ QueueEmpty（Q） do

DeQueue（Q，u）;

for hasNextAdjvex（D，u） do

W←NextAdjvex（D，u）;

weight←transprobability（D，u，w）;

insert w in u.nextnighber;

insert weight in u.transprobability;

if w.visited equals flase then

w.visited←true;Enqueue（Q，w）;

end if

end for //循環(huán)結(jié)束，找到當(dāng)前結(jié)點所有鄰接結(jié)點與相應(yīng)轉(zhuǎn)移概率

prinft “[]u→〈u.transprobility[0]〉∶〈u.nextNeighbor[n]〉

+…+〈u.transprobability[n]〉∶〈u.nextNeighbor[n]〉”

endwhile

prinft “endmodule”

return;

該算法的輸入為用十字鏈表存儲的DTMC模型有向圖;通過有向圖廣度優(yōu)先搜索，將每個結(jié)點的所有相鄰節(jié)點存入輔助隊列;當(dāng)遍歷到一個結(jié)點時，查找所有與其相連的鄰接結(jié)點，存入當(dāng)前訪問結(jié)點結(jié)構(gòu)體內(nèi)定義的鄰接結(jié)點數(shù)組和轉(zhuǎn)移概率數(shù)組;然后根據(jù)PRISM命令的格式和DTMC模型和PRISM代碼的轉(zhuǎn)換關(guān)系，將該結(jié)點與其所有鄰接結(jié)點輸出成一條PRISM命令;遍歷完所有的節(jié)點即生成該DTMC模型對應(yīng)的PRISM模塊的代碼?？梢酝ㄟ^該算法實現(xiàn)任何DTMC模型到PRISM代碼的自動轉(zhuǎn)換。由于該算法基于有向圖廣度優(yōu)先遍歷算法，所以該算法的時間復(fù)雜度為0mi，其中n為有向圖節(jié)點數(shù)量，mi為每個節(jié)點鄰接節(jié)點的數(shù)量。

根據(jù)該算法對PAND-DTMC模型和WSP-DTMC模型進行自動轉(zhuǎn)換，可以得到相應(yīng)的PRISM代碼如下，其中變量M表示故障屏蔽，變量pand=0時表示pand_gate模塊處于空閑狀態(tài)，pand=1時表示等待一個輸入，pand=2時表示等待第二個輸入。變量wsp和變量pand類似，在此不再贅述。其他動態(tài)邏輯門也可以通過所提算法轉(zhuǎn)換成PRISM代碼，在此不做詳細介紹。

PAND-DTMC對應(yīng)的PRISM代碼：

module pand_gate

[]（pand=1）&（B=0）&（C=0）&（M=0）&（A=0）->pB：（B′=1）&（pand′=2）

+pC：（M′=1）&（pand′=2）

+1-pB-pC：（B′=0）&（C′=0）->PM：（M′=1）&（A′=0）&（pand′=1）;

[]（B=1）&（C=0）&（M=0）->PM：（M′=1）&（B′=0）

+pC：（C′=1）&（A′=1）

+1-pM-pc：（B′=1）&（C′=0）&（M′=0）&（A′=0）

[]（B=1）&（C=1）&（A=0）&（M=0）->1：（A′=1）;

endmodule

WSP-DTMC對應(yīng)的PRISM代碼：

module wsp_gate

[]（wsp=1）&（B=0）&（S1=0）&（M=0）&（T=0）->pB：（B′=1）&（wsp′=2）

+pS1：（S1′=1）&（wsp′=2）

+1-pS1-pB：（B′=0）&（S1′=0）&（M′=0）&（T′=0）&（wsp′=0）

[]（B=1）&（S1=0）&（M=0）->PM：（M′=1）&（B′=0）

+pS1：（S1′=1）&（T′=0）

+1-pM-pS1：（B′=1）&（S1′=1）&（M′=0）&（T′=0）

[]（B=0）&（S1=1）&（M=0）->PM：&（M′=1）&（T′=0）

+pB：（B′=1）&（T′=0）

+1-pM-pS1：（B′=1）&（S1′=1）&（M′=0）&（T′=0）;

[]（B=1）&（C=1）&（T=0）->1：（T=1）;

endmodule

4 ? 航空發(fā)動機危害性后果動態(tài)故障樹分析

《航空發(fā)動機適航標(biāo)準(zhǔn)》是我國航空發(fā)動機設(shè)計和評估階段必須要遵循的標(biāo)準(zhǔn)，其中CCAR33-R2.75條款對航空發(fā)動機設(shè)計過程發(fā)動機的安全性標(biāo)準(zhǔn)做出了明確要求，對于危害性發(fā)動機后果的預(yù)期發(fā)生概率不超過定義的極小可能概率（概率范圍是 到 次/發(fā)動機飛行小時）[2]。而且條款規(guī)定：由于對單個失效估計的概率可能不夠精確，導(dǎo)致申請人不能評估多個危害性發(fā)動機后果發(fā)生的總概率，所以可以通過預(yù)測單個失效引起的危害性發(fā)動機后果的概率不大于次/發(fā)動機飛行小時，來表明本條款符合性。

航空發(fā)動機是飛機航行過程中的動力來源，是飛機能夠正常飛行的重要保障，所以航空發(fā)動機的火情分析具有非常重要的價值，本文結(jié)合工業(yè)背景，參考《航空發(fā)動機適航標(biāo)準(zhǔn)》，以某型航空渦輪發(fā)動機的危害性發(fā)動機后果“不可控火情”為例，考慮了故障發(fā)生之間的時序關(guān)系、熱儲備和構(gòu)件之間的依賴關(guān)系，按照建?；静襟E建立“發(fā)動機不可控火情”的動態(tài)故障樹，如圖4所示。發(fā)動機組成單元壽命分布符合指數(shù)規(guī)律，且假設(shè)每個基本事件只有正常和故障兩種狀態(tài)且互相獨立。

在圖4中，橢圓表示基本事件，矩形表示中間事件和頂事件。整個故障樹模型包括14個基本事件、10個中間事件和12個邏輯門，其中包括5個動態(tài)邏輯門。

對動態(tài)故障樹進行定量分析，可以單獨將每個邏輯門轉(zhuǎn)換成對應(yīng)的DTMC模型，然后利用前文所提將所有的DTMC轉(zhuǎn)換成相應(yīng)的PRISM代碼，每段PRISM代碼為一個module模塊，由于PRISM工具自身具有并行組合和弱互模擬的功能，可以對生成的module模塊進行并行組合并進行狀態(tài)約減，生成馬爾可夫狀態(tài)空間，所以可以實現(xiàn)對動態(tài)故障樹的自動化定量計算和屬性驗證。由于篇幅原因，僅以x8、x9、x17和x18組成的故障子樹為例，說明轉(zhuǎn)換的詳細過程。

首先，將x8、x17、x18組成的或門子樹轉(zhuǎn)換成相應(yīng)的DTMC模型DTMC_OR1如下：

然后將其轉(zhuǎn)換成PRISM代碼module_OR1模塊如下：

再分析x8和x9組成的功能相關(guān)門子樹，將x8看作功能相關(guān)門的輸入觸發(fā)事件，當(dāng)x8失效時，會導(dǎo)致事件x9失效，得到其DTMC模型如下：

module or 1_gate

[]（or1=1）&（X17=0）&（X18=0）&（M=0）&（X8=0）->：px17：（x17′=1）&（or1′=2）+px18：（x18′=1）&（or1′=2）;

[]（x17=1）&（X18=0）&（M=0）&（X8=0）->：pM：（M′=1）&（x17′=0）+1-pM：（x8′=1）;

[]（x17=0）&（X18=1）&（M=0）&（X8=0）->：pM：（M′=1）&（x18′=0）+1-pM：（x8′=0）;

endmodule

并利用算法1將其轉(zhuǎn)換成PRISM代碼module_FDEP1模塊如下：

module fdep 1_gate

[]（fdep1=1）&（X8=0）&（X9=0）&（M=0）&（fail=0）->：px8：（x8′=1）&（x9′=1）&（fdep1′=2）

+px9：（x9′=1）&（fdep1′=2）;

[]（x8=1）&（x9=1）&（M=0）&（fail=0）->1：（fail′=1）;

[]（x8=1）&（x9=1）&（M=0）&（fail=0）->pM：（M′=1）&（x9′=0）+1-pM：（fail′=1）;

endmodule

再利用上述方法對整個動態(tài)故障樹進行轉(zhuǎn)換，并將module_OR1和module_FDEP1等所有的代碼模塊輸入到PRISM4.3.1工具中，部分代碼如圖5所示。其中Controller模塊為添加的模塊，控制所有模塊的發(fā)生順序。至此，完成用PRISM語言對動態(tài)故障數(shù)進行整體描述的工作。

最后定義定量分析屬性公式，我們要計算“發(fā)動機不可控火情”的發(fā)生概率，可以定義PCTL公式如下：

P = ？[F<=1000X1=1]

表示1000個小時以內(nèi)，“發(fā)動機不可控火情”故障發(fā)生的概率。將PCTL公式和生成的PRISM代碼輸入工具PRISM4.3.1，可以自動計算出"發(fā)動機不可控火情"故障發(fā)生概率如圖6所示，該單一危害性發(fā)動機后果在1000h范圍內(nèi)，發(fā)生概率為3.8064E-7，小于《航空發(fā)動機適航標(biāo)準(zhǔn)》安全性要求規(guī)定的單個失效引起的危害性發(fā)動機后果的概率 次/發(fā)動機飛行小時，所以該型渦輪發(fā)動機滿足適航條款中提出的安全性要求。若驗證結(jié)果不滿足CCAR33-R2.75安全性要求，則說明發(fā)動機存在安全隱患，需要進一步分析驗證，在設(shè)計階段對其進行重新設(shè)計。

每個底事件失效能夠故障傳播到頂事件失效的概率可以通過定義相應(yīng)的PCTL公式來計算，和或門相連的底事件xi、和與門、備件門、功能相關(guān)們相連的底事件xi，xj以及和優(yōu)先與門、順序強制門相連的底事件xa，xb分別可以通過Property 1、Property 2和屬性Property 3求得底事件失效導(dǎo)致頂事件失效的概率。

Property 1：P=？[（Fxi = 1）&（Fx1=1）]

Property 2：P=？[（Fxi = 1）&（Fxj = 1）&（Fx1=1）]

Property 3：P=？[（[x]b = 0）U（xa = 1））&（Fx1=1）]

取故障屏蔽概率值分別為5E-6和10E-6，每個基本事件發(fā)生導(dǎo)致頂事件發(fā)生概率情況如圖7所示，可以看出隨著故障屏蔽概率的增加，基本事件導(dǎo)致頂事件發(fā)生概率降低，且對越底層的時間影響越大，其中x12、x20為最不可靠構(gòu)件，若系統(tǒng)失效，則先從“電子元器件”和單向活門開始檢修和維護。

5 ? 相關(guān)工作

文獻[10]基于傳統(tǒng)靜態(tài)故障樹分析方法對航空發(fā)動機進行可靠性分析，并未考慮航空發(fā)動機實際情況下發(fā)生故障時故障之間的時序關(guān)系以及航空發(fā)動機的冷熱儲備等特性。本文基于動態(tài)故障樹對航空發(fā)動機危害性后果進行故障建模，更接近航空發(fā)動機發(fā)生故障時的實際情況。文獻[11]提出一種直接分析DFT模塊，得到頂事件發(fā)生概率近似值的方法，并給出了優(yōu)先與門的詳細計算方法。文獻[12]提出一種將動態(tài)邏輯門轉(zhuǎn)為馬爾可夫狀態(tài)轉(zhuǎn)移圖，從而通過狀態(tài)轉(zhuǎn)移圖進行定量和狀態(tài)遷移鏈計算公式進行定性分析的方法。其方法在分析相同長度的狀態(tài)遷移鏈上依然需要大量的人力勞動，同時缺少工具的支持。文獻[13]優(yōu)化了文獻[12]的方法，增加了其他動態(tài)邏輯門的計算方法，其方法雖然降低了定量分析的復(fù)雜性，但同時也降低了分析結(jié)果的精確性。文獻[9]基于概率模型檢測工具PRISM，通過將靜態(tài)邏輯門AND門和OR門轉(zhuǎn)換成PRISM代碼，實現(xiàn)靜態(tài)故障樹自動化定量分析。由于動態(tài)故障樹的復(fù)雜性，將概率模型檢測工具和動態(tài)故障樹定量分析結(jié)合起來的研究很少。本文提出的基于概率模型檢測方法的可靠性分析方法，通過馬爾可夫鏈求解頂事件故障概率確保了頂事件故障概率的精度的同時，增加了PRISM工具的支撐，降低了人力勞動和時間，提高了求解頂事件故障率的效率。

6 ? 結(jié) ? 論

以航空發(fā)動機適航標(biāo)準(zhǔn)為依據(jù)，結(jié)合某型航空渦輪發(fā)動機可靠性分析的工程背景，建立了航空發(fā)動機危害性發(fā)動機后果的可靠性分析框架。將DFT和概率模型檢測相結(jié)合，解決了傳統(tǒng)航空發(fā)動機可靠性分析方法無法對航空發(fā)動機失效的動態(tài)行為進行建模的問題，同時克服了傳統(tǒng)DFT量化分析計算過程復(fù)雜、計算結(jié)果不精確且耗費大量人力和時間的缺點，可以對較大規(guī)模的動態(tài)故障樹進行可靠性分析，為動態(tài)故障樹的定量分析提供了一種新思路。最后通過對某型航空渦輪發(fā)動機危害性發(fā)動機后果“不可控火情”故障進行分析，表明該方法的可行性和正確性。

只針對動態(tài)故障樹頂事件概率計算做了一些研究，對于動態(tài)故障樹其他定量分析如結(jié)構(gòu)重要度分析等尚未做相關(guān)研究，后續(xù)將針對動態(tài)故障樹在重要度分析方面展開研究，完善對動態(tài)故障樹的量化分析理論和實踐研究。

參考文獻

[1] ? ?韓小琦. 航空發(fā)動機控制系統(tǒng)安全性評估研究[D]. 天津： 中國民航大學(xué)，2009.

[2] ? ?李家祥. CCAR-33-R2 航空發(fā)動機適航規(guī)定[S]. 北京：中國民用航空局，2011： 40-43.

[3] ? ?VESELY W E . Fault tree handbook[M]. U.S.Nuclear Regulatory Commission，1981.

[4] ? ?黃志球，徐丙鳳，闞雙龍，等.嵌入式機載軟件安全性分析標(biāo)準(zhǔn)方法及工具研究綜述[J].軟件學(xué)報，2014，25（2）：200-218.

[5] ? ?高順川.動態(tài)故障樹分析方法及其實現(xiàn)[D].長沙：國防科技大學(xué)，2005.

[6] ? ?張曉潔，趙海濤，苗強，等. 基于動態(tài)故障樹的衛(wèi)星系統(tǒng)可靠性分析[J]. 宇航學(xué)報，2009，30（3）：1249-1254.

[7] ? ?DUGAN J B，BAVUSO S J，BOYD M A. Dynamic fault-tree models for fault-tolerant computer systems[J]. IEEE Transactions on reliability，1992，41（3）：363-377.

[8] ? ?李彥鋒. 復(fù)雜系統(tǒng)動態(tài)故障樹分析的新方法及其應(yīng)用研究[D]. 成都：電子科技大學(xué)，2013.

[9] ? ?AMMAR M，HOQUE K A，MOHAMED O A. Formal analysis of fault tree using probabilistic model checking： A solar array case study[C]// Systems Conference. IEEE，2016.

[10] ?喬磊，李艷軍，曹愈遠，等. 航空發(fā)動機CCAR33-R2.75條款適航符合性驗證方法[J]. 航空發(fā)動機，2016，42（1）：99-102.

[11] ?AMARI S，DILL G，HOWALD E. A new approach to solve dynamic fault trees[C].2003 Proceedings Annual Reliability and Maintainability Symposium，2003：374-379.

[12] ?季會媛.動態(tài)故障樹分析方法研究[D].長沙：國防科技大學(xué)，2002.

[13] ?程明華，姚一平.動態(tài)故障樹分析方法在軟、硬件容錯計算機系統(tǒng)中的應(yīng)用[J].航空學(xué)報，2000，21（1）：35-38.