基于符号有向图的飞机故障风险评估方法*

周　虹， 陈志雄

(上海工程技术大学 a. 航空运输学院， b. 汽车工程学院， 上海 201620)

故障风险是客观存在的，对飞机的故障进行风险评估，就是对飞机故障带来的危险进行严重性与可能性分析，然后确定故障的风险水平.

在复杂系统故障风险评估过程中，危害性矩阵[1]和风险优先数等方法[2-5]有着广泛的应用，但这些方法的评估对象往往故障征兆单一，也未考虑其可能后续故障的风险水平.实际飞机系统中故障征兆繁多且相互关联，不同故障征兆相耦合将导致不一样的故障后果，危害程度也可能大不相同，依靠人工分析越来越困难.另外，故障影响从直接影响开始到后续的间接影响，是一个逐渐变化的过程[6]，其最终影响度与系统检测、控制手段有很大关系.若缺乏故障影响评估的详细场景，忽略分析造成故障的传播变化过程，则对故障造成影响的严重度评价结果就缺乏系统性，难以做到客观、准确[7].

针对飞机系统风险评估问题，本文在传统SDG模型[8-9]中引入测试节点，赋予模型中节点可靠性、测试性的多值属性，构建一种新的深层知识模型RSDG，其能够推理故障的传播链，并能系统地分析整个故障传播过程中的风险.

1　RSDG模型定义

定义RSDG模型是有向图G与函数Φ、Ψ的组合(G，Φ、Ψ)，其中各变量解释说明如下：

1) 有向图G为三元组(V，T，E).V={v1，v2，…，vn}，为有限n节点状态变量集，每个vi具有若干状态节点属性，如状态发生偏差的先验概率、状态突变性、故障的安全级别、维修费用及维修时间等；T为可用测试集，测试集是在可使用的测试资源下能获得的测试量，包括设备测量出的物理参数量和系统观察量等，每个ti也具备测量费用等节点属性；有向边集合E=(V×V)∪(V×T)，表示状态变量间、状态变量与测试变量的关系.

2) 函数Φ∶E→{+，-}，其中，Φ(ek)(ek∈E)称为ek支路的符号，用“+”表示正作用(增强)，“-”表示反作用(减弱).

3) 函数Ψ→{+，0，-}为节点对象vi所代表的故障模式或变量的当前状态，Ψ(vi)称为节点vi的符号，即

(1)

2　模型的故障传播与风险分析

RSDG模型继承了SDG中对系统内部深层因果关系的描述，又蕴含了可靠性信息和测试点信息，为风险评估中的三个识别过程提供了支持：

1) 危害识别基于RSDG模型，以已知故障为初因事件，推理出一系列受影响节点，即后果节点.初因事件和后果节点构成故障链，明确故障的发展变化.

2) 后果的可能性识别以故障链中的后果事件为顶事件，建立故障子树，通过故障树定性分析并定量计算该后果事件的发生概率.

3)风险水平识别计算根据RSDG模型的节点属性构造评估指标并计算风险水平.

2.1　基于RSDG模型的故障危害识别

故障危害识别基于正向推理算法对RSDG拓扑结构进行深度优先搜索，确定故障链.故障链是由初因事件和后果事件组成的，初因事件是一个待评估的故障，也是模型中一个或多个已知发生偏差的状态节点；后果事件是一系列受初因事件直接或间接影响的节点.对于当前给定的故障节点，其影响节点是在RSDG模型中的下游变量，将受影响的下游节点按传播顺序排列就构成了事故的发展顺序——故障链.为简化分析，本文作以下故障链传播规定：如果故障发生后不能被监测或观测到，则后果故障才有可能发生；如果故障发生后能够被监测或观测到，则认为该故障的后果影响一定能够通过某些措施加以控制，阻止其进一步传播，故将该节点作为故障链的终止节点.在RSDG模型中，若一个状态节点有与之相关联的测试节点，认为该节点是可监测的，否则认为该节点是不可监测的节点.进行故障危害识别时，获取故障链中的节点集(记为C)的具体步骤如下：

1) 根据初因事件的故障征兆，确定代表初因事件的状态节点集Vroot，选择其中一个节点vf∈Vroot作为当前处理节点；

2) 由vf及其相关连支路的符号推算相邻影响节点vi呈现的状态，并更新C，即

Ψ(vi)=Ψ(vf)φ(evf→vi)
C=C∪{vi}，vi∉C

3) 以vi作为当前故障vf，按深度优先的原则重复步骤2)搜索直接影响节点，直至vf是可监测节点；

4) 更新Vroot=Vroot-{vf}，选择一个未处理的初因事件状态节点vf∈Vroot，重复2)～4)，直至Vroot为空集.

2.2　故障后果可能性识别

后果事件发生的可能性是初因事件发生后的条件概率，由于事件的相依关系，计算事件的条件概率需要获知该事件的发生原因及相关逻辑.事件原因的相关逻辑分析是一种有向图的反向推理过程，将故障链中的后果事件作为顶事件，将顶事件的原因事件按因果关系逐层列出，并根据各原因节点的逻辑制约关系，用“与”、“或”关系等逻辑门有序地将所有原因事件合成到故障树[10]中，直至底事件，这里的底事件是指初因事件或发生概率已知的事件.对于一个后果事件，以此为顶事件Vtop，获取Vtop故障树中的节点集(记为D)的具体步骤为：

1) 确定顶事件对应的状态节点及其符号，选择其中一个节点vf∈Vtop作为当前处理节点；

2) 由vf及其相关连支路的符号推算相邻原因节点vi呈现的状态，并更新D，即

Ψ(vi)=Ψ(vf)φ(evi→vf)
D=D∪{vi} ，vi∉D

3) 以vi作为当前故障vf，按深度优先的原则重复步骤2)搜索直接原因节点，直至vf是底层节点.

对于RSDG中的一个故障节点，原因节点是其上游状态节点，而与测试节点无关.不同控制回路对故障影响不同，闭环控制系统的存在使引起顶事件发生的原因逻辑组合极大地增加，因此，在分析原因节点的逻辑关系时，需要区分RSDG模型上的非闭环节点、正反馈回路和负反馈回路.为描述节点逻辑拓展过程，假定系统RSDG模型(忽略测试节点)如图1所示.

图1　RSDG模型示例Fig.1　Example for RSDG model

各节点描述如下：

1) 非闭环节点.所谓非闭环节点是指不属于任何一个控制回路的节点，在故障树中，它和其他节点相互之间不存在着制约关系，直接由“或门”相连.图1中假定故障为节点F变量超下限，即F(-)，这也是故障树的顶事件.计算得到F的上层关联节点E、G为非闭环节点，则对于F(-)生成故障树如图2所示.

图2　非闭环节点故障树示意图Fig.2　Schematic fault tree in non-closed loop node

2) 正反馈回路节点.控制回路为正反馈时，闭环上的各个支路增益的乘积应为正，其故障传播规律有着突出特点，即一个节点发生偏差，则环路上所有节点将发生偏差.正反馈回路的因果故障树模型中各节点用“或门”展开.设图1中故障为节点K变量超下限，即K(-)，容易看出K的相邻原因节点是一个正反馈回路，则对于K(-)生成故障树如图3所示.

3) 负反馈回路节点.控制回路为负反馈时，闭环上各个支路增益的乘积为负，其传播规律比正反馈复杂.当出现故障，可以由控制回路产生反向的控制作用，使得故障影响被消除，控制回路下游变量仍处于正常值范围.但当故障偏差积累到一定程度时，控制回路饱和失去调节功能，危险会继续扩展，引起回路被控变量异常的三种情况分别为：

① 不可控扰动，即负反馈回路上游节点变量出现过大偏差，控制系统饱和；

② 可控扰动且控制回路不起作用，即负反馈回路上游节点变量出现偏差，且负反馈控制性能降低；

③ 控制回路引起的异常，即负反馈回路上游节点变量没有出现偏差，控制系统自身发生故障.

因此，对于负反馈控制系统中的变量节点，其故障树包括三个子树事件.设图1中故障为节点E变量超下限，即E(-)，而E的相邻原因节点是一个负反馈回路，对于E(-)生成故障子树如图4所示.

根据以上分析可知，在利用RSDG生成故障树时，首先要找出模型中所有的回路，并判断回路类型，用单独一个节点来表示强连通部分，进而得到压缩有向图，再以故障节点为顶事件节点，以顶端事件和边界条件为瞬时样本，反向推理RSDG模型中的节点，最后根据节点类型选取合适的操作符将节点相连，并对其中的回路节点展开因果关系树，具体流程如图5所示.

图4　负反馈回路节点故障子树示意图Fig.4　Schematic node fault subtree in negative feedback loop

图5　基于RSDG故障树生成步骤流程图Fig.5　　　　Flow chart of generation procedure of fault tree based on RSDG

后果事件故障树生成后，依据其中逻辑可以计算条件概率.首先从底事件开始，设当前层包含事件集x={x1，x2，…，xk}，依次向上计算上一层事件T的发生概率，直至得到顶事件T的条件概率，计算式为

(2)

式中：POR(T)为或门事件T发生率；PAND(T)为与门事件T发生率；S为初因事件.

3　风险识别

飞机系统的复杂性决定了飞机故障风险的评估是一个考虑多因素的决策过程，从安全性、经济性和可靠性多个角度，考虑飞机风险度的三个衡量准则为发生度、影响度和难检度，本文按照各因素的隶属关系设置一个多层次的指标体系(如图6所示)，采用灰色决策聚类法[11]来综合评定风险值.

图6　飞机风险评估指标体系Fig.6　Risk assessment index system for aircraft

采用Delphi法对指标体系的重要度进行评判，并借助于层次分析法[12]得到该递阶层次结构中二级指标ui相对于总指标的权重wi，且记组合权重向量为

W=(w1，w2，w3，w4，w5，w6)

基于飞机风险评估指标体系的风险评估步骤如下：

1) 设故障链中包含m个事件，记第i个事件相对于uj的指标值为xij，则构成样本矩阵为

(3)

2) 依据飞机风险评估的实际问题，设有k个评估灰类[13-14]，并确定k个评估灰类的白化权函数fk(xij)，fk(xij)是xij属于第k类评估标准的权.表1列出了四类白化权函数对应的灰数和数学表达，按照经验或某种准则获得函数阈值A、B、C、D.

表1　四类典型的白化权函数Tab.1　Four typical whitening weight functions

3)根据样本矩阵式(3)和表1，综合m个故障对每个uj的评估指标值，计算k类灰色统计数pkj及采用第k类评估标准的灰色权值rkj，即

(4)

(5)

由灰色权值rkj构成的评估权矩阵为

由指标权重向量和灰色评估权矩阵可得风险灰色聚类的综合评估向量为

Ω=(σ1，σ2，…，σk)=WR

(6)

4) 由风险灰色聚类综合评估向量Ω计算故障链的综合风险值，计算表达式为

(7)

4　应用实例

民用飞机气源系统的调节压力偏大，预冷器温度偏高故障是影响航班的一个突出问题，本文以该故障为例进行故障风险评估.

对该故障所属发动机引气系统进行分析，将识别过程变量作为状态节点，确定测试手段作为测试节点，按照因果关系连接状态节点，建立RSDG模型如图7所示，图7中的节点说明如表2所示，模型中节点的概率属性值如表3所示.

图7　发动机引气系统RSDG模型Fig.7　RSDG model for engine bleed air system

节点名称VHPVHPV阀门开度VPRVPRV阀门开度PPRVPRSOV下游压力PPIPS引气系统出口压力TPEG预冷器出口温度TOUT发动机引气出口温度VFAVFAV阀门开度节点名称FPSNR压力传感器性能FPEG预冷器性能FFAVFAV性能T1PRSOV开度测试T2出口压力测试T3出口温度测试

4.1　隔离故障链

该实例的故障包括两个故障征兆：调节压力偏大与预冷器温度偏高，分别对应状态节点PPRV(+)与TPEG(+).由于Ψ(PPRV)φ(ePPRV→TPEG)Ψ(TPEG)=+，故两状态节点相容，表明两状态节点在同一条故障链中.以二者位于上游的PPRV为初因故障状态节点，但PPRV不是可监测节点，该故障可传播至后续节点PPIPS和TPEG，TPEG状态同样无法监测，故障继续传播，直至传播到可监测状态节点TOUT，得到的故障链如图8所示.

表3　状态节点的概率属性Tab.3　Probabilistic attribute of state nodes

图8　故障实例的故障链Fig.8　Fault chain of fault example

4.2　确定故障链中各事件风险指标值

首先需要获取各事件的发生概率，故障链中初因事件的概率即为PPRV(+)的概率属性值，后果节点发生概率则是PPRV(+)发生后的条件概率.计算条件概率需获取后果节点的产生原因及其逻辑.

以引气出口压力高为顶事件，PPIPS=+为瞬间样本值，按照2.2节的算法，PPIPS为非控制节点，其相邻子节点以“或”逻辑展开的故障子树如图9所示.以引气出口温度高为顶事件，TOUT=+为瞬间样本值，TOUT为负反馈回路节点，按照负反馈回路故障子树生成方法最终得到故障树如图10所示.

图9　引气出口压力高故障树Fig.9　Fault tree for high pressure of engine bleed air outlet

图10　引气出口温度高故障树Fig.10　Fault tree for high temperature of engine bleed air outlet

获取故障树后依据式(2)计算出各后果事件发生的条件概率，即

P(F1/S)=P(S)=2.31×10-6

P(F3/S)=P(S)(1-(1-P(F4)(1-P(F5))=3.22×10-12

P(F2/F3)=P(F3/S)=3.22×10-12

根据计算结果和节点属性值确定故障链中各事件风险体系指标值，如表4所示.

表4　各事件的指标参数Tab.4　Index parameters for each event

将评估风险分为极小、较小、中等、较高、极高5个等级，分别对应5、4、3、2、1.通过经验统计构造发生度、影响度、难检度的白化权函数(以灰数表示)如表5所示.组合权重向量为W=(0.22，0.3，0.16，0.17，0.08，0.05).

表5　各指标的白化权函数Tab.5　Whitening weight function of each index

4.3　风险计算

根据表4各事件的指标参数得到样本矩阵为

由表5的白化权函数得到xij属于第k类评估标准的权fk(xij)，并由式(3)计算出灰色统计数和总灰色统计数，进而得到评估权矩阵，即

代入Ω=(σ1，σ2，…，σk)=WR，可得

Ω=(0.11，0.09，0.309，0.442，0.049)

由式(7)得到故障链各事件的综合风险值为

η=3.23

实例故障为较高风险的故障，而用本文提出的方法对飞机气源系统共数十种故障进行风险度分析，所得结果也为风险较高故障，风险评价结果与航空企业实际情况相符.

5　结　论

针对飞机故障模式多样、难以量化的问题，本文提出了基于RSDG故障的风险评估方法，推导出飞机故障导致的故障链，并以故障链为分析对象，对故障链中各事件序列的影响和可能性进行分析，从定量的角度对故障风险进行辨识、分析、量化.与其他风险评估方法相比，该方法能够有效地弥补传统故障风险评估方法中RPN因子含义模糊、评价不一致的缺陷，使风险评估更加详细准确.