基于贝叶斯网络和共因失效的飞机电源系统可靠性分析

孔祥芬，王杰，张兆民

中国民航大学 航空工程学院，天津 300300

飞机电源系统作为机载用电设备获取直流电和交流电的直接来源，其可靠性是飞行安全的重要保证[1-2]。近年来，中国正在实现由民航大国向民航强国的跨越。高质量发展作为建设新时代民航强国的本质，安全可靠是其根本特征[3]，这对飞机电源系统提出了更高的可靠性要求。从飞机电源系统的维修数据出发，结合设计参数对飞机电源系统进行可靠性分析，深度挖掘使用过程中存在的可靠性问题，是提升飞机电源系统可靠性和深度维修能力的理论依据。

飞机电源系统是一个复杂的冗余系统。系统中的冗余部件往往具有相同的运行环境、相同的结构等，从而造成系统中多个部件由于共同的原因同时发生故障，即共因失效(Common Cause Failure，CCF)。系统发生共因失效的来源可分为两大类。一类来自系统外部的冲击，如系统所处环境的变化(如温度、压力、振动等)、突发事件(如闪电、雷击等)等等。另一类来自系统内部的冲击，如系统中一个部件的故障导致其他部件的故障或是导致其他部件工作环境恶化间接引起其他部件故障等。共因失效的存在使得系统中部件失效之间相互独立的假设不再成立。

目前，在飞机电源系统可靠性方面的研究，国内外学者往往忽略了共因失效在飞机电源系统可靠性分析中的影响。蔡林等[4]通过求解最小路集的方法识别系统的薄弱环节，并对最小路集不交化处理，最后结合配电系统部件的原始可靠性数据得出大型飞机供配电系统的可靠性指标；Xu等[5]提出一种基于层次分析的多电飞机电力系统可靠性建模与评估方法，从组件级、子系统级和系统级3个层次分别对电力电子组件故障率、子系统可靠性以及系统可靠性进行建模分析；陈源[6]采用故障模式与危害性分析来识别导致系统不可靠的部件的故障模式，确定其危害性，为安排改进措施的先后顺序提供依据；吕弘等[7]提出基于模式重要度的系统可靠性评估方法，结合蒙特卡罗方法的优势和系统本身结构特点，相比单纯采用蒙特卡罗仿真方法，减少了抽样次数，提高了计算效率。然而，不考虑共因失效在飞机电源系统可靠性分析中的影响，对飞机电源系统的可靠性进行定性分析和定量计算，忽略了系统内部部件故障的相关性，使得计算结果与实际运行产生较大的偏差。

共因失效系统可靠性的研究，主要包括构建系统的可靠性模型和定量计算共因失效部件的失效率2个方面。在构建系统的可靠性模型方面，王学敏等[8]在系统可靠性框图的基础上推导得到包含共因失效的系统可靠度表达式；唐圣金等[9]采用故障树分析(Fault Tree Analysis，FTA)的方法定量评估常用多光纤陀螺冗余系统的可靠性，为共因失效系统可靠性分析提供了理论基础。然而，可靠性框图和故障树分析的方法不能很好地解决复杂系统的建模问题，当系统共因失效部件数量增多或系统复杂程度高时，系统中共因失效基本事件会大量增加，导致故障树或可靠性框图过于复杂，难以求解。贝叶斯网络[10-12]能够很好地表示变量的不确定性和相关性，近年来，在共因失效系统可靠性分析领域得到了广泛的应用。将共因失效系统的可靠性框图或者故障树分析模型转化为贝叶斯网络，不仅可以容易地处理共因失效问题，并且简化了系统可靠性指标的计算与分析。

对于共因失效部件失效率的定量计算研究，相关学者先后提出了多个参数模型，主要有β因子模型[13]、α因子模型[14-15]、多希腊字母(Multiple Greek Letter, MGL)模型[16-17]等。β因子模型对共因失效的原因划分单一，如在3个部件并联的共因失效系统中，β因子模型假设只存在部件单独失效和3个部件同时共因失效，而部件两两发生共因失效的概率为0。导致在计算三阶或三阶以上冗余系统共因失效概率时，计算结果存在较大的偏差。多希腊字母模型在本质上是β因子模型的细化，对于高阶共因失效计算仍有一定的困难。α因子模型能够区分不同冗余结构下部件独立失效与共因失效的概率，在高阶复杂系统的共因失效计算上具有一定的优势[18]。

综上所述，现有研究并未考虑共因失效因素在飞机电源系统可靠性分析中的影响。因此，本文提出将贝叶斯网络应用到考虑共因失效的飞机电源系统可靠性建模分析中。建立考虑共因失效的飞机电源系统贝叶斯网络，采用α因子模型对共因失效部件的失效率进行分解计算，并对飞机电源系统及其共因失效子系统进行可靠性分析，最后与不考虑共因失效的情况下得到的可靠度分析结果进行对比。

1 贝叶斯网络与共因失效

1.1 贝叶斯网络

1.1.1 贝叶斯网络基本概念

贝叶斯网络是一个有向无环图(Directed Acyclic Graph，DAG)[19]，是概率和图论相结合的产物。它由节点和有向边组构成，如图1所示，节点A、B、C和D表示具有0和1两个状态的随机变量。节点间的有向边代表变量之间的因果关系，由父节点A、B指向子节点C、D，且通过条件概率分布表达节点之间的定量关系。

图1 一个简单的贝叶斯网络Fig.1 A simple Bayesian network

1.1.2 故障树向贝叶斯网络的转换

故障树分析模型以“系统失效”为顶事件，自上而下细分导致“系统失效”的原因，直至底事件。贝叶斯网络中的各个节点对应故障树中的各种事件，不同的是，贝叶斯网络中的根节点在其顶端，与故障树模型方向相反，并用条件概率表代替故障树中逻辑门表示的因果关系[20]。

以X1、X2、X33个部件组成的系统为例，其中X1与X2并联后再与X3串联。根据系统结构构建的故障树如图2(a)所示，图中S为顶事件“系统故障”，Z为一个中间事件，根据上述方法，构建系统的贝叶斯网络如图2(b)所示，其中条件概率表的0和1分别表示正常和故障2种状态。

图2 故障树向贝叶斯网络的转换Fig.2 Transformation of fault tree to Bayesian network

1.2 共因失效

1.2.1 共因失效基本概念

共因失效是指系统中2个或多个部件在某种共同原因的作用下，同一时间或者很短的时间间隔内发生失效，是冗余系统失效相关的重要原因之一。

1.2.2 考虑共因失效的系统贝叶斯网络

建立具有共因失效的系统贝叶斯网络，关键在于将共因失效部件分解成串联的独立失效子部件和共因失效子部件，也就是把共因部件的故障率分解成独立失效部分故障率和共因失效部分故障率。再分析串联的2个子部件与系统中的其他部件之间的关系。下面以3个部件组成的并联系统为例说明共因失效系统的贝叶斯模型构建。

对于3个部件D1、D2、D3组成的并联系统，当考虑D1、D2、D3的共因失效时，假设部件具有正常和故障2种状态，分别用0、1来表示。构建系统共因失效的贝叶斯模网络模型，如图3所示，由于篇幅原因，条件概率表省去。图中d1、d2分别为部件D1、D2的独立失效因子，d12、d13、d23分别为两两共因失效因子，d123为系统3个部件共同失效因子。每个部件的失效均分解成1个独立失效因子、2个两两共因失效因子和1个全部部件共因失效因子。

图3 考虑共因失效3个部件并联系统的BN模型Fig.3 BN model of three-component parallel system based on common cause failures

2 飞机电源系统可靠性分析

2.1 飞机电源系统及其故障树模型

以B737-800为例，如图4所示。飞机电源系统包括的部件有：左右2个整体驱动发电机(Integrated Drive Generator，IDG)、1个辅助动力装置(Auxiliary Power Unit，APU)起动机发电机、3个 变压整流器组件(Transformer Rectifier Unit，TRU)、1个静止变流器、1个主电瓶、1个辅助电瓶以及继电器等控制组件[21]。

将系统中的各部件控制组件的失效视为该部件与其控制组件构成的子系统失效处理。如电源系统中左右发电机跳开关GCB1的失效视为部件IDG1和GCB1构成的IDG1子系统失效处理，进行建模与数据统计。根据飞机电源系统的组成结构，建立以“飞机电源系统失效”为顶事件的故障树分析模型。如图5所示，交流电源失效和直流电源失效通过或门连接构成飞机电源系统失效，交流电源失效和直流电源失效由各自的主系统失效和备用系统失效通过与门连接构成。主交流电源系统由IDG1(C1)、IDG2(C2)和APU起动发电机(C3)并联组成，备用交流电源系统由电瓶子系统和静止变流器(C7)串联组成，主直流电源系统由3个并联的变压整流器(C4，C5，C6)和主交流电源串联组成，备用直流电源系统由主电瓶(C8)和辅助电瓶(C9)并联组成。

图4 飞机电源系统Fig.4 Aircraft power system

图5 飞机电源系统失效FTA模型Fig.5 FTA model of aircraft power system failures

统计某航空公司50余架B737-800飞机2015—2018这3年中电源系统中各部件历次故障数据，并参考可靠性设计参数，以指数分布为模型得到飞机电源系统各部件的故障率数据，如表1所示。

表1 飞机电源系统各部件故障率Table 1 Failure rates of aircraft power system components

2.2 共因失效组的确定及其故障率的分解

飞机电源系统中存在故障隔离装置，以防止系统中故障的蔓延。因此，本文重点考虑飞机电源系统中存在的第一类共因失效，即系统外部环境引起的共因失效。

共因失效组的确定是共因失效系统可靠性分析的基础。系统共因失效组的确定，应遵循部件功能的相同性或相关性原则和工作环境的相同性原则。飞机电源系统中的3个变压整流器(C4，C5，C6)之间和2个电瓶(C8，C9)之间具有相同的功能和结构，同时都在飞机的电子设备舱中工作，也具有相同的工作环境，在实际工作状态下存在发生共因失效的概率。因此，本文选取变压整流器(C4，C5，C6)和电瓶(C8，C9)为飞机电源系统中的2个共因失效组进行研究。

对2个共因失效组中的共因失效部件进行分解。如图6所示，每个电瓶的失效分解成该电瓶独立失效因子J8/J9、电瓶共因失效因子J89；每个变压整流器的失效分解成该变压整流器的独立失效因子J4/J5/J6、两两共因失效因子J45/J56/J46以及全部压整流器共因失效因子J456。

(1)

对选取的2个共因失效组中共因失效部件的故障率分解，以C4和C8为例：

(2)

(3)

根据采集的50余架B737-800飞机的电源系统历次故障数据统计分析，计算共因失效组中各αk的取值，进而计算2个共因失效组中部件的独立失效率和共因失效率。结果如表2所示。

图6 共因失效部件的分解Fig.6 Decomposition of common cause failure components

表2 共因失效部件故障率分解Table 2 Failure rate decomposition of common cause failure components

2.3 考虑共因失效的飞机电源系统贝叶斯网络

2.3.1 模型构建

根据图5建立的飞机电源系统故障树分析模型，考虑系统中冗余部件之间的共因失效，建立飞机电源系统的贝叶斯模型如图7所示，由于篇幅关系，将节点的条件概率表略去。其中Z1～Z4和S为与门节点，C1～C9、S1和S2为或门节点。

图7 考虑共因失效的飞机电源系统贝叶斯网络模型Fig.7 Bayesian network model of aircraft power system based on common cause failures

2.3.2 共因失效子系统可靠性分析

根据选取的2个共因失效组，对具有共因失效的子系统Y2和Y3进行可靠性分析。主电瓶C8和辅助电瓶C9构成备用直流电源系统(即Y2子系统)。2个电瓶有两个独立失效因子和一个共因失效因子。每个电瓶的失效由一个独立失效因子和一个共因失效因子串联确定，构建子系统共因失效的贝叶斯网络，如图8所示。

图8 电瓶共因失效组贝叶斯网络模型Fig.8 Bayesian network model of battery common cause failure groups

通过贝叶斯网络的计算得到子系统可靠度表达式为

RY2=2RJ8RJ89-RJ9RJ8RJ89

如果不考虑共因失效，电瓶的可靠度为RC8=RC9=e-λC8t=e-λC9t，t为飞行时间,故子系统可靠度表达式为

R′Y2=1-[(1-RC8)(1-RC9)]

3个并联的TRU(C4，C5，C6)构成的Y3子系统是主直流电源系统的一部分。3个TRU分别有3个独立失效因子，3个两两共因失效因子和一个3部件共同的共因失效因子。每个部件的失效由独立失效因子和3个共因失效因子串联确定。构建考虑共因失效的子系统贝叶斯网络，如图9所示。

图9 TRU共因失效组贝叶斯网络模型Fig.9 Bayesian network model of TRU common cause failure groups

通过贝叶斯网络计算得到子系统可靠度的表达式为

考虑共因失效，TRU的可靠度为RC4=RC5=RC6=e-λC4t=e-λC5t=e-λC6t。故子系统的可靠度表达式为

R′Y3=1-[(1-RC4)(1-RC5)(1-RC6)]

令t=1 000 h,计算2个共因失效组中效部件和子系统的可靠度。如表3所示，从子系统可靠度数据看，考虑共因失效得到的子系统可靠度比不考虑共因失效得到的子系统可靠度低。

不考虑共因失效因素时，C8和C9并联组成的Y2子系统可靠度R′Y2=0.999 994 63，相比于C8或C9单独工作的可靠度RC8=0.997 682 69提升了2.31×10-3；而考虑共因失效因素时，C8和C9并联组成的Y2子系统可靠度RY2=0.999 755 71，相比于C8或C9单独工作的可靠度RC8=0.997 682 69仅提升了2.07×10-3，提升效果减少了10.39%。同理对于Y3子系统，在考虑共因失效因素时，这样的提升效果减少了5.23%。

因此，子系统中的冗余设计虽然提升了子系统的可靠性，但同时也增加了共因失效发生的概率。如果不考虑子系统的共因失效因素，往往会高估其可靠度，对系统的可靠性分析结果造成一定的误差。

表3 t=1 000 h时共因失效组中部件和子系统可靠度计算Table 3 Reliability computations of components and subsystems in common cause failure groups (t=1 000 h)

2.3.3 飞机电源系统可靠性分析

考虑到飞机电源系统中零部件定期的检查与更换，取t=1 100 h。考虑冗余部件之间的共因失效因素，分别通过贝叶斯网络模型和蒙特卡罗仿真得到飞机电源系统可靠度RS(t)在0～t时间内的变化曲线。如图10所示，通过贝叶斯网络得到的结果与蒙特卡罗仿真结果基本一致。

如果不考虑飞机电源系统中冗余部件之间的共因失效因素，以C1～C9为根节点构建飞机电源系的贝叶斯网络，如图11所示。

同样取t=1 100 h，通过贝叶斯网络得到飞机电源系统可靠度在0～t时间内的变化曲线，并与考虑共因失效因素时得到的飞机电源系统可靠度变化曲线对比。如图12所示，随着飞行时间的增加，系统可靠度随之下降。考虑共因失效因素时，得到的飞机电源系统的可靠度RS(t)要低于不考虑共因失效因素时得到的飞机电源系统的可靠度R′S(t)。

图10 贝叶斯网络模型与蒙特卡罗仿真Fig.10 Bayesian network model and Monte Carlo simulation

图11 不考虑共因失效的飞机电源系统贝叶斯网络模型Fig.11 Bayesian network model of aircraft power system without considering common cause failures

同时，对考虑共因失效和不考虑共因失效得到的系统可靠度之间的差值进行计算，并作出随飞行时间的变化曲线。

如图13所示，在400 h飞行时间，考虑共因失效的系统可靠度比不考虑共因失效的系统可靠度低1.14×10-7，已经达到了10-7的数量级；在1 100 h时间，考虑共因失效的系统可靠度比不考虑共因失效的系统可靠度低1.06×10-6，已经达到了10-6的数量级。

对于民用飞机而言，其事故率约在10-7/h左右，而飞机功能系统级失效率的数量级为10-6。因此，共因失效因素在飞机电源系统可靠性分析中的影响不可忽略。

图12 飞机电源系统可靠度对比Fig.12 Reliability comparison of aircraft power system

图13 考虑与不考虑共因失效飞机电源系统可靠度之间的差值Fig.13 Reliability differences of aircraft power system with and without considering common cause failures

3 结 论

本文运用贝叶斯网络对飞机电源系统共因失效及可靠性进行了研究，得出以下结论。

1) 结合飞机电源系统的组成结构与工作环境，确定飞机电源系统中冗余部件之间存在的共因失效组。考虑共因失效因素对飞机电源系统进行可靠性建模分析，得到的可靠性分析结果与实际情况更为接近。

2) 对飞机电源系统中的共因失效子系统进行可靠性分析，冗余部件之间存在的共因失效因素降低了子系统中冗余设计的可靠性提升效果。如果不考虑冗余部件之间的共因失效因素，往往会高估共因失效子系统的可靠度，进而对系统的可靠性分析结果造成一定的误差。

3) 对飞机电源系统进行可靠性分析，考虑冗余部件之间的共因失效因素时，其可靠性分析结果相对于不考虑共因失效因素时具有较低的可靠度。在一定飞行时间内，考虑与不考虑共因失效因素得到的飞机电源系统可靠度差值随飞行小时增加而增加，且在1 100 h飞行时间，该差值达到10-6的数量级。