ZUVERLÄSSIGKEITSANALYSE EINER ELEKTRISCHENARCHITEKTUR ZUR INTEGRATION MULTIFUNKTIONALER

BRENNSTOFFZELLEN IN MODERNE VERKEHRSFLUGZEUGE

A. Lücken1, T. Kut2, H. Rothkranz3, S. Dickmann2, D. Schulz1

1,2Helmut-Schmidt-Universität, Universität der Bundeswehr Hamburg,1Professur für Elektrische Energiesysteme, 2Professur für Grundlagen der Elektrotechnik,

1,2Holstenhofweg 85, 22043 Hamburg, Deutschland,3Zentrum für Angewandte Luftfahrtforschung GmbH,3Flughafenstraße 1-3, 22335 Hamburg, Deutschland

ZUSAMMENFASSUNGNeben der Steigerung der Systemeffizienz hat die Einhaltung der hohen Sicherheitsstandards oberste Priorität bei der Ent-wicklung moderner Verkehrsflugzeuge. Durch die Umsetzung des More-Electric-Aircraft Konzepts wird zukünftig ein hoherGrad an elektrischen Flugzeugsystemkomponenten vorherrschen. In diesem Zusammenhang kann die Substitution derherkömmlichen, kerosinbetriebenen Gasturbine (Hilfstriebwerk) durch ein multifunktionales Brennstoffzellensystem eineVariante sein, moderne Verkehrsflugzeuge effizienter und damit umweltverträglicher sowie kostenkünstiger zu betreiben.Das breite Aufgabenspektrum dieses Systems und die daraus resultierenden behördlichen Sicherheitsanforderungen ma-chen eine Zuverlässigkeitsanalyse bereits in der Entwicklungsphase notwendig. Der elektrische Anteil am multifunktionalenBrennstoffzellensystem stellt einen wesentlichen Beitrag am Gesamtsystem dar und wird innerhalb der vorgelegten Arbeitanalysiert. Es wird die Notwendigkeit einer Zuverlässigkeitsanaylse beschrieben und anhand bereits entwickelter elektri-scher Anschlussarchitekturen auf die Einhaltung der hohen Sicherheitsanforderung angewendet. Die Ergebnisse werdenbewertet und auf mögliche Optimierungen hingewiesen. Abschließend werden eine erweiterte elektrische Architektur vor-gestellt und die daraus resultierenden Auswirkungen auf die Zuverlässigkeitsanalyse dargestellt.

SCHLAGWORTEZuverlässigkeit, Brennstoffzelle, More-Electric-Aircraft,

1 Einleitung

Die Luftfahrtindustrie erfreut sich seit langem steigenderFluggastzahlen sowie Frachtraten. Um diesen Trend auf-recht zu erhalten müssen Fluglinien vorausschauend inmoderne, sparsame und umweltverträgliche Flugzeuge in-vestieren, die bei einem möglichst hohen Auslastungsgradgeringe Betriebskosten garantieren. Die Flugzeugherstellerversuchen ihrerseits diesen Ansprüchen durch immer effi-zientere Modelle gerecht zu werden. Ein Ansatz um dieseZiele zu erreichen ist die verstärkte Umsetzung des More-Electric-Aircraft (MEA) Konzepts, bei dem hydraulische, me-chanische sowie pneumatische Komponenten durch elek-trisch betriebene Systeme substituiert werden [1]. Durchden Wegfall schwerer hydraulischer und pneumatischerSystemkomponenten lässt sich zum einen die Effizienz stei-gern und zum anderen eine Gewichtsreduzierung erzielen.Die Erhöhung der elektrischen Leistung hat zur Folge, dassdas Gewicht bzw. die Verluste der herkömmlichen Bordnet-ze mit 115 Vac Spannung und 230 Vac Spannung (neuereModelle) ansteigt. Um Gewicht zu sparen, könnten zukünftigGleichspannungsübertragungen (engl. High Voltage DirectCurrent, HVDC) mit einem Spannungsniveau von 540 Vdcbzw. ±270 Vdc eingesetzt werden [2],[3]. Im Zuge der steti-gen Elektrifizierung moderner Verkehrsflugzeuge ist die In-tegration einer Brennstoffzelle als Hilfstriebwerk (engl. Au-xiliary Power Unit, APU) zum Ersatz der herkömmlich ke-rosinbetriebenen Gasturbine eine gute Möglichkeit zur lo-kal schadstofffreien und hocheffizienten Energieversorgung.Durch die Unabhängigkeit vom Flugkerosin kann das Brenn-stoffzellensystem zukünftig ebenfalls die zur Notstromver-sorgung benötigte Staudruckturbine (engl. Ram Air Turbine,RAT) ersetzen. Das sauerstoffabgereicherte Kathodenab-

gas der Brennstoffzelle wird als Inertgas in die Kerosintanksgeleitet, um dort den Sauerstoffanteil zu reduzieren unddadurch die Entstehung eines entzündlichen Gasgemischszu verhindern. Diese Mehrfachnutzung technischer Eigen-schaften erlaubt einen multifunktionalen Einsatz des Brenn-stoffzellensystems (engl. Multi Functional Fuel Cell System,MFFCS) [4]. Im Leuchtturmprojekt „Kabinentechnologie undmultifunktionale Brennstoffzelle“ beschäftigen sich die Pro-fessuren „Elektrische Energiesysteme“ und „Grundlagen derElektrotechnik“ der Helmut-Schmidt-Universität gemeinsammit dem Zentrum für Angewandte Luftfahrtforschung (ZAL)mit der Integration von hocheffizienten Brennstoffzellensys-temen in modernen Verkehrsflugzeugen. Bild 1 zeigt sche-matisch die elektrische Integration des MFFCSs an das Ver-teilzentrum (engl. Primary Electrical Power Distribution Cen-ter, PEPDC).

ENG 1 ENG 2

HVDC 1 HVDC 2Emergency

MFFCS

GEN4GEN3GEN2GEN1

PEPDC

Bild 1: Schematische Darstellung einer möglichenelektrischen Integration eines MFFCSs an dasPEPDC.

Deutscher Luft- und Raumfahrtkongress 2013DocumentID: 301275

1

Beide Flugzeugtriebwerke (engl. Engine, ENG) könnenelektrisch gestartet werden und verfügen über zwei Gene-ratoren (GEN) zur elektrischen Versorgung des Verkehrs-flugzeugs. Das Einhalten der hohen Sicherheitsstandardszur Zuverlässigkeit besitzt bei der Entwicklung eines MFF-CS oberste Priorität. Eine redundante Auslegung ist auf-grund der behördlichen Sicherheitsvorgaben der geforder-ten Zuverlässigkeit einiger flugzeugfunktionsrelevanter Sys-teme unvermeidlich, kann allerdings nicht beliebig vorge-nommen werden. Neben der hohen Effizienz und der hohenZuverlässigkeit muss ebenfalls sichergestellt werden, dassdas Gewicht des MFFCSs nicht das der substituierten Kom-ponenten übersteigt. Dies würde die Vorteile des Systemsdurch den erhöhten Bedarf an Kerosin wieder aufheben.

1.1 Ziel der ArbeitEine optimale elektrische Architektur zu entwickeln, die ei-nerseits die geforderten Ausfallwahrscheinlichkeiten einhältund andererseits eine Überdimensionierung des MFFCSsvermeidet, ist das Ziel des vorliegenden Beitrags. Dazu wer-den bereits entwickelte elektrische Architekturen mit Hilfeder Zuverlässigkeitsanalyse untersucht. Anschließend wer-den diese bewertet und gegebenenfalls auf Grundlage derErgebnisse eine erweiterte elektrische Architektur vorge-stellt. Optimierungsvorschläge in den bereits entwickeltenArchitekturen werden aufgezeigt und Abhilfemaßnahmenvorgeschlagen.

2 Behördliche SicherheitsanforderungenUm ein akzeptables Sicherheitsniveau zu erreichen, bedarfes einheitlicher, gesetzlich verankerter Richtlinien, die ge-nau vorschreiben, nach welchen Vorgaben Flugzeuge zuentwickeln sind. Diese Zulassungsrichtlinien werden erlas-sen von Behörden wie der FAA (engl. Federal Aviation Admi-nistration, FAA) in den USA und der EASA (engl. EuropeanAviation Safety Agency, EASA) für Europa. Große Verkehrs-flugzeuge werden in Europa nach der Richtlinie EASA CS-25 zugelassen [5]. Der Abschnitt dieser Richtlinie, der sichausschließlich mit Aspekten der Sicherheit befasst, trägt dieNummer 1309. Durch die Richtlinie EASA CS-25.1309 unddie zugehörige Leitlinie AMC-25.1309 wurde ein konsisten-tes Sicherheitslevel für Flugzeugsysteme geschaffen. Dabeibesteht zwischen der Schwere und der Wahrscheinlichkeitdes Eintritts eines Fehlers pro Flugstunde (engl. Flight Hour,FH) eine Umkehrbeziehung. Das bedeutet, dass sich dietolerierten Wahrscheinlichkeitsbereiche konträr zur Scha-denstiefe verhalten, dargestellt in Bild 2 [6]. Das angestreb-te Sicherheitsziel soll durch die folgenden Vorkehrungen er-reicht werden:

• Verifizierte Methoden sind für den Entwurf und Bau desSystems anzuwenden.

• Ausfallwahrscheinlichkeiten von Systemen sind mittelsformaler Fehlerbaumanalyse, Markovanalyse oder Ab-hängigkeitsdiagramme zu ermitteln.

• Die Summe aller katastrophalen Schadenszenarien darfeine Eintrittswahrscheinlichkeit von P = 10−7 1

FH nichtüberschreiten. Unter der Annahme von 100 katastropha-len Fehlerbedingungen pro Flugstunde bedeuted dies einZiel von 10−9 1

FH [5].

Szenarien die zum Verlust des gesamten Flugzeuges füh-ren, werden gesondert behandelt:

• Ein Einzelfehler darf, bis auf wenige Ausnahmen nachEASA CS-25.1309 spezifiziert, unter keinen Umständenin einem katastrophalen Schaden münden.

zumutbar wahrscheinlich

10 [1/FH]-3

unwahrscheinlich 10 [1/FH]

hochgradig unwahrscheinlich 10 [1/FH]

extrem unwahrscheinlich 10 [1/FH]

-5

-7

-9

P

akzeptabel

inakzeptabel

GeringesRisiko

BedeutendesRisiko

System-bedrohliches

Risiko

KatastrophalesRisiko

Bild 2: Fehlerzustandsanforderungen nach EASA CS-25.1309.

2.1 Sicherheitskonzepte im FlugzeugbauBei dem Entwurf eines Flugzeugs kommen unterschied-liche Methoden zur Anwendung. Im Folgenden werdendie wesentlichen vorgestellt [7].

Fail-Safe-Methode: Nach dieser Methode muss eineBaugruppe so ausgelegt sein, dass beim Ausfall ei-nes Hauptelements die verbleibende, fehlerfreie Struk-tur ausreicht, die gewünschte Ausfallsicherheit zu ge-währleisten. Bei diesem Konstruktionsverfahren werdensomit im Schadensfall eines Bauteils die daraus entste-henden höheren Belastungen auf alle übrigen Bauteiledieser Baugruppe verteilt. Diese Methode findet z.B. beider Konstruktion der tragenden Flugzeugstruktur Anwen-dung.Safe-Life-Methode: Der Grundgedanke dieser Methodeist es, ein Bauteil oder eine Struktur so zu konstruieren,dass ein Belastungsschaden über die gesamte Lebens-dauer vermieden wird. Realisiert wird dieser Anspruchmit einer Auslegung, die ein Vielfaches der laut Statis-tiken erwartungsgemäß auftretenden Maximalbelastungdes Bauteils oder der Strukur erlaubt. Materialermüdungwird hierbei jedoch vernachlässigt. Dies wird z.B. bei derKonstruktion des Flugzeugfahrwerks angewendet.Redundanz-Methode: Während bei vorherigen Metho-de durch konstruktive Mittel versucht wird den Fehlerfalleines Bauteils oder einer Struktur nie eintreten zu las-sen, verfolgt die Redundanz einen anderen Weg, umdie Fortsetzung des Betriebs und der daraus resultie-renden Sicherheit für das Gesamtsystem Flugzeug zugewährleisten. So gibt es Bauteile/Baugruppen, derenFestigkeit und Ausfallsicherheit nicht durch eine größereDimensionierung unendlich verbessert werden können.Nicht selten handelt es sich von hunderten von Teilsyste-men und tausenden von Bauteilen. Diese Methode wirdz.B. bei der Auslegung von Systemen mit geringen Aus-fallwahrscheinlichkeit angewendet. Dabei wird zwischeneiner kalten (Reserve, keinerlei Beanspruchung) undheißen Redundanz (gleiche Anforderungen im Betrieb)unterschieden. Neben der Zuverlässigkeitsanalyse be-

Deutscher Luft- und Raumfahrtkongress 2013

2

Konzeptstudien Designvorbereitung Prototypenentwicklung Erreichen der Produktionsfähigkeit

FHA PSSA SSA

Initiierung des

Fehlerbaums1. Iteration 2. Iteration

1.

Produktions-

modifikation

Design

FreezeZertifizierung

Finaler

Fehlerbaum

t

Bild 3: Beispiel einer typischen Zeitlinie für eine Fault-Tree-Analyse (in Anlehnung an [11]).

trachtet ebenfalls die sogenannte Risikobewertung (engl.Practical Risk Analysis, PRA). Dabei wird darauf geach-tet, dass das Eintreten eines einzelnen Ereignisses wiez.B. Vogelschlag nicht zum „katastrophalen“ Fehler führt,siehe Bild 2.

3 Zuverlässigkeit von SystemenIn diesem Kapitel werden die wesentlichen Grundlagenzur Erstellung einer Zuverlässigkeitsanalyse erläutert.

3.1 Formale FehlerbaumanalyseEs existieren mehrere Techniken mit denen überprüftwerden kann, ob ein System oder Ausstattungsmerkmaldie angedachten Sicherheitsfunktionen erfüllt oder nicht.Als eine der Techniken dieser Familie steht die formaleFehlerbaumanalyse (engl. Fault Tree Analysis, FTA) fürdie Identifikation und Überwachung von Designaspekten,welche die Sicherheit beeinflussen. Bild 4 zeigt eine Aus-wahl und Definition der wichtigsten Fehlerbaumsymbo-le. Eine FTA fokussiert ein bestimmtes, unerwünschtesEreignis und stellt gleichzeitig eine Methode zur Deter-minierung seiner Ursachen zur Verfügung. Sie kann da-her als deduktive Analyse verstanden werden.Es handeltsich um eine Prozedur zur hierarchischen Auswertungvon Szenarien, in der ein qualitatives Modell des uner-wünschten Ereignisses aufgestellt und dann untersuchtwird. Die Analyse beginnt mit einem unerwünschten „TopLevel“ Risikoereignis und ermittelt systematisch alle mög-lichen Einzelfehler/ -störungen und Kombinationen ausFehlern der jeweiligen Systemblöcke des nächstniedrige-ren Levels, die dieses Ereignis hervorrufen könnten. Fort-geführt wird die Analyse sukzessiv in immer detailreiche-re (tiefere) Bereiche solange, bis ein Primärereignis auf-gedeckt wird oder den Anforderungen des „Top Level“ Ri-sikoereignisses genügt. Sollten ausreichend Einzelheitenvorliegen, um die Einhaltung der Anforderungen des „TopLevel“ Risikoereignisses bewerten zu können kann dieFTA beendet werden. FTAs sollten schon während derKonzeption des Flugzeuges, als Teil der Preliminary Sys-tem Safety Analysis (PSSA), durchgeführt werden, zu-mindest aber sobald das Konzept steht. Die FTA ist dannTeil der System Safety Analysis (SSA). Bild 3 illustriert einmögliches Beispiel einer typischen FTA-Zeitlinie. In demgezeigten Beispiel ist die FTA bereits Teil des Prozes-

ses der funktionellen Risikobewertung (engl. FunctionalHazard Assessmet, FHA). Ihrem hierarchischen Aufbauist es geschuldet, dass jegliche Detailtiefe des aktuellenDesigns repräsentiert werden kann. Deshalb muss dieangefertigte FTA im gleichen Maße auf den derzeitigenStand gebracht werden, wie das Konzept selbst. Für Feh-lerbäume lassen sich folgende Konstruktionsvorschriftenherleiten:

– Ein ODER-Gatter findet immer dann Anwendung,wenn die Eintrittswahrscheinlichkeiten unabhängi-ger Ereignisse, die sich gegenseitig ausschließenberechnet werden können oder wenn die Ein-trittswahrscheinlichkeiten unabhängiger Ereignisse,die gleichzeitig auftreten können berechnet werdenkönnen.

– Ein UND-Gatter findet immer dann Anwendung,wenn die Eintrittswahrscheinlichkeiten unabhängi-ger Ereignisse berechnet werden können.

Im Umkehrschluss lässt sich von einem bestehendenFehlerbaum direkt auf die Art und Weise der Ermittlungder Eintrittswahrscheinlichkeiten anhand der gegenwärti-gen Bool’schen Logikelemente schließen.

Symbol Bezeichnung Definition

Beschreibungsbox

UND-Gatter

ODER-Gatter

UND-Gatter

mit Priorität

Sperre

Beschreibung des Ausgangs eines

Logiksymbols oder eines Ereignisses.

Bool’sches Logikgatter – Ereignis tritt ein,

wenn alle nächstniedrigeren Beding-

ungen erfüllt werden.

Bool’sches Logikgatter – Ereignis tritt ein,

wenn alle nächstniedrigeren Beding-

ungen in einer bestimmten Abfolge erfüllt

werden.

Bool’sches Logikgatter – Ereignis tritt ein,

wenn mindestens eine der nächst-

niedrigeren Bedingungen erfüllt wird.

Ausgangsfehler tritt ein, wenn Eingangs-

fehler eintritt (bedingtes Ereignis muss

dies möglich machen).

Bild 4: Ausgewählte Fehlerbaumsymbole.

Deutscher Luft- und Raumfahrtkongress 2013

3

3.2 ZuverlässigkeitStrukturfunktionen dienen der bloßen Zustandsbeschrei-bung eines (Teil-)Systems. Die Zuverlässigkeit von Kom-ponenten ändert sich im Laufe der Zeit, da sie altern.Dennoch wird die Annahme getroffen, dass zum Zeit-punkt der Betrachtung bekannt ist, ob eine Komponente(Ci) funktionstüchtig ist oder nicht. Ihr Zustand wird dannwie folgt mit Hilfe eines Indikators (Xi) beschrieben:

Xi = {1, Ci funktioniert.0, Ci funktioniert nicht. (1)

Die Indikatorfunktion eines Systems aus n Komponen-ten nennt man Strukturfunktion Φ(Xn). Sie ist eine binäreoder Bool’sche Variable und gegeben durch:

Φ(X1,X2, . . . ,Xn) = {1, funktioniert.0, funktioniert nicht. (2)

Die Anzahl n bezeichnet die Ordnung des Systems. Cha-rakterisiert sind Seriensysteme derart, dass bereits derAusfall eines Elements zum Gesamtausfall des Systemsführt. Da jede Komponente nur die unter (1) indiziertenZustände annehmen kann, ergibt sich die Strukturfunkti-on von Seriensystemen zu:

Φ(X1,X2, . . . ,Xn) =min{X1,X2, . . . ,Xn} =n∏i=1

Xi. (3)

Der Produktoperator ∏ ist der mathematische Ausdruckfür ein UND-Gatter mit n Eingängen im Fehlerbaum. EinParallelsystem besteht aus einem Arbeitselement undn−1 Elementen in „heißer Redundanz“. Es wird erst aus-fallen, wenn eines seiner Elemente nicht mehr funktions-tüchtig ist. Die Strukturfunktion ergibt sich zu:

Φ(X1,X2, . . . ,Xn) =max{X1,X2, . . . ,Xn} =n∐i=1

Xi ≡ 1−n∏n=1(1−Xi).

(4)

Der Koproduktoperator ∐ ist der mathematische Aus-druck für ein ODER-Gatter mit n Eingängen im Fehler-baum. Aus Gleichung 3 und 4 kann die folgende Bezie-hung geschlossen werden:

ΦSerie(X) ≤Φ(X) ≤ΦParallel(X), (5)n∏i=1

Xi ≤Φ(X) ≤ 1−n∏i=1(1−Xi). (6)

3.3 WeibullverteilungFür eine wahrscheinlichkeitstheoretische Systembe-trachtung müssen Kenngrößen wie Alterung, Verfügbar-keit und Überlebenswahrscheinlichkeit eingeführt wer-den, dessen genaue Herleitung z.B. in [8] beschriebenwird. Folgend werden lediglich einige für diesen Artikelrelevante Kenngrößen kurz vorgestellt. Eine der wichti-gen Lebensdauerverteilung ist die Weibullverteilung mitder Fehlerrate λ, dem Formfaktor β und der Zeit t:

F(t) = {0, t = 0

1−e−λtβ , t ≥ 0, λ > 0, β > 0.(7)

Für β = 1 erhält man die bekannte Exponentialver-teilung, d.h. eine über die Zeit konstante Fehlerrate.Durch die Abbildung von drei unterschiedlichen Weibull-Verteilungen (β < 1, β = 1, β > 1) lässt sich die bekannteBadewannen-Kurve darstellen.

3.4 Mittlere Zeit bis zum AusfallEin Maß für Zuverlässigkeit ist die mittlere Zeit bis zumFehlerfall (Mean Time To Failure, MTTF). Sie wird inStunden angegeben und ist der Durchschnitt, der sichaus den Einzelmessungen der Zeit bis zum Ausfall fürjedes Teil einer großen Menge von Standardbauteilenergibt. Die Messung der Zuverlässigkeit als statistischeGröße ist schwierig und zeitraubend. Sie ist eine Kom-bination von bisher gemachten Erfahrungen mit ver-gleichbaren Bauelementen und relativ kurzfristigen Testsmit großen Stückzahlen der betreffenden Bauelemente.Während die Produkte im Laufe der Zeit ausreifen, sam-meln sich über längere Zeiträume die Daten und die Aus-sagefähigkeit der MTTF-Quote wächst. Sie darf jedochnicht als Garantie angesehen werden.Ihr Begriff wird verwendet, wenn von gleichartigen, nichtreparierbaren Teilen (wie Schmelzsicherungen), die un-ter spezifizierten Bedingungen betrieben werden, die Re-de ist. Die Testbedingungen sind wichtig. So reduziertein Anstieg der Betriebstemperatur oder der Betriebs-spannung bei den meisten Bauelementen die MTTF si-gnifikant. In der Praxis wird die MTTF oft auf der Grund-lage von Daten berechnet, die über einen Zeitraum erho-ben werden, während dem nicht alle Bauelemente aus-fallen [8]. In diesem Fall gilt:

MTTF = Gesamte Betriebszeit für alle BauelementeZahl der Ausfälle in diesem Zeitraum

3.5 Mittlere Zeit zwischen AusfällenBei Bauelementen und Systemen die repariert werdenkönnen werden die Ausfallquoten oft nicht als MTTF, son-dern eher durch die mittlere Zeit zwischen zwei Ausfällen,der sogenannten Mean Time Between Failures (MTBF),ausgedrückt. Diese ist ein Maß für die durchschnittlicheZeit, die ein Bauteil funktioniert, ohne dass es repariertwerden muss (auch wenn es möglicherweise routinemä-ßig gewartet werden muss) [8]. Im Falle der Exponential-verteilung der Bauteilbetriebsdauer, folgt aus dem Kehr-wert der MTBF die konstante Fehlerrate λ:

MTBF = 1λ

(8)

Da MTTF und MTBF statistische Größen sind, muss einegroße Zahl von Ausfällen registriert werden, um ein zu-verlässiges Ergebnis zu erhalten. Es ist nicht praktikabel,ein einzelnes Bauteil über einen sehr langen Zeitraumzu prüfen. Daher ist es üblich, eine große Zahl von Ob-jekten über einen kürzeren Zeitraum zu untersuchen unddie Gesamtzahl der Ausfälle während der gesamten Be-triebsdauer für alle Objekte zu bestimmen. Diese Metho-de schließt Ausfälle während der Einbrennphase und derAbnutzungsphase von der Betrachtung aus. Dieser Aus-schluss ist für Flugzeugsysteme in der Regel zulässig,da Fehler in der Einbrennphase durch Qualitätssicherungund Tests vermieden werden und Komponenten ausge-tauscht werden, bevor signifikante Alterungserscheinun-gen auftreten.

Deutscher Luft- und Raumfahrtkongress 2013

4

3.6 MindestausrüstungslisteDie Basis-Mindestausrüstungsliste (engl. Master Minu-mum Equipment List, MMEL) ist eine speziell auf einFlugzeugmuster bezogenes Dokument, in dem die In-strumente, Ausrüstungsteile oder Funktionen beschrie-ben sind, die aufgrund ihrer Redundanz für die Flugtüch-tigkeit für eine definierte Zeitdauer eingeschränkt funk-tionstüchtig sein dürfen, sofern die behördlichen Sicher-heitsbestimmungen bzw. Zuverlässigkeitswerte eingehal-ten werden [9]. Hierfür beschreibt tmax die Zeit in FH, diedas Verkehrsflugzeug mit der eingeschränkten Zuverläs-sigkeit weiter betrieben werden darf, bis es ausgetauschtbzw. das System repariert werden kann. Die Ausfallwahr-scheinlichkeit des limitierten Systems muss besser als10−8 1

FH sein, um die MMEL berechnen zu können. Istdie Wahrscheinlichkeit schlechter, muss das betroffene,limitierte System umgehend repariert oder ausgetauschtwerden. Eine hohe MMEL Zeit kann wirtschaftlich vor-teilhaft sein, da die Airline beispielsweise ihre eigenenoder günstigere Orte anfliegen kann und somit kostspieli-ge Reparaturen und/oder Ersatzflüge verhindert werden.Mit Hilfe der Ausfallwahrscheinlichkeit des limitierten Ge-samtsystems Pf in 1

FH und der Fehlerrate der betrachte-ten MMEL Komponente Fr in 1

FH lässt sich die maximaleZeit bis zur Reparatur mit (9) (Beispielhaft für ein kata-strophales Risiko 10−9 1

FH ) berechnen [10].

tmax =1 ⋅10−9 1

FHPf ⋅Fr

(9)

4 Anforderung an die ArchitekturAls elektrische Referenzarchitektur wird eine Tiefsetz-stellertopologie mit integriertem Bypass verwendet, diesich, bezogen auf das Gewicht und die Systemeffizienzbereits in früheren Untersuchungen [12],[13],[14] als vor-teilhaft erwiesen hat. Bild 5 zeigt eine Seite der elektri-schen Anschlussarchitektur.

S1

S2

UFC

270 Vdc

270 Vdc

P

E

P

D

C

Netz

Netz

FC2

FC1

Bild 5: Eine Seite der elektrischen Anschlussarchitek-tur (Referenzarchitektur).

Aus Redundanzgründen ist das MFFCS auf zwei Seitenaufgeteilt. Innerhalb dieses Beitrags wird davon ausge-gangen, dass die angeschlossenen elektrischen Ver-braucher eine symmetrische Belastung für das MFFCSdarstellen. Strom und Spannung werden an alle par-

allelen DC/DC Wandlerpfaden sowie am Bypasspfadgemessen. Die ständige Überprüfung dieser physika-lischen Größen lässt eine eventuell auftretende Fehl-funktion der einzelnen Schalter sofort erkennen. Durchdie hohe Rekonfigurationsmöglichkeit des Systems wirdder operative Betrieb des Gesamtsystems aufrecht er-halten. Bei der Betrachtung der Fehlerszenarien musseine Unterscheidung bezüglich der Mission, in der sichdas Flugzeug gerade befindet, vorgenommen werden.Missionen fassen mehrere Flugphasen zusammen. DieBodenmission wird von der Flugmission abgegrenzt, wo-bei das Beschleunigen vor dem Start und das Ausrollenbei der Landung ebenfalls zur Flugphase gezählt werden.

Bodenmission: Während der Bodenmission versorgenallein die Brennstoffzellen das elektrische Bordnetz mitEnergie über den HVDC 1 und HVDC 2 Bus. Das Systemmuss in der Lage sein dem Flugzeugbordnetz 300kWelektrische Leistung mit einer Spannung von ±270 Vdcbei schwierigen Umgebungsbedingungen bereitzustel-len. Im Bild 1 ist diese Funktion mit Hilfe der elektrischenVerbindung vom MFFCS zum PEPDC dargestellt. Einewesentliche Aufgabe ist dabei das Anlassen der Haupt-triebwerksturbinen. Die Leistungsaufnahme des soge-nannten Main Engine Start (MES) wird für ein einzigesHaupttriebwerk mit 60kW als Berechnungsgrundlage an-genommen. Kann nur eine Turbine gestartet werden,besteht die Möglichkeit mit Hilfe des zugehörigen Haupt-triebwerksgenerators alle übrigen Turbinen in Betriebzu nehmen. Der Verlust der Brennstoffzellenfunktion amBoden ist nicht sicherheitsrelevant. Wenn die benötig-te elektrische Leistung z.B. zum Starten der Triebwerkenicht mehr vorhanden ist, bleibt das Flugzeug am Bodenstehen, was allerdings sehr schlecht für die Wirtschaft-lichkeit (eng. Operational Reliability) ist. Es werden da-durch keine Personen in Gefahr gebracht, noch erhöhtsich das Risiko für Personen, in Gefahr zu geraten. Eswird hierfür der Eintritt des „Top Level“ Fehlerzustands„Verlust aller HVDC“ Versorger mit einer Ausfallwahr-scheinlichkeit von 10−5 bis 10−7 je Flugstunde als Zuver-lässigkeitsziel zu Grunde gelegt.

Flugmission: Erst zur Flugmission übernehmen die Ge-neratoren der Haupttriebwerke die Aufgabe der elektri-schen Energieversorgung. In Bild 1 sind die Haupttrieb-werke mit ENG 1 und ENG 2, die Generatoren mit GEN1 bis GEN 4 bezeichnet. Die Leistungsentnahme derBrennstoffzellen wird auf ein Minimum heruntergefahrenum lediglich das Tank-Inerting-System betreiben zu kön-nen (30kW angenommen). Zeitgleich wird das entstehen-de Wasser dem Frischwasserkreislauf des Flugzeugs zu-geführt. Durch die Kenntnis über die Zuverlässigkeit derHaupttriebwerksgeneratoren, können beim Eintritt desEreignisses „Ausfall aller Triebwerke (TEFO)“ Aussagenüber die Ausfallwahrscheinlichkeit der Brennstoffzellen-systeme getätigt werden.

Emergency: Tritt ein Fehlerzustand während des Flugsein, arbeiten die Brennstoffzellensyteme als Redundanzfür das Emergency-Netzwerk. Im Bild 1 ist diese Notfall-funktion der multifunktionalen Brennstoffzellensystememit Hilfe des Blocks „Emergency“ innerhalb des PEPDCdargestellt. Es werden nur überlebenswichtige Systeme,wie beispielsweise die Avionik sowie Flugaktuatoren mit

Deutscher Luft- und Raumfahrtkongress 2013

5

Strom versorgt, sodass das Flugzeug weiterhin gesteuertwerden kann. Die maximale Leistungsaufnahme wird mit40kW angenommen. Eine Berechnung der numerischenAusfallwahrscheinlichkeit ist jedoch nur für den Verlustder Notstromfunktion in Kombination mit Ausfall der nor-malen Stromversorgung (Triebwerksgeneratoren) not-wendig. Hier ist insgesamt eine Eintrittswahrscheinlich-keit von unter 10−9 1

FH notwendig, um der Klassifizierung„katastrophal“ zu genügen. Innerhalb dieses Beitragswird die Annahme getroffen, dass beide Triebwerksge-neratoren bereits eine Ausfallwahrscheinlichkeit von ca.10−6 1

FH besitzen. Daraus resultiert eine maximale Aus-fallwahrscheinlichkeit für elektrische Brennstoffzellensys-tem von 10−3 1

FH .Da bei sicherheitsrelevanten Einschätzungen immer vonder höheren Ausfallrate ausgegangen wird, damit dasspäter installierte System in jedem Fall alle Restriktio-nen einhält, ist 10−5 1

FH bis 10−7 1FH der entsprechende

Zuverlässigkeitswert. Unwahrscheinlich bis hochgradigunwahrscheinlich ist die enstprechende Fehlerklassifika-tion, mit dem im Kapitel 5 die Berechnungen durchge-führt werden. Dem übergeordnet darf der Ausfall allerelektrischen Generatoren (GEN 1 bis GEN 4 und Brenn-stoffzellen) ein höchstens alle 1.000.000.000 Flugstundenauftretendes Fehlerszenario der Klasse katastrophal (ex-trem unwahrscheinlich) sein. Diesem Anspruch nach ei-ner Ausfallwahrscheinlichkeit des gesamten elektrischenNetzes von 10−9 1

FH wird man mit den oben angegebenenAnforderungen mehr als gerecht.

5 Ergebnis der ZuverlässigkeitsanalyseDas Ergebnis der Zuverlässigkeitsanalyse ist in der fol-genden Tabelle für alle drei Missionen zusammengefasst.Bereits aus diesen Ergebnissen ist die Notwendigkeit derzwei zuvor beschriebenen redundanten Systemseiten zuerkennen. Unter der Annahme, dass beide Triebwerkemit ihren Generatoren bereits eine Ausfallwahrscheinlich-keit von 10−6 1

FH besitzen, wird in (10) die erreichte MTBFfür den Ausfall der Notstromversorgung errechnet undmit dem geforderten Wert verglichen. Als Ziel wurde ei-ne Ausfallwahrscheinlichkeit von 10−9 1

FH gestellt, um denbehördlichen Vorschriften für das Top Level Ereignis „Ver-lust des Emergency Bordnetz“ gerecht zu werden.

MTBF = 14,21 ⋅10−6 1

FH´¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¸¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¶

errechnet

≥ 11 ⋅10−3 1

Fh´¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¸¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¶

ge f ordert

✓ (10)

In Tabelle 1 sind die berechneten Ergebnisse für die imKapitel 4 definierten Top Level Ereignisse dargestellt.

Tabelle 1: Ergebnisse der Zuverlässigkeitsanalyse desReferenzsystems.

Mission Ausfallwahrscheinlichkeit(Referenzsystem)

Boden 4,21 ⋅10−6 1FH✓

Flug 4,21 ⋅10−6 1FH✓

Emergency 4,21 ⋅10−6 1FH (MFFCS)✓

Emergency 4,21 ⋅10−12 1FH (gesamtes System)✓

Es ist zu erkennen, dass bereits die elektrische Refe-renzarchitektur, die im Kapitel 4 beschriebenen geringenAusfallwahrscheinlichkeiten erfüllt. Zum Erreichen derbehördlichen Sicherheitsanforderungen muss allerdingsdie hier durchgeführte Zuverlässigkeitsanalyse auf Ge-samtsystemebene erneut vorgenommen werden, da hierdas Augenmerk auf die elektrische Architektur gelegtwird. Bild 6 zeigt den konstruierten Fehlerbaum zur elek-trischen Referenzarchitektur aus Bild 5.

Top Level Ereignis

„Verlust des Emergency

Bordnetz“

System

Ausfall

linke Seite

Allgemeiner

Fehler der

Leitung

Ausfall des

Brennstoffzellen

systems

Ausfall

DC/DC

Wandler

Elektrischer

Ausfall

Fehler

Versorgung

Stack 1 Stack 2

Elektrischer

Ausfall

Fehler

Versorgung

System

Ausfall

rechte Seite

(wie links)

Bild 6: Fehlerbaum Referenzarchitektur für das Top-level Ereignis „Verlust des Emergency Bord-netz“.

Zur MMEL Bewertung wird der Fehlerfall betrachtet, dassein einzelner Brennstoffzellenstack ausfällt (1 aus 4). Die-se Annahme wird getätigt, obwohl laut EASA [10] die Zu-verlässigkeit für das beschriebene Szenario mit P1aus4 =2,05 ⋅ 10−9 1

FH sich immer noch oberhalb der gefordertenMindestzuverlässigkeit von 1 ⋅ 10−8 1

FH befindet und eineAnalyse nicht notwendig macht. Aufgrund der in diesemBeitrag getroffenen Annahmen sowie der Tatsache, dassdie Differenz zum Mindestwert beim Referenzsystem ge-ring ausfällt, kann diese MMEL Betrachtung wertvolleErkenntnisse aufzeigen. Durch (11) wird die theoretischmaximale Zeit tmax berechnet, die das System, nach Aus-fall eines Stacks weiter betrieben werden darf.

tmax =1 ⋅10−9 1

FH

2,05 ⋅10−9 1FH ⋅1 ⋅10−3 1

FH

= 487FH (11)

Das Ergebnis sagt aus, dass das Verkehrsflugzeug nachdem Ausfall eines Brennstoffzellenstacks weitere 487 FHbetrieben werden darf, bevor eine Reparatur erfolgen

Deutscher Luft- und Raumfahrtkongress 2013

6

muss. Dabei beschreibt dieser berechnete Wert nichtdie spätere tatsächliche MMEL Zeit des Systems. Diesewird individuell mit den entsprechenden Behörden abge-stimmt, wobei das Ergebnis aus (11) als Referenzwertherangezogen werden kann. Um so größer die Zeit biszur Reparatur desto geringer sind die Standzeiten unddadurch die entstehenden Kosten für die Airline. Außer-dem erhöht sich die operationelle Flexibilität. Flüge müs-sen nicht wegen einem defekten Flugzeug gestrichenwerden. Die Airline hat die Vorlaufzeit die anstehendenReparaturen zu planen und für Ersatz zu sorgen. Ein wei-terer Vorteil ist, dass das Flugzeug zur Basis oder Werk-statt zurückgeflogen werden kann, was den Aufwand unddie Kosten stark reduziert. Es kann je nach Annahmedes Sicherheitsfaktors sinnvoll sein, die Verfügbarkeit deselektrischen Systems durch Optimierung weiter zu erhö-hen. Eine solche Möglichkeit wird im Folgenden Kapitelvorgestellt.

5.1 Optimierung der ArchitekturUm den späteren verantwortlichen Systemingenieureneine Möglichkeit zu bieten, durch Verbesserung einesTeilbereichs des MFFCSs einen anderen Teil effizien-ter und gegebenenfalls leichter auszulegen, soll im Fol-genden eine optimierte elektrische Architektur vorgestelltwerden, die eine reduzierte Ausfallwahrscheinlichkeit imVergleich zur Referenztopologie besitzen soll. Im Ka-pitel 5 hat sich durch die Zuverlässigkeitsanalyse ge-zeigt, dass der kritische Pfad im Fehlerbaum die Aus-fallwahrscheinlichkeit der Brennstoffzellenstacks mit ih-ren lokalen Versorgungssystemen ist. Durch die zu ge-ringe Spannung eines einzelnen Stacks führt ein Stack-ausfall in der Referenzarchitektur zum Ausfall einer kom-pletten Seite des MFFCS. Durch eine kleine Modifizie-rung des DC/DC Wandlers kann hier eine höhere Ver-fügbarkeit erreicht werden. Dabei bleibt die elektrischeVerschaltung aus der Referenzarchitektur bestehen. Le-diglich ein Halbleiterschalter S2 muss zusätzlich in denDC/DC Wandler integriert werden, wie es in Bild 7 darge-stellt ist. Dadurch wird die Möglichkeit erreicht, bei Ausfalleines einzelnen Stacks die zu geringe Spannung durcheinen Hochsetzsteller auf das geforderte Spannungsni-veau von ±270 Vdc zu transformieren.

H

V

D

C

Brennstoff-

zelleS2

S1

D1

D2L1,2

Bild 7: Optimierte DC/DC Wandlertopologie als Hoch-und Tiefsetzstellertopologie.

Die für den Hochsetzsteller benötigte Diode D2 mussbereits in der Referenzarchitektur vorgesehen werden,um einen Rückstrom in die Brennstoffzelle in jeder Be-triebsart ausschließen zu können. Durch diese Optimie-rung kann jetzt, im Falle eines Stackausfalls, der DC/DCWandler als Hochsetzsteller weiter die benötigte Leis-tung von 40kW zur Versorgung des Emergency Bord-netzwerk zur Verfügung stellen. Allerdings gilt es zu be-achten, dass das Gewicht und die Komplexität des op-timierten Tief- und Hochsetzstellers ansteigen. Aufgrund

der Komplexität wird innerhalb dieser Arbeit angenom-men, dass sich die Ausfallwahrscheinlichkeit für den opti-mierten DC/DC Wandler verdoppelt. Neben der zusätzli-chen Masse des Halbleiters mHalbleiter müssen ebenfallsdie Massen der Ansteuerplatine mAnsteuerung, der benö-tigten Kühlkörperfläche mKuehlkörper sowie die Masse derneu zu dimensionierenden Spule mKern und mDraht auf-grund der höheren Stromtragfähigkeit berücksichtigt wer-den. Bild 9 zeigt die Polarisationskurve mit den HVDCGrenzen bei 250 Vdc und 280 Vdc. Um die geforderten40kW für den Emergency-Betrieb zu erreichen wird einStrom von ca. 150 A benötigt auf den der Hoch- und Tief-setzsteller ausgelegt werden muss.Bild 8 zeigt den Einfluss der optimierten Schaltung aufden Teilabschnitt des Fehlerbaums. Ein Ausfall einesBrennstoffzellenstacks einer MFFCS-Seite führt nichtmehr zum Ausfall der kompletten Seite. Beide Systemekönnen jetzt unabhängig voneinander arbeiten.

Stack 1 Stack 2 Stack 1 Stack 2

Ausfall des

Brennstoffzellen

systems

Ausfall des

Brennstoffzellen

systems

a) b)

Bild 8: Auswirkung der Optimierung auf den Fehler-baum (Teilausschnitt). a) Referenztopologie, b)optimierte Topologie.

Ein weiterer Vorteil dieser Topologie ist neben der er-höhten Verfügbarkeit im Fehlerfall die Tatsache, dass imnormalen Flugbetrieb 3 der 4 installierten Brennstoffzel-lenstacks (beim Referenzsystem 2 von 4) abgeschaltetwerden können. Die maximale Leistung eines Stacksim Hochsetzstellerbetrieb von 40kW ist ausreichend, umden benötigten Massenstrom des sauerstoffabgereicher-ten Kathodenabgases von umgerechnet ca. 30kW zur In-ertisierung der Kerosintanks zu gewährleisten.

0 100 200 300 400 500 600180

200

240

280

320

360

Stackstrom (A)

Sta

cksp

an

nu

ng

(V

)

Oberer SchnittpunktUnterer Schnittpunkt

270 V 150 A

Erhöhung der max. Strombelastung

Bild 9: Verwendete Polarisationskurve zur Dimensio-nierung des DC/DC Wandlers nach [13].

5.2 Ergebnis der optimierten ArchitekturDurch (12) ist zu erkennen, dass die Ausfallwahrschein-lichkeit Popt mit 1,08 ⋅10−8 1

FH im Vergleich zum Referenz-

Deutscher Luft- und Raumfahrtkongress 2013

7

system Prev um den Faktor von ca. 400 weiter reduziertwerden konnte.

Prev

Popt=

4,21 ⋅10−6 1FH

1,08 ⋅10−8 1FH

≈ 400 (12)

Die berechneten Ausfallwahrscheinlichkeiten für das er-weiterte Referenzsystem sind in der Tabelle 2 zusam-mengefasst.

Tabelle 2: Ergebnisse der Zuverlässigkeitsanalyse deserweiterten Systems.

Mission Ausfallwahrscheinlichkeit(Optimiertes System)

Boden (300 kW) 1,08 ⋅10−8 1FH✓

Boden (150 kW) 1,04 ⋅10−4 1FH✓

Flug 1,08 ⋅10−8 1FH✓

Emergency 1,08 ⋅10−8 1FH (MFFCS)✓

Ebenfalls konnte die maximale Zeit tmax des SzenariosP1aus4 bezüglich der MMEL Analyse deutlich verlängertwerden, wie (13) darstellt. Klar ist, dass bei den vorlie-genden Ausfallwahrscheinlichkeiten keine MMEL Analy-se notwendig ist. Die berechnete maximale Zeit tmax von≥ 1.000.000FH zeigt allerdings sehr deutlich den Einflussder Optimierung. Der Grund liegt in der sehr geringenWahrscheinlichkeit, dass alle vier Brennstoffzellenstackszur gleichen Zeit ausfallen, während lediglich ein Stackzur Versorgung des Emergency-Bordnetzes notwendigist.

tmax =1 ⋅10−9 1

FH

1,15 ⋅10−13 1FH ⋅1 ⋅10−3 1

FH

≥ 1.000.000FH (13)

5.3 Gewichtszunahme der optimierten ArchitekturEs konnte gezeigt werden, dass die Optimierung desDC/DC Wandlers sehr große Vorteile für die elektrischeZuverlässigkeit besitzen kann, auch wenn das Referenz-system bereits die benötigte Ausfallsicherheit hergibt.Allerdings kann diese Optimierung nur durch Zunahmeder Komplexität und der Masse des Systems erfolgen.Durch das in [13] entwickelte Wachstumsgesetz zur Di-mensionierung von DC/DC Wandlern konnte eine Ge-wichtszunahme der optimierten Topologie im Vergleichzum Referenzsystem von ca. 75% ermittelt werden. Un-ter Berücksichtigt, dass dieser neue Masseanteil lediglichca. 4,5% am MFFCS Gesamtsystemgewicht ausmacht,relativiert sich die Zunahme. Die betrachteten System-komponenten sind:

– Flüssigwasserstofftank– Brennstoffzellenstack– DC/DC Wandler– Wärmeübertrager– Luftventilatoren– Rohrleitungssystem– Kühlwasserpumpen

6 ZusammenfassungDie Bewertung einer Zuverlässigkeitsanalyse ist einewesentliche Aufgabe bei der Entwicklung von Flugzeug-

systemen. Gerade an die Aufrechterhaltung der Versor-gung flugrelevanter Systeme, wie der Avioniksteuerung,werden durch behördliche Vorgaben sehr hohe Zuver-lässigkeitsziele an die Entwickler gestellt. Erst nach demerfolgreichen Nachweis der hohen Zuverlässigkeit dieserSysteme kann später eine Luftfahrtzertifizierung für dieSerienproduktion erfolgen. Durch eine mögliche Integra-tion eines MFFCS in moderne Verkehrsflugzeuge unddie daraus resultierenden Aufgabenfelder muss bereitsin der Entwicklungsphase auf die Einhaltung der behörd-lich geforderten Zuverlässigkeitswerte geachtet werden.Aus diesem Grund werden innerhalb der vorgestelltenArbeit, die entwickelten elektrischen Architekturen zurIntegration eines MFFCS an das PEPDC moderner Ver-kehrsflugzeuge auf ihrer Zuverlässigkeit bezüglich un-terschiedlicher Szenarien hin überprüft. Nachdem dieNotwendigkeit einer solchen Analyse sowie die gefor-derten behördlichen Sicherheitsanforderungen in denersten beiden Kapiteln beschrieben worden, wird durcheine kurze Einführung der Wahrscheinlichkeitstheorieund der Fehlerbaumanalyse der formale Ablauf einerZuverlässigkeitsberechnung aufgezeigt. Anschließendwerden die Anforderungen an das zu untersuchendeSystem dargestellt. Drei wesentliche Anforderungen solldas MFFCS dabei aus elektrischer Sicht erfüllen. Die-se Anforderungen werden in drei Szenarien aufgeteilt.Für jedes Szenario ist ein unterschiedliches Top LevelRequirement gestellt, welches durch das System einge-halten werden muss. Es hat sich gezeigt, dass bereitsdie elektrische Referenztopologie alle behördlich ge-forderten geringen Ausfallwahrscheinlichkeiten besitzt.Allerdings konnte durch eine Optimierung der DC/DCWandlertopologie eine wesentliche Erhöhung der Sys-temzuverlässigkeit erreicht werden. Diese weitere tech-nische Möglichkeit könnte sich bei der Gesamtsystem-betrachtung als sinnvoll herausstellen. Der Grund dafürist, dass innerhalb dieser Arbeit lediglich der elektrischeBereich des MFFCS untersucht wurde. Die behördlichgeforderten Ausfallwahrscheinlichkeiten beziehen sichauf das Gesamtsystem des MFFCS. Ebenfalls könn-ten Vorteile in Bezug der Betriebswirtschaftlichkeit durchSteigerung der MMEL erzielt werden. Die entwickelteOption zur weiteren Steigerung der Zuverlässigkeit könn-te deshalb bei der Gesamtbetrachtung vorteilhaft sein,wenn z.B. dafür ein anderes, nicht elektrisches Systemkleiner, leichter oder auch wesentlich einfacher ausfallenkann. Allerdings bringt die Steigerung der Zuverlässigkeitebenso eine Zunahme der Komplexität sowie der Masseder optimierten DC/DC Wandlerstruktur bezogen auf dasReferenzgewicht.Die innerhalb dieses Beitrags durchgeführte Zuverläs-sigkeitsanalyse der entwickelten Architekturen hat auf-zeigen können, dass der elektrische Anteil des MFF-CS bereits bei der vorgestellten Referenzarchitektur allegeforderten Ziele erfüllt. Durch die Steigerung der Zu-verlässigkeit durch das optimierte System konnte eineweitere Möglichkeit für die Gesamtsystemintegration unddie daraus erforderliche Zuverlässigkeitsanalyse erreichtwerden.

DanksagungDiese Arbeit, als Teil des Projekts „Kabinentechnologieund multifunktionale Brennstoffzelle“ wurde unterstütztdurch die Airbus Operations GmbH und das Bundes-

Deutscher Luft- und Raumfahrtkongress 2013

8

ministerium für Bildung und Forschung (Förderkennzei-chen: 03CL03A).

LITERATUR

[1] I.MOIR, A.SEABRIDGE, „Aircraft Systems“ 3. Aufla-ge, Seite 227 - 229

[2] K.HEUCK. K.D.DETTMANN, D.SCHULZ, „ElektrischeEnergieversorgung“, 8. Auflage, Seite 95 - 98

[3] I.PURELLKU, A.LÜCKEN, J.BROMBACH, D.SCHULZ,„Optimization of the Energy-Supply-Structure of Mo-dern Aircraft by Using Conventional Power SystemTechnologies“, CIRED, Frankfurt, 2011

[4] K.A.FRIEDRICH, J.KALLO, J.SCHIRMER,G.SCHMITTHALS, S.SENTURIA, „Fuel Cell Sys-tems for Aircraft Application“, ECS Transactions, 25,2009, Seite 193 - 202

[5] EUROPEAN AVIATION SAFETY AGENCY, „Certificati-on Specifications for Large Aeroplanes CS 25“, EA-SA CS 25 Agency Measures: Certification Specifi-cation, Köln, 2009

[6] SOCIETY OF AUTOMOTIVE ENGINEERS, INC., „Certi-fication considerations for highly-integrated or com-plex aircraft systems“, Society of Automotive Engi-neers Aerospace Recommended Practice No. 4754(SAE ARP 4754) SAE International, Warrendale,1996

[7] D. E. KRITZINGER, „Aircraft System Safety: Militaryand civil aeronautical applications“, Woodhead Pu-blishing, Ltd. Verlag, Cambridge, 2006

[8] F. BEICHELT, „Zuverlässigkeit- und Instandhaltungs-theorie“, B. G. Teubner Verlag, Stuttgart 1993

[9] AMTSBLATT DER EUROPÄISCHEN UNION, „Techni-sche Vorschriften und Verwaltungsverfahren für dengewerblichen Luftverkehr mit Flächenflugzeugen“,Verordnung (EG) Nr. 859/2008 der Kommission vom20 August 2008, Seite 4

[10] EUROPEAN AVIATION SAFETY AGENCY, „Certifica-tion Specifications and Guidance Material relatedto the development of a Master Minimum Equip-ment List (MMEL)“, Comment Response Document(CRD), 10 July 2012, Seite 140 - 142

[11] SOCIETY OF AUTOMOTIVE ENGINEERS, INC., „Gui-delines and methods for conducting the safety as-sessment process on civil airborne systems andequipment“, Society of Automotive Engineers Aero-space Recommended Practice No. 4761 (SAE ARP4761) SAE International, Warrendale, 1996

[12] A.LÜCKEN, T.KUT, S.DICKMANN, D.SCHULZ, „FuelCell System Optimization using Bypass Converters“,Accepted for publication in IEEE Transactions onAerospace and Electronics Systems Journal, Janu-ar 2014

[13] A.LÜCKEN, H. LÜDDERS, T.KUT, S.DICKMANN, F.THIELECKE, D.SCHULZ, „Analyse einer neuartigenelektrischen Konverterarchitektur zur Integration vonBrennstoffzellen auf Gesamtsystemebene“, Deut-scher Luft- und Raumfahrtkongress, Berlin, 10 - 12September 2012

[14] A.LÜCKEN, T.KUT, H. LANGKOWSKI, S.DICKMANN,D.SCHULZ, „Concept Analysis of an Electrical FuelCell Integration in Modern Aircraft“, 4th Internatio-nal IEEE Conference on Clean Electrical Power (IC-CEP), Renewable Energy Resources Impact, Alghe-ro (Italy), 11 - 13 Juni 2013

Deutscher Luft- und Raumfahrtkongress 2013

9