SAE ARP5107C-2018
电子发动机控制系统的限时调度(TLD)分析指南
Guidelines for Time-Limited-Dispatch (TLD) Analysis for Electronic Engine Control Systems
- 标准号
- SAE ARP5107C-2018
- 发布
- 2018年
- 发布单位
- SAE - SAE International
- 当前最新
- SAE ARP5107C-2018
- 适用范围
- “SAE 航空航天推荐实践 (ARP) 提供了方法和方法,用于进行和记录与限时调度 (TLD) 应用到全权数字发动机控制 (FADEC) 系统推力控制可靠性相关的分析。 TLD 概念是一种允许容错系统在系统冗余元件中出现故障的情况下运行预定长度的时间@,然后才需要修复。本文件包括 TLD@ 结构的开发背景TLD 是在当前一代商业运输@上开发和实施的,以及用于验证 TLD 在当今配备 FADEC 的飞机上的应用的分析方法。尽管本文件特定于推力控制丧失的 TLD 分析(针对 FADEC 系统) @ 本文件中讨论的技术和流程被认为适用于其他 FADEC 系统故障影响或其他系统@,例如:推力反向器@和螺旋桨控制系统@以及超速保护系统。目的 本文件的目的是为全权数字发动机控制 (FADEC) 系统的限时调度 (TLD) 审批提供指导。 TLD 解决了已检测到的故障(通过故障检测功能@工作组@或维护活动)但尚未修复的持续运行安全问题。在这方面,术语“TLD”的使用指的是 FADEC 发动机控制系统应允许在出现故障的情况下运行一段指定的时间,之后应进行适当的维修以使系统恢复正常。 “完整”配置。就本文件而言,术语“完全”用于表示 FADEC 系统不存在影响其推力失控 (LOTC) 故障率的故障,如第 5 节中所定义。因此@“” TLD 的此应用所需的维修仅限于那些影响 LOTC 速率@的故障,以及不影响 LOTC 速率@的故障,例如用于发动机状态监测@的传感器故障,这些指南未涉及这些故障。如果油压、油温和废气温度 (EGT) 等可能影响 LOTC 速率@的传感器是发动机 FADEC 系统的一部分,则这些传感器应包含在分析中。本文件主要涉及由发动机控制系统故障和/或故障引起的 LOTC 事件。任何其他原因引起的发动机故障不是本指南的主题@,但应识别可能影响发动机外部主最低设备清单活动的故障。此外,本文件无意为 FADEC 系统认证或设计制定具体要求。与认证有关的具体要求应与相应的认证机构协调。修订摘要 修订摘要 AA 在确定时间加权平均 (TWA) 方程@的分数系数方面做出了显着改进,这是本文中描述的用于估计系统@平均 LOTC 速率的第一种方法,并在7.1.新系数使 TWA 方法能够产生更加平衡的解决方案,该解决方案更接近马尔可夫模型解决方案,并且使用起来更简单。本修订版中描述的马尔可夫建模 (MM) 分析方法的描述发生了很大变化。自从 1997 年 6 月最初发布以来,该 ARP 的作者对 MM 方法有了更好的理解,因为它适用于 FADEC 以及其他系统。本文档的独特之处在于将 MM 描述为开环或闭环模型。开环和闭环马尔可夫模型的命名法是本文档所独有的。作者没有在其他地方看到过该术语,并且本文无意为该术语的使用设定任何类型的标准。闭环 MM 方法的发展使得不必求解一组微分方程即可获得系统整体平均故障率的稳态解,而是只需求解一组代数方程即可获得解。这在原始版本@中有所暗示,因为该版本中的MM是通过对微分方程进行积分来求解的,直到获得稳态解@,其中所有时间导数基本上为零。然而@并没有特别指出导数应在开始时设置为零@并求解所得的代数方程组以获得状态概率的值。此外,没有认识到状态概率@所获得的值取决于从完全失败@失去推力控制(LOTC)状态到完全状态@的反馈率值不影响系统的故障率。因此@尽管原始版本提供了一些将反馈或修复率从完全失败的LOTC状态设置为完整状态到统一(即@ 1.0)@的合理性,但该反馈率的值并不重要,并且合理性将反馈率设置为统一可能会产生误导。正如新材料所示,该解决方案独立于所有状态概率以及完全失败到完全反馈率的值。该解决方案仅取决于模型的各种状态之间的故障率以及用于短时(ST)@长时间(LT)状态@以及如果建模@任何无调度(ND)故障状态的修复率。经验还表明,当各种故障状态的修复率比进入和脱离这些故障状态的故障率频繁得多时,模拟代表两个或多个故障的状态对 FADEC 系统的总体 LOTC 率几乎没有影响。在这种情况下@构建“单一状态模型”?通常就足够了。在 7.2.2.3 中描述的单一状态模型中,仅对单一故障状态进行建模,并且仅对那些导致控制系统从这些单一故障状态进入 LOTC 状态的附加单一故障进行建模。添加额外的多个故障状态只会对答案产生少量@即@小于5%。这在附录 G 中有更详细的讨论。与上面类似@术语“单一状态模型”的使用是本文档@所独有的,无意通过使用此描述性术语来设定任何术语标准。一些审阅过本文档的人评论说,单状态模型这一术语的使用具有误导性,因为单状态模型实际上对导致 LOTC 状态的所有双重故障进行了建模。这是对的。然而,选择术语是因为模型明确地仅显示单个故障状态。导致 LOTC 事件的所有双重故障都包含在 LOTC 故障状态@中,并且不会对不导致 LOTC 事件的双重故障进行建模。本文件的修订版 A 与 PS-ANE100-2001-1993-33.28TLD-R1@ 配备全权数字发动机控制 (FADEC) 系统的发动机限时调度 (TLD) 政策的 R1 修订版保持一致。对被视为发动机控制系统一部分并应在 LOTC 分析中体现的要素的讨论(见 6.5)。修订版 B 第 6.4@ 节的摘要,涉及对被视为 FADEC 系统一部分的项目的建议@ 已得到显着扩展,以提供有关该主题的更多指导。添加了第 6.6@ 节“关于在用 LOTC 报告@的建议”。系统的功能@系统中选择使用的元素@以及设计实现都取决于整体系统架构。此外,发动机和飞机控制系统之间的集成也在不断变化。所有这些因素都会影响 FADEC 系统中元素的选择。因此,@本节中包含的信息并不提供绝对答案@,而是旨在提供一种方法,用于选择分析中应包括飞机/发动机控制系统的哪些元件。该部分中添加的表 1 说明了如何考虑推力或功率控制系统的所有元件@与元件相关的功能和故障模式@,然后评估它是否属于图 3B 中所示的 TLD 限制范围的一部分。该表还通过识别图 3B 的适用区域显示了元件故障最可能的结果。修订版 C 总结 由于发动机控制集成到机身系统中的复杂性增加,以及飞机和发动机功能相互依赖的趋势,发动机控制 TLD 分析已经发展到解决不纯粹是发动机控制功能的功能。在引入新的 EASA 第 21 部分关于运行适宜性数据 (OSD) 的要求之后,EASA 发布了 CM-MMEL-001,以澄清飞机申请人应如何对已受 MMEL 约束的飞机申请人应如何遵守 MMEL 的 OSD 认证基础TLD 分析。引用的 CM 解决了 EASA 将机身系统纳入发动机控制 TLD 分析的问题。此包含的目的是以与发动机控制相关项目类似的方式解决飞机的调度能力(例如驾驶舱中相同的 FADEC 短期警报消息)。 SAE E-36 电子发动机控制委员会和 EASA 已针对该版本的 ARP5107 进行了调整活动。添加第 6.2 节是为了澄清哪些功能仅与发动机相关@以及哪些是 TLD 分析中其他机身系统的一部分。应用领域 本文件适用于多引擎飞机上的飞机发动机的容错(或冗余)FADEC 控制系统。 TLD 解决了多引擎飞机上使用的 FADEC 控制的飞机发动机允许的资源退化水平,同时仍满足必要的适航要求。 (需要注意的是,提交 TLD 分析并不是对采用 FADEC 系统的发动机进行认证的要求。该分析是证实并获得批准在有限的时间内调度和运行 FADEC 系统(有故障)的一种手段虽然本文件特别适用于多引擎飞机上的 FADEC 系统,但本文提出的关于实现总体平均系统故障率的方法也可以应用于其他系统。