航空发动机适航规定规范化的安全性建模方法是什么？

针对某型航空发动机控制系统中推力失控的问题，提出了一种标准化的安全建模方法。首先给出了航空发动机推力控制系统的功能和组成，分析了推力控制事件丢失的故障原因，构建了描述航空发动机推力控制功能的功能框图。

其次，利用贝叶斯网络节点来表示系统组件，考虑组件之间的因果关系和条件概率，提出了一种基于功能框图自动生成贝叶斯网络的建模方法，并提出了基于群树算法的贝叶斯算法。网络概率推理算法。最后给出了一个工程案例，并与故障树分析方法进行了比较，避免了传统安全分析模型过于依赖人员经验的问题，适用于具有多态特征的高度集成、复杂的航空发动机系统故障。

安全分析不仅是飞机研制过程中开展安全设计、提高飞机系统安全性的主要手段，也是在研制过程中按照适航标准对民用飞机系统进行符合性验证和适航审定的重要手段。认证过程。《航空发动机适航条例》第33.28条要求发动机控制系统设计和建造过程中失去推力控制（LOTC）事件的发生率与预期应用的安全目标一致，保证发动机控制系统部件的顺序。点故障不会导致危险的发动机后果。

在美国联邦航空局 (FAA) 咨询通告文件 AC 33.28-3 中，LOTC 是指涡轮（活塞）发动机上的控制系统出现故障，导致无法获得至少 90%额定推力或调整后推力的正常运行条件 (85%)，并且需要 LOTC 分析作为系统安全分析的一部分。AC 33.28-3 规定，对于涡轮发动机，发动机电子控制系统（EECS）每 100,000 发动机飞行小时不应引起超过 1 次 LOTC 事件；对于 Part 23 类别 I、II 和 III 对于活塞发动机，EECS 可接受水平的上限是每百万发动机飞行小时 45 飞行小时（或每 22222 发动机飞行小时 1 飞行）的 LOTC 率。为了满足条款的要求，

LOTC事件涉及发动机控制系统等，其部件具有多种不同的故障模式，表现出典型的多态特征。传统的安全分析方法（如故障树、可靠性框图）是典型的静态二进制方法，不能完全适用于具有多态故障特征的系统；虽然马尔可夫模型可以描述故障的多态性，但极易出现状态空间爆炸的问题。为了克服上述传统方法的不足，近年来贝叶斯网络被广泛应用于复杂系统的可靠性和安全性评估中。贝叶斯网络在表示多状态单元和系统以及不确定概率推理方面具有明显优势。

综上所述故障树分析法的基本步骤，目前的安全分析存在以下不足：（1）传统的安全分析方法多基于二态性假设，贝叶斯网络建模方法多基于故障树构建。构建的故障树映射到一个贝叶斯网络。此时贝叶斯网络的节点仍然是二态的；（2）目前安全分析模型的构建过于依赖分析师的经验，没有针对系统安全建模故障树分析法的基本步骤，一个标准化的提出了安全建模方法；（3）现有的安全分析方法主要是计算LOTC发生的概率，对于LOTC事件发生时各组成部分的发生概率研究较少。