BR102014017224A2

BR102014017224A2 - sistema de validação de efeito de falha; e método

Info

Publication number: BR102014017224A2
Application number: BR102014017224A
Authority: BR
Inventors: Chad R Douglas; Daniel Fogarty; David H Jones; Lars Fucke; Ricardo M Fricks; Roger Nicholson; Stephen Sweeney; Tyler J Peter
Original assignee: Boeing Co
Priority date: 2013-07-15
Filing date: 2014-07-11
Publication date: 2015-11-17
Also published as: JP6536989B2; KR102357583B1; IN2014DE01235A; CN104298803B; US10180995B2; AU2014202578A1; EP2827209A2; US20150019187A1; KR20150008803A; CN104298803A; JP2015018543A; EP2827209B1; EP2827209A3; AU2014202578B2

Abstract

sistema e método para avaliar efeitos cumulativos de uma falha. um sistema de validação de efeito de falha inclui um modelador de efeitos configurado para desehvolver um modelo de efeitos cumulativos para modos de falhado sistema complexo, e pelo qual um modelo do sistema complexo é extensível para formar um modelo de sistema complexo estendido. o modelador de efeitos é também configurado para desenvolver alvos de busca, cada um dos quais inclui expressões lógicas de riscos notáveis e outros fatores que contribuem aos efeitos cumulativos, tal como carga de trabalho da tripulação, margem de segurança e/au efeitos fisiológicos. um sistema de análise de modelo é configurado para realizar uma análise automatizada utilizando o modelo de sistema complexo estendido e buscar alvos, e no qual a análise automatizada inclui uma busca gráfica de possíveis estados do modelo de sistema complexo estendido para localizar alvos de busca. e o sistema de avaliaçãolde efeitos é configurado para seletivamente gerar uma disposição de dados de análise de falhas incluindo pelo menos uma porção do modelo de sistema complexo estendido e resultados da análise automatizada.

Description

SISTEMA DE VALIDAÇÃO DE EFEITO DE FALHA; E MÉTODO

CAMPO TECNOLÓGICO [001] A presente revelação refere-se, de maneira geral, à avaliação de efeitos cumulativos de falhas de sistÇma e, em particular, â avaliação de efeitos cumulativos de falhas únicas e múltiplas de sistema em uma maneira altamente automatizada.

j HISTÓRICO [002] Um sistema complexo, tal como uma aeronave, pode ser geralmente composto por uma série de sistemas, e permite funcionalidade maior que seus sistemas individuais. Avanços tecnológicos em muitos sistemas complexos, incluindo aeronaves e outros, tal como os nas indústrias aeroespacial, automotiva, marinha, médica e eletrôniba têm levado a diversos sistemas mutuamente dependentes, pelo menos alguns dos quais podem ser projetados por diferentes equipes de diferentes empresas em diferentes localizaÇões geográficas. Falhas ou maus funcionamentos de um ou mais destes sistemas muitas vezes afetam outros sistemas, diretamente ou indiretamente, o acúmulo destes efeitos muitas vezes chamado de efeitos "em cascata". Além disso, a análise destas falhas/maus funcionamentos e de seus efeitos em cascata i no nível de sistema complexo é muitas vezes necessária como parte de um processo de certificação. Tipicamente, tais análises são realizadas manualmente por grupos de analistas de sistemas, sem referência a um processo capaz dè facilitar tais análises. À medida que sistemas complexojs dos quais eles são compostos se tornam mais integradjos, métodos de análise tradicionais podem não ser mais práticos em termos de abrangência de cobertura e custos de mão-dé-obra envolvidos. [003] Na indústria aeroespacial, por exemplo, os fabricantes de aeronaves avaliam os efeitos cumulativos de falhas dp sistema criticas à segurança para garantir que o equipamento opere como previsto sob todas as condições operacionais esperadas. Normas estabelecidas por órgãos reguladores, tal como o Código de Regulamentações Federais (14 CFR) | 25.1309, exigem que a categorização de risco de uma falha leve em consideração todos os fatores relevantes. Estes fatores podem incluir efeitos no veiculo (função; desempenho perdido(a) degradado(a), redução da margem de segurança), efeitos nos membros da tripulação (aumento na carga de trabalho) condições operacionais ou ambientais adversas), e/ou efeitos nos ocupantes. ! [004] Hã uma série de práticas de análise de segurança na indústria aeroespacial. Por exemplo, a avaliação de risco] funcional (FHA) ê uma análise de cima para baixo de funções para identificar e classificar a gravidade das falhas das funções. A análise da árvore de falhas (FTA) é uma análise <ie cima para baixo na qual as causas de um efeito de falha são analisadas utilizando lógica (por exemplo, lógica booleanai) que combina falhas contribuintes. A análise de modos e (efeitos de falhas (FMEA) é uma abordagem de análise de baixo para cima para identificar os efeitos de falhas em funções ( e operações do sistema. A FMEA é muitas vezes utilizada e, conjunto com FTA, e serve para concluir e validar | a FTA. A análise de segurança baseada em modelo (MBSA) é uma nova prática na qual os processos de avaliação de projejto e segurança de sistema desenvolvem um modelo comum que é (utilizado para gerar automaticamente um conjunto consistente de artefatos de segurança, incluindo árvores de falhas dè conjunto de corte mínimo (MCS) e sumários de FMEA. [005] Portanto, pode ser desejável ter um sistema e um método que melhorem as práticas existentes. [006] O presente pedido de patente refere-se ao pedido de patente americano n° US 13/524,173, intitulado: Failure Analysis Validation and Visualization, depositado em 15 de juhho de 2012.

! BREVE SUMÁRIO [007] Implementações exemplares da presente revelação são geralmente direcionadas a um sistema melhorado para avaliar os efeitos cumulativos de falhas de sistema no nível d!e sistema complexo. O sistema e o método de implementações exemplares podem identificar e avaliar (ou facilitar a identificação e a avaliação de) efeitos cumulativos de falhas em cascata, tal como os que resultem em múltiplos riscos (ou condições de falha), e podem fazê-lo de maneira j eficiente, abrangente e pelo menos parcialmente automatizada. Implementações exemplares podem avaliar a crescente integração de sistemas complexos, tal como aeronaveis, incluindo as com arquiteturas de aviônica modular integrada (IMA). Implementações exemplares podem ir além das práticas; atuais e métodos de análise padrão, e automatizar aspectos! substanciais da identificação e da avaliação. Implementações exemplares podem adicionalmente combinar e prolongar práticas da técnica anterior no desenvolvimento baseado êm modelo, na análise de segurança baseada em modelo, na análise automatizada e na geração de disposições visuais dos resultados para facilitar a revisão dos resultados da análise Ipor técnicos no assunto (SMEs) tal como operadores, projetistas, engenheiros de segurança, especialistas de certificação, e semelhantes. [008] De acordo com um aspecto de implementações exemplares, um sistema de validação de efeitos de falhas é provido para avaliar efeitos cumulativos de uma ou mais falhas (falhas de sistema em cascata) de um sistema complexo! incluindo ou composto por uma pluralidade de sistemasL O sistema de validação de efeito de falhas inclui um modelador de efeitos e sistema de análise de modelo acoplados um ao outro. O modelador de efeitos é configurado para desçnvolver um modelo de efeitos cumulativos para modos de falha do sistema complexo, e pelo qual um modelo do sistema complexo é extensível para formar um modelo (de sistema complexo) estendido. O modelador de efeitos é também configurado para desenvolver um ou mais alvos de busca, cada um dos quais inclui expressões lógicas de riscos notáveis e um ou jmais outros fatores que contribuem aos efeitos cumulativos, tal como carga de trabalho da tripulação, margem de segurança e/ou efeitos fisiológicos. [009] O sistema de análise de modelo é configurado para realizar uma análise automatizada incluindo um a busca gráfica de possíveis estados do modelo estendido para Idealizar um ou mais alvos de busca. A análise automatisada pode ser realizada para identificar efeitos cumulativos de pelo menos alguns dos modos de falha, e os resultados dos quais podem ser exibíveis em uma disposição para permitir a avaliação dos efeitos cumulativos. Em alguns exemplos|, ° sistema de análise de modelo pode ser acoplado a um sistema de avaliação de efeitos configurado para gerar o disposição. A este respeito, o sistema de avaliação de efeitos ipode ser configurado para seletivamente gerar uma disposição de dados de análise de falhas incluindo pelo menos uma porção do modelo estendido e resultados da análise automatizada. [010] Em diversos exemplos, o modelador de efeitos linclui um modelador de riscos e um codificador de alvo de jbusca. Nestes exemplos, o modelador de riscos pode ser configurado para desenvolver um modelo de riscos de riscos de nível de sistema complexo e de nível de sistema. E o codificador de alvo de busca pode ser configurado para desenvolver um ou mais alvos de busca nos quais riscos notáveisj são definidos como maiores que um valor de limiar de riscos db nível de sistema complexo e de nível de sistema. [011] Em um exemplo no qual os outros fatores incluem |carga de trabalho da tripulação, o modelador de efeitos ipode incluir um modelador de carga de trabalho de tripulaçião configurado para desenvolver um modelo de carga de trabalho! de tripulação no qual a carga de trabalho de tripulaçlão é definida incluindo um ou mais dentre um número de mensagens de alerta, um número de ações compensatórias ou páginas jde ações compensatórias, ou um tempo para concluir ações compensatórias. Neste exemplo, um codificador de alvo de busca pode ser configurado para desenvolver um ou mais alvos de busca nos quais a carga de trabalho de tripulação notável é definida sendo maior que um número de limiar de mensagens de alerta, um número de limiar de ações compensaitórias ou páginas de ações compensatórias, ou um tempo dç limiar para concluir ações compensatórias. [012] Em um exemplo adicional, as ações compensatórias podem incluir procedimentos de tripulação e procedimentos operacionais anormais. Neste exemplo adicional, o modelador de carga de trabalho de tripulação pode ser configurado para desenvolver o modelo de carga de trabalho de tripulação no qual a carga de trabalho de tripulação é definida |incluindo números dos(as) respectivas mensagens de alerta, j procedimentos de tripulação ou páginas de procedimentos de tripulação, e procedimentos operacionais anormais jou páginas de procedimentos operacionais anormais. E o codificador de alvo pode ser configurado para desenvolver um ou mais alvos de busca nos qual a carga de trabalho de tripulação notável ê definida como a disjunção lógica maior que os riümeros de limiar dos(as) respectivas mensagens de alerta, procedimentos de equipe ou páginas de procedimentos de tripúlação, e procedimentos operacionais anormais ou páginas de procedimentos operacionais anormais. [013] Em um exemplo no qual os outros fatores incluem margem de segurança, o modelador de efeitos pode incluir um modelador de margens de segurança configurado para desenvolver um modelo de margens de segurança no qual a margem dfe segurança ê definida incluindo um ou mais fatores operacionais e medidas de uma ou mais condições que afetem a margem de segurança. Neste exemplo, o codificador de alvo de busca pode ser configurado para desenvolver um ou mais alvos de busca| nos quais a perda notável de margem de segurança é definidaj como mais ou menos do que as medidas de limiar das uma ou màis condições. [014] Em um exemplo no qual os outros fatores incluem lefeitos fisiológicos, o modelador de efeitos pode incluir um modelador de efeitos fisiológicos configurado para desenvolyer um modelo de efeitos fisiológicos no qual os efeitos fisiológicos são definidos incluindo medidas de uma ou mais |condições que afetem o conforto ou desconforto físico. Neste exemplo, o codificador de alvo de busca pode ser configurado para desenvolver um ou mais alvos de busca nos quaisj os efeitos fisiológicos notáveis são definidos como mais ou menos do que as medidas de limiar das uma ou mais condições:. { [015] Em um exemplo adicional, a(s) condição (jões) inclui (em) uma pluralidade de condições incluindo duas ou mais dentre pressão de cabine, temperatura, níveis de luz, níveis de visibilidade da cabine ou respirabillidade. Neste exemplo adicional, o modelador de efeitos fisiológicos pode ser configurado para desenvolver o modelo dè carga de trabalho de tripulação no qual a carga de trabalho j de tripulação é definida incluindo medidas das respectivas condições dentre a pluralidade de condições. E o codificador de alvo de busca pode ser configurado para desenvolver um ou mais alvos de busca nos quais os efeitos fisiológicos notáveis são definidos como a disjunção lógica de mais pu menos do que as medidas das respectivas condições dentre a:pluralidade de condições. [016] Em outros aspectos de implementações exemplares, um método e um meio de armazenamento legível por computador são providos para avaliar os efeitos cumulativos de uma falha. As características, as funções e as vantagens discutidàs neste documento podem ser atingidas independèntemente em diversas implementações exemplares ou podem ser combinadas em outras implementações exemplares, detalhes) adicionais das quais podem ser vistos em referência à seguinte descrição e desenhos. I BREVE DESCRIÇÃO DO(S) DESENHO(S) : [017] Tendo, assim, descrito implementações exemplares da revelação em termos gerais, será feita agora referênciã aos desenhos anexos, que não são necessariamente desenhados em escala, e em que: i [018] A Figura 1 é uma ilustração de um sistema de avaliação de falha cumulativa de acordo com uma implementação exemplar; j [019] As Figuras 2, 3, 4 e 5 ilustram um modelador de sistema adequado, modelador de efeitos, sistema de anãlibe de modelo e sistema de avaliação de efeitos, respectivamente, de acordo com implementações exemplares da presente jrevelação; [020] A Figura 6 ilustra uma representação gráfica exemplar de um alvo de busca de acordo com uma implementiação exemplar; e [021] As Figuras 7-10 ilustram esquematicamente modelos de disposição adequados de acordo com implementações exemplares.

I DESCRIÇÃO DETALHADA [022] Algumas implementações da presente revelação serão agora descritas mais completamente a seguir em referência aos desenhos anexos, nos quais algumas das, mas não todas as implementações da revelação são mostradas. De fato, diversas implementações da revelação podem ser incorporadas em muitas formas diferentes e não devem ser interpretadas limitando as implementações estabelecidas neste documento; em vez disso, estas implementações exemplares são providass de modo que esta revelação seja profunda e completa, e transmitirão completamente o escopo da revelação aos técnicos no assunto. Além disso, algo que possa ser mostrado ou descrito acima de outra coisa (salvo indicação em contrário) pode, em vez disso, estar abaixo, e vice-versa; e, da mesma j forma, algo mostrado ou descrito estando à esquerda de outra j coisa pode, em vez disso, estar à direita, e vice-versa. Numerais de referência semelhantes referem-se a elementos semelhantes em todo o documento. [023] Implementações exemplares da presente revelação referem-se, de maneira geral, à avaliação de efeitos cumulativos de falhas de sistema em um sistema complexole, em particular, à avaliação de efeitos cumulativos de falhàs únicas e múltiplas de sistema em um sistema complexoj altamente integrado de maneira altamente automatizada. Implementações exemplares serão principalmente descritas em conjunto com aplicações aeroespaciais, nas quais o sistema complexo pode ser uma aeronave. Deve ser entendido, entretanto, que as implementações exemplares podem ser utilizadas em conjunto com uma variedade de outras aplicações, tanto na indústria aeroespacial quanto fora da indústria aeroespacial (por exemplo, automotiva, marinha, eletrônijca). O acesso a dados de falhas precisos e consistentes é importante, porque ele pode impactar múltiplos aspectos! de operações de equipamentos, incluindo segurança, operaçõqs, manutenção, suporte de engenharia, e semelhantes. [024] Um sistema complexo, tal como uma aeronavé, pode ser geralmente composto por um ou mais componentes, subsistemas ou semelhantes (cada um chamado, de maneira ! geral, de um "subsistema") ; e cada subsistema pode ser composto por uma ou mais partes, e cada parte pode incluir j uma ou mais características. As partes do sistema complexo pedem ser montadas em uma série de subsistemas, os quais, por sua vez, podem ser montados no sistema complexo. No contexto de uma aeronave, uma ou mais partes ou subsistemas podem ser projetados como um componente modular da aeronave, muitas vezes chamado de unidade substituível em linha (LRU) , da qual uma única aeronave pode incluir uma série dej LRUs e outras partes ou subsistemas. Qualquer um dentre o jsistema complexo propriamente dito ou qualquer um de seus subbistemas, partes (de subsistemas), características (de part.es) ou semelhantes pode ser chamado, de maneira geral, dá um "sistema". [025] Conforme revelado neste documento, um sistema pode apresentar uma condição de falha (às vezes chamada de um risco) causada por uma ou mais falhas. Um sistema jpode falhar se qualquer uma dentre uma série de diferentes maneiras, tal como por mau funcionamento, degradação ou falha, cada uma das quais pode se referir a um modo de; falha (conforme descrito neste documento, uma referência a uma falha pode, às vezes, se aplicar igualmente, mais particularmente, a um modo de falha). Em alguns exemplos) um caso ou uma situação de falha (de maneira geral, "situação") pode descrever uma falha de nível de sistema complexo) começando com um ou mais efeitos de falha de nível de sistema originais que levam a uma condição de falha de nível dei sistema complexo. Um efeito de falha pode se referir à operação de um sistema como o resultado de uma falha; isto é, a(s) i consequência (s) que um modo de falha possui na operação) função, ou no estado de um sistema. E, em alguns exemplos;, uma falha ou um efeito de falha pode se tornar uma condição! de falha ou um risco. [026] Os efeitos de uma falha de nível de sistema podem incluir um ou mais efeitos diretos, e em diversos (casos, um ou mais efeitos indiretos, cada um dos quais pode causar uma falha indireta. Isto é, a falha de um sistema ej seus efeitos de falha podem impactar outro sistema, que pode, ( por sua vez, ter seus próprios efeitos de falha. Um acúmulo de efeitos de falha de sistema pode, às vezes, ser chamado de efeitos de falha "em cascata". Cada efeito em cascata pode estar associado a uma "ordem". Por exemplo, um efeito dè falha de primeira ordem pode estar imediatamente associadd à condição de falha, um efeito de falha de segunda ordem pode estar associado a um efeito de primeira ordem, e assim pof diante. [027] Uma aeronave, por exemplo, pode passar por falhâ de um barramento elétrico da aeronave ou no sistema navegacipnal (condição de falha). Esta condição de falha pode impactar(outros sistemas que terão seus próprios efeitos de falha (por exemplo, efeitos de falha de primeira ordem), tal como efeitos hidráulicos, efeitos navegacionais e/ou efeitos aviônicos, qualquer um ou mais dos quais pode levar a mais efeitos em cascata (por exemplo, segunda ordem, terceira ordem, etc.). Por exemplo, um efeito hidráulico pode levar a um efeito de controle de vôo, o qual, por sua vez, pode levar a um efe|ito de vibração na estrutura aérea. De maneira mais geral, üma situação de falha pode descrever uma falha de sistema (começando com um sistema falho original e, talvez, também incluindo um ou mais sistemas falhos de ordem superior (por exemplo, segunda ordem, terceira ordem). [028] Em referência agora à Figura 1, um sistema de validação de efeito de falha 100 é ilustrado de acordo com implementações exemplares da presente revelação. O sistema pode incluir qualquer um dentre uma série de diferentes subsistemas (cada um um sistema individual) para realizar uma ou mais funções ou operações. Conforme mostrado, por exemplo, o sistema pode incluir um modelador de sistema 102, modelador de efeitos 104, sistema de análise de modelo 106 e/ou sistema de avaliação de efeitos 108. Embora mostrados! como parte do sistema de validação de falha, um ou mais dentre o modelador de sistema, modelador de falha, sistema de análise de modelo e/ou sistema de avaliação de efeitos pode, em vez disso, ser separado, mas estar em comunicação com o sistema de validação de efeito de falha. Deve também ser entendido que um ou mais dos subsistemas podem furicionar ou operar como um sistema separado sem ter em conta os outros subsistemas. E além disso, deve ser entendido que o sistema de validação de efeito de falha pode incluir um ou mais ; subsistemas adicionais ou alternativos do que os mostrados na Figura 1. [029] O modelador de sistema 102 do sistema de validação de efeito de falha 100 pode ser geralmente configurado para desenvolver um modelo de sistema complexo do sistema complexo. O modelador de efeitos 104 pode ser configurado para desenvolver um modelo de efeitos cumulativos para modos de falha do sistema complexo (ou seus sistemas), e pelo quajl o modelo de nível de sistema complexo pode ser estendido. O modelo de efeitos cumulativos pode ser composto por diversos modelos, incluindo os para modos de falha, riscos e;/ou outros fatores que possam contribuir a efeitos cumulativos. Em alguns exemplos, então, o modelador de efeitos i pode também ser configurado para desenvolver expressões lógicas que definam riscos notáveis (ou excessivos) ou outros fatores contribuintes com base nestes modelos (ias expressões lógicas chamadas, âs vezes, de alvos de busca) . O sistema de análise de modelo 106 pode ser configurado para realizar uma análise automatizada utilizando o modelo (de sistema complexo estendido e buscar por alvos. O sistema de análise de modelo pode ser configurado para realizar ia análise para identificar os efeitos cumulativos de pelo menios alguns dos modos de falha. E o sistema de avaliação de efeitos 108 pode ser configurado para realizar ou permitir uma avaliação de nível de sistema complexo dos efeitos cumulativos. [030] Será feita agora referência às Figuras 2, 3, 4 e 5, que ilustram exemplos mais específicos de um modelador de sistema adequado 102, modelador de efeitos 104, sistema de análise de modelo 106 e sistema de avaliação de efeitos (108, respectivaraente, de acordo com implementações exemplares da presente revelação. [031] A Figura 2 ilustra um modelador de sistema (200, que, em uma implementação exemplar, pode corresponder ao modelador de sistema 102. 0 modelador de sistema pode ser geralmente configurado para desenvolver um modelo de nível de sistema complexo do sistema complexo, e pode incluir uma série de modeladores configurados para modelar (aspectos do sistema complexo dos quais o modelo de sistema i complexo pode ser composto. Como mostrado, por exemplo, o modelador de sistema pode incluir um modelador de arquitetura 202, modelador de modos operacionais 204, modelador de comportamento/interações 206 e/ou modelador de lógica de reconfiguração 208. | [032] O modelador de arquitetura 202 pode ser configurado para desenvolver um modelo da arquitetura do sistema cpmplexo. A este respeito, o modelador de arquitetura pode modelar a arquitetura, a função, sistemas, fluxo funcionali (por exemplo, energia, matéria, informações) e semelhantes, do sistema complexo. O modelador de arquitetura pode modelar os sistemas críticos â segurança e os fluxos do (por exemplo, energia, matéria, informações). Além disso, o modelado! de arquitetura pode modelar comandos de operador (por exemplo, piloto) , um ou mais sensores (por exemplo, os principais) (por exemplo, dados aéreos), e semelhantes. [033] O modelador de modos operacionais 204 pode ser configurado para desenvolver um modelo dos modos operacionais do sistema complexo. O modelador de modos operacionais pode modelar um ou mais modos operacionais de nível de) sistema complexo (por exemplo, os principais), e/ou modos operacionais de nível de sistema de diversos sistemas, tal como os visíveis além das fronteiras de sistemas. Em um exemplo,i o modelador de modos operacionais pode modelar comportamento dependente da operação, tal como comportamento dependente da fase do voo. [034] O modelador de comportamento/interações 206 pode ser configurado para desenvolver um modelo de comportamento e/ou interações de sistemas do sistema complexo (um modelo de comportamento/interações). Isto é, o modelador de comportamento/interações pode modelar os comportamentos e/ou interações de nível de sistema para diversos sistemas do sistema j complexo. Em alguns exemplos, este modelo de comportajmento/interações pode incluir relações lógicas entre sistemas, e quais relações lógicas podem ser refletidas por interfaces lógicas entre os respectivos sistemas. Interfaces lógicas entre um sistema e um ou mais outros sistemas podem indicar sistemas onde os efeitos (por exemplo, efeito real, redução em redundância, "nenhum efeito", etc.) devem ser esperados; no caso de falha do respectivo sistema. Interfaces lógicas podem ser providas de informações apropriadas, tal como as providas por um documento de controle de interface (ICD) . Eth um exemplo, o modelo de comportamento/interações pode incluir funções de transferência (em certo nível de abstração). Em alguns exemplos, o modelo de comportamento/interações pode particularmente incluir sistemas j com modos de falha que possam ser críticos ao sistema, j [035] O modelador de lógica de reconfiguração 208 podejser configurado para desenvolver um modelo de lógica de reconfiguração de sistema complexo. Esta lógica de reconfigúração pode incluir, por exemplo, dados de gerenciamento de carga elétrica (ELM), e/ou lógica de reconfiguração visível além de fronteiras de sistema (por exemplo, I controle de ambiente, hidráulica, controles de vôo) . Em um exemplo, dados de ELM podem incluir dados de carga elétricaj, que podem descrever o estado de energia de um ou mais sistemas elétricos (por exemplo, energizados, não energizados, energia intermitente) em diversos estados operacionais do sistema complexo. No contexto de aeronaves, em certos estados operacionais (por exemplo, no solo, energizáção, um motor desligado, etc.), um sistema elétrico pode esjtar em diversos estados de potência (por exemplo, metade da potência, um quarto da potência, etc.). Nestas situações, certos sistemas podem ser energizados enquanto outros sistemas podem não ser energizados. Os dados de ELM podem, portanto, indicar quais sistemas estão em "carga reduzida"; (por exemplo, potência removida de algum equipamento para manter funcionalidade básica em certas situações|) . Em um exemplo, então, os dados de carga elétrica podem ser dados em uma ou mais listas de "carga reduzida". [036] A Figura 3 ilustra um modelador de efeitos 300, que, em uma implementação exemplar, pode corresponder ao modelador de efeitos 104. 0 modelador de efeitos pode ser configurado para desenvolver um modelo de efeitos cumulativos para modos de falha do sistema complexo, o pode incluir uma série de modeladores configurados para modelar jmodos de falha, riscos, e/ou outros fatores que possam contribuir aos efeitos cumulativos de diversos modos de falhai 0 modelador de efeitos pode também ser configurado para desénvolver alvos de busca para diversos modos de falha. Conforme mostrado, por exemplo, o modelador de efeitos pode incluir um modelador de modos de falha 302, modelador de riscos 304, modelador de carga de trabalho de tripulação 306, modelador de margens de segurança 308 e/ou modelador de efeitos fisiológicos 310, os quais podem ser acoplados uns aos outros, bem como a um codificador de alvo de busca 312. [037] O modelador de modos de falha 302 pode ser configurado para desenvolver um modelo de modos de falha do sistema complexo (ou seus sistemas) . Isto é, o modelador de modos de falha pode modelar os modos de falha que o sistema jcomplexo e/ou diversos sistemas associados podem vivenciar. Alguns exemplos de modos de falha adequados podem incluir ja falha de uma série de sistemas ou operações de respectivos sistemas, tal como refrigeração líquida, refrigeração do compartimento de equipamentos, ar condicionado, barramentos elétricos, bombas, transformadores-retificadores, e semelhantes. Outros exemplos de modos de falha adbquados podem incluir perda ou degradação de freios, inversori de propulsão defeituoso/lento, e semelhantes. Para maiores informações referentes a aspectos de um modelador de modos de falha, vide a patente americana n° US 7,770,052, intitulada: Collahorative Web-Based Airplane Levei Failure Effects Analysis Tool, emitida em 3 de agosto de 2010, o conteúdo da qual é incorporado a este documento por referência na íntegra. [038] O modelador de riscos 304 pode ser configurado para desenvolver um modelo de riscos de riscos de nível dej sistema complexo e de nível de sistema. 0 modelador de riscós .pode modelar riscos que possam ser apresentados pelo sistema complexo e/ou diversos sistemas associados, lógica de acordo com a qual os riscos podem ser apresentados, e/ou modos de falha aos quais os riscos podem levar ou contribudr. Em alguns exemplos, então, o modelador de riscos pode modelar falhas propagadas (em cascata) e efeitos aos quais os riscos podem levar ou contribuir. Exemplos de falhas propagadas podem incluir perda de comunicação de satélite devido à redução de carga, perda de transceptor devido a perda de energia no barramento, perda de controlador de motor devido ã perda de refrigeração líquida, e semelhantes. [039] Em alguns exemplos, os riscos de nível de sistema jcomplexo ou de nível de sistema podem ser expressos em termos da lógica de acordo com a qual os respectivos riscos podem ser apresentados. A este respeito, um risco pode ser codificado em lógica e incluir variáveis de modelo de sistema icomplexo, operadores condicionais e matemáticos, e semelhantes. Por exemplo, a perda de comunicações pode ser definidaj pela perda das funções de comunicação em curto alcance e comunicação em longo alcance. Por sua vez, a perda de comunicação de curto alcance pode ser definida em termos de todos; os sistemas de comunicação por satélite redundantes estando desligados ou fora de serviço. Isto pode ser expresso por um | conjunto de expressões booleanas específicas à aeronave, tal como: Loss of comm:= loss_short_range_comm & 1o s s_long_range_com; loss_short_range_comm:= (av.SATCOM-L.state=off & av.SATCOM-R.State = off); loss_long_range_comm:= (av.HF-L.state=off & av.HF-R. State = off) ; [040] O modelador de riscos 304 pode também incluir uma gravidade (ou nível de risco) e/ou probabilidade para os riscos. Em alguns exemplos, a gravidade pode indicar o efeito do risco nos ocupantes e/ou operações do sistema complexo, e a probabilidade pode indicar as chances do risco ocorrer.! Em um exemplo, os riscos, a lógica, os níveis e as probabilidades podem ser dados por uma avaliação de segurança do sistema (SSA) e/ou avaliação de risco funcional (FHA) . Em um exemplo, a gravidade pode ser representada numericamente, tal como em ordem de "um" a "cinco" com o aumento da gravidade. Em outro exemplo, a gravidade pode ser dada por categorias, tal como pelas seguintes, com o aumento da gravidade: "nenhum efeito na segurança", "pequena", "grande", "perigosa" e "catastrófica". [041] O modelador de carga de trabalho de tripulação 306, o modelador de margens de segurança 308 e/ou o modelador de efeitos fisiológicos 310 podem ser configurados para desenvolver modelos de respectivos fatores que posdam contribuir aos efeitos cumulativos de diversos modos dei falha (além de riscos ou efeitos aos quais os riscos podem levar ou contribuir). Conforme sugerido, estes e outros fatores ) podem incluir carga de trabalho, margens de segurança, efeitos fisiológicos, e semelhantes. [042] O modelador de carga de trabalho de tripulação 306 pode ser configurado para desenvolver um modelo ;da carga de trabalho de tripulação. Em alguns exemplos), a carga de trabalho de tripulação pode ser definida incluindb um número de mensagens de alerta que podem ser geradas em resposta a um risco ou modo de falha. Mensagens de alerta podem incluir, por exemplo, mensagens de alerta, mensagens de estado, mensagens de manutenção ou semelhantes, que possam ser geradas em resposta a um efeito de falha. Por exemplo,! uma mensagem de alerta pode ser uma mensagens de alerta de tripulação acionãvel exibida para a tripulação de vôo para indicar uma falta de pressurização de cabine adequada). Em um exemplo, as mensagens de alerta podem ser prioriza)das de acordo com uma maior necessidade de ação, tal como "aviso", "cuidado" e "alerta". [043] Em resposta a um risco ou modo de falha, a tripulação pode ser encarregada a realizar uma ou mais ações compensatórias, tal como procedimentos de tripulação, procedimentos operacionais anormais, e semelhantes, as quais, em alguns exemplos, podem ser refletidas em uma ou mais listas )de verificação, documentos paginados ou outros semelhantes. Exemplos de ações compensatórias adequadas podem incluir troca para energia alternativa, descer a aeronave, e semelhantes. O tempo disponível para concluir ações compensatórias pode ser diferente em diferentes fases de operação1, tal como cruzeiro ou pouso para aeronaves. Em alguns exemplos, então, a carga de trabalho de tripulação pode seri definida incluindo um número de ações compensatórias ou páginas de ações compensatórias, e/ou um tempo para concluir ações compensatórias, além de, ou em substituição ao número de mensagens de alerta. Mais particularmente, por exemplo,! a carga de trabalho de tripulação pode incluir um número de (páginas de) procedimentos de tripulação, um número de (páginas de) procedimentos operacionais anormais, e/ou um tempo paira concluir ações compensatórias. Em alguns exemplos, o modelador de carga de trabalho de tripulação pode modelar interaçõés homem-mãquina de maneira mais detalhada. I [044] O modelador de margens de segurança 308 pode ser; configurado para desenvolver um modelo de margens de segurança. A margem de segurança pode ser considerada um espaço entre o uso esperado e uma condição insegura, e pode se referir a um ou mais fatores operacionais. Margens de segurança para aeronaves podem incluir, por exemplo, separação entre aeronaves, entre uma aeronave e o solo, entre uma aeronave e o clima, alcance da aeronave para combinação de combustível e fatores de voo, pista limitada por obstáculos na decolagem/subida, parar/virar em uma pista curta, e semelhantes. [045] De acordo com implementações exemplares, o modelador de margens de segurança 308 pode modelar um ou mais fatores operacionais, tal como, para uma missão, fase de voo ou ambiente do sistema complexo, qualquer um ou todos os quais podem interagir ou qualificar uma condição de falha específica. Exemplos de missões incluem voo transoceânico, (nenhum aeroporto próximo) e semelhantes. Exemplos de fases de voo incluem táxi, decolagem, subida, cruzeiro, descida, pouso, bubfases e semelhantes. E exemplos de ambientes incluem jclima, nuvem de cinzas, tráfego de ar denso, e semelhantes. [046] O modelador de margens de erro 308 pode também mbdelar medidas de uma ou mais condições que afetem a margem de segurança. Em alguns exemplos, estas medidas podem ser modeladas em termos de outras variáveis de modelo. Exemplos de condições adequadas incluem taxa de subida, taxa de queima de combustível, força de frenagem, e semelhantes. [047] O modelador de efeitos fisiológicos 310 pode ser configurado para desenvolver um modelo de efeitos fisiológicos. Em alguns exemplos, efeitos fisiológicos podem ser definidos incluindo medidas de uma ou mais condições que afetem ò conforto ou o desconforto fisiológico ou físico de alguém. Exemplos de condições adequadas incluem pressão da cabine, temperatura, níveis de luz, níveis de visibilidade da cabine (por exemplo, fumaça), respirabilidade, e semelhantes. [048] O codificador de alvo de busca 312 pode receber I entrada de diversos dos modeladores (por exemplo, modelador de modos de falha 302, modelador de riscos 304, modelador de carga de trabalho de tripulação 306, modelador de margens de segurança 308, modelador de efeitos fisiológicos 310) , gerar um ou mais alvos de busca com base em seus respectivos modelos. Em geral, os alvos de busca podem ser expressões ou algoritmos lógicos em lógica proposicional ou temporal composta por variáveis de modelo, números,j limiares, e semelhantes, que podem representar efeitos icumulativos de uma situação de falha que se deseje analisar;. Em alguns exemplos, um alvo de busca pode formalizar em uma expressão ou um algoritmo, critérios de avaliação que podem ser utilizados para selecionar situações de falha que possuam efeitos cumulativos suficientemente significativos para justificar uma maior avaliação por técnicos; no assunto (SMEs). Ele pode permitir a descoberta automãtipa de situações de falha única e falha múltipla que correspondam ao alvo de busca. Esta automação pode reduzir mão-de-obra, e pode ser mais sistemática e/ou eficaz quanto comparada com outras abordagens mais ad-hoc. [049] Mais particularmente, um alvo de busca pode ser uma expressão lógica ou algoritmo em lógica proposicional ou temporal que combine representações ou quantificações de riscos, carga de trabalho de tripulação, margens de segurança, efeitos fisiológicos e semelhantes para modos de falha do sistema complexo. Um alvo de busca pode codificar riscos notáveis (ou excessivos), carga de trabalho de tripulação, perda de margens de segurança e/ou efeitos fisiológicos no caso de uma situação de falha. Em alguns exemplos, riscos notáveis podem ser definidos sendo maiores que um ; número de limiar de riscos de nível de sistema complexo e de nível de sistema. A carga de trabalho de tripulação pode ser definida sendo maior que o(s) número(s) de limiar de mensagens de alerta que podem ser geradas para uma situação de falha, e/ou (páginas de) ações compensatórias (procedimentos de tripulação, procedimentos operacionais anormais), e/ou um tempo de limiar para concluir ações compensatórias, que podem marcar a carga de trabalho de tripulação notável no caso de uma situação de falha. A perda notável de margem de segurança pode ser definida como um ou mais fatbres operacionais e mais ou menos que medida(s) de condição :(ões) de limiar que afetem a margem de segurança. E os efeitos fisiológicos notáveis podem ser definidos sendo mais ou menos do que medida(s) de condição(ões) de limiar que afetem o conforto/desconforto fisiológico/físico de alguém. Em diverbos exemplos, as expressões podem incluir conjunções (portas E) e/ou disjunções (portas OU) lógicas de respectivos números,| limiares, e semelhantes. [050] Em alguns exemplos, medidas de limiar de condiçãoKões) que afetem a margem de segurança podem incluir um limiar de uso esperado, tal como medidas mínima/máxima de uso espèrado (por exemplo, nenhuma redução na margem de segurança), e um limiar de condição insegura, tal como medidas mínima/máxima de uma condição insegura (por exemplo, condição: insegura causando incidente catastrófico). A margem de segurança, então, pode ser considerada a diferença entre o limiar de uso esperado e o limiar de condição insegura. [051] Além disso, em alguns exemplos, a margem de segurança pode incluir um ou mais limiares intermediários que caracterizem perda parcial de margem de segurança correspondente a diferentes níveis de gravidade (por exemplo, perigoso, grande, pequeno). Medidas quantitativas podem ser associadas a respectivas descrições qualitativas. Por exemplo,: um limiar de redução grande pode estar associado a uma condição (perigosa) que cause mais que uma redução significativa de margem de segurança, mas não cause uma perda completá de margem de segurança. Um limiar de redução significativo pode estar associado a uma condição (grande) quando for razoavelmente esperado que um voo e um pouso seguros possam ocorrer, ausentes outras falhas e tudo exceto as condições operacionais adversas mais extremas. E um limiar de redução ligeira pode estar associado a uma condição (pequena) que possui mais do que nenhum efeito, porém menos que um efeito significativo (por exemplo, conforme acima para uma redução significativa). [052] Um alvo de busca pode incluir riscos de nível de; sistema complexo e de nível de sistema modelados pelo modelador de riscos 3 04, e seu número de limiar e gravidade para notabilidade no caso de uma situação de falha. Além disso ou alternativamente, o alvo de busca pode incluir mensagens de alerta, (páginas de) ações compensatórias (procedimentos de tripulação, procedimentos operacionais anormais) e/ou tempo para concluir ações compensatórias modeladas pelo modelador de carga de trabalho de tripulação 3 06, e Çeu número de limiar para notabilidade no caso da situaçãol de falha. Além disso ou alternativamente, o alvo de busca pode incluir margens de segurança modeladas pelo modelador de margens de segurança 308, e sua perda de limiar para notabilidade no caso de uma situação de falha. E além disso, adicionalmente ou alternativamente, o alvo de busca pode | incluir condições de conforto/desconforto fisiológico/físico modeladas pelo modelador de efeitos fisiológicos 310, e suas medidas de limiar no caso da situação; de falha. [053] Em um exemplo, um alvo de busca pode ser utilizado para identificar situações de falha que causem múltiplos riscos grandes e carga de trabalho de tripulação excessiva que ocorram durante a fase de pouso do voo. Em outro exemplo, um alvo de busca pode ser utilizado para identificar situações de falha causando duas ou mais condições de falha "perigosas" durante qualquer voo. Em ainda outro exemplo, um alvo de busca pode ser - utilizado para identificar situações de falha tendo mais de três condições de falha|e menos de três modos de falha, e carga de trabalho de tripulação excessiva ou mais que um efeito fisiológico. Neste exémplo, o alvo de busca pode ser codificado conforme a seguir: SearchTarget1 : = major_hazard_count > 3 & f ailure_rhode_count < 3 & (excessive_workload = True | physicalj_effect > 1) & flight phase = LANDING; [054] Em um exemplo, um alvo de busca pode ser utilizado para identificar situações de falha nas quais uma perda/degradação de propulsão e retratilidade de trem de pouso impedem que a aeronave atinja uma taxa de subida suficiente (condição afetando a margem de segurança) durante a decolagem a partir de uma pista com obstáculos próximos de seu final (fator operacional). Em outro exemplo, um alvo de busca pode ser utilizado para identificar situações de falha nas quais uma perda/degradação de freios e controle direcional impedem que a aeronave gere uma energia de frenagem! total suficiente (condição afetando a margem de segurança) para parar antes do final de uma pista curta durante | o pouso (fator operacional). E em ainda outro exemplo/ um alvo de busca pode ser utilizado para identificar situações de falha nas quais uma perda de pressão de cabine ou a perda/degradação combinada de controle de aero- superfície e controle de combustível impedem que uma aeronave bimotor em uma rota transoceânica atinja seu aeroporto mais próximo (fator operacional), nas quais a condição que afetam a margemj de segurança podem incluir a relação de alcance restante ipara a distância do aeroporto mais próximo. [055] A Figura 6 ilustra um exemplo de uma representação gráfica de um alvo de busca adequado 600. Conforme I mostrado, o alvo de busca exemplar inclui nós para riscos 602 (perda/função degradada), carga de trabalho de tripulação 604, margem de segurança 606 e efeitos fisiológicos 608. Este alvo de busca pode ser utilizado para identificar situações de falha tendo mais do que um primeiro numero dè limiar (Tl) de riscos de nível de sistema complexo e de nívèl de sistema. A carga de trabalho excessiva no alvo de busca:pode incluir a disjunção lógica maior que um segundo número de limiar (T2) de mensagens de alerta, um terceiro número de limiar (T3) de páginas de procedimentos de tripulação, e um quarto número de limiar (T4) de páginas de procedimentos operacionais anormais. A perda notável de margem de segurança pode incluir a disjunção lógica de fator(es) operacional(is) e uma condição que afeta a margem de segurança menos que um quinto limiar (T5), fator(es) operacional(is) e uma condição que afeta a margem de segurança mais que um sexto limiar (T6), e fator(es) operacional(is) e uma condição que afeta a margem de segurança entre um sétimo limiar (T7) e oitavo limiar (T8). E os efeitos fisiológicos notáveis podem incluir a disjunção lógica de pressão de cabine maior que um nono limiar (T9) , temperatura da cabine menor que um décimo limiar (T10) ou maior qúe um décimo primeiro limiar (Tll) , e densidade de fumaça maior que um décimo segundo limiar (T12). [056] Notavelmente, as expressões lógicas mostradas na Figura 6 podem não constituir todo o conjunto de casos para o alvo de busca ilustrado. Na carga de trabalho de tripulação 604, por exemplo, alertas sonoros dão aos pilotos informações urgentes que podem exigir a resposta do piloto, aumentando a carga de trabalho. Na margem de segurança 606, por exemplo, podem existir muitas margens de segurança adicionais que são modeladas em diferentes maneiras e constituém outras entradas à expressão de disjunção lógica. Em efeitos fisiológicos 608, por exemplo, outro efeito pode ser a perda de iluminação, que impactaria a evacuação ou a leitura de documentação em papel no cockpit. [057] Um alvo de busca pode, portanto, combinar múltiplos riscos ou falhas com outros fatores que contribuem para efeitos cumulativos, tal como carga de trabalho, margens de segurança, efeitos fisiológicos e semelhantes. Podem haver múltiplos alvos de busca para cobrir diferentes combinações de fatores, tal como número/gravidade de riscos/falhas, carga de trabalho, margens de segurança, efeitos fisiológicos, e semelhantes. Em alguns exemplos, múltiplas falhas ou outros fatores de uma situação de falha podem combinar para elevar uma gravidade de nível de sistema complexo acima de um único risco de; nível de sistema. Por exemplo, uma falha dupla que causa três falhas "grandes" (conforme categorizado individualmente na aeronave ou no FHA do sistema) pode ter uma graj/idade combinada de "perigosa" ou "catastrófica" quando ayaliada de acordo com as diretrizes do CFR 25.1309. [058] A Figura 4 ilustra um sistema de análise de modelo 400, o qual, em uma implementação exemplar pode corresponder ao sistema de análise de modelo 106. Conforme sugerido! acima, em alguns exemplos, o modelo de sistema complexo!pode ser estendido para incluir o modelo de efeitos cumulativos, e assim, formar um modelo de sistema complexo. O sistema Ide análise de modelo pode incluir um iniciador de situação! 402 configurado para iniciar uma situação de falha para análise, o qual pode incluir a seleção (por exemplo, seleção !pelo usuário) de um modelo de sistema complexo estendido (incluindo seus modos de falha), alvos de busca, tipo de Ianálise, e semelhantes. Em um exemplo, o modelo de sistema complexo pode ser um desenvolvido por um modelador de sistema 102, e estendido para incluir o modelo de efeitos cumulativos desenvolvido por um modelador de efeitos 104. Os alvos de| busca podem, igualmente, ser os desenvolvidos pelo modelador de efeitos. E o tipo de análise pode ser qualquer um dentre uma série de diferentes tipos de análises que podem ser realizadas utilizando o modelo de sistema complexo e alvos de| busca. [059] O sistema de análise de modelo 400 pode incluir um executor de situação 404 configurado para analisar o modelo: de sistema complexo estendido com base nos alvos de busca, e de acordo com o tipo de análise selecionado no iniciador de situação 402. Em alguns exemplos, o executor de cenário |pode realizar uma busca gráfica de possíveis estados do modelp de sistema complexo para localizar um ou mais alvos de busca, e pode fazer de acordo com um algoritmo de análise apropriado. O algoritmo pode ser de cima para baixo ou de baixo para cima. Em alguns exemplos, o algoritmo pode atravessar um espaço de estado (gráfico) do modelo de sistema complexo; estendido para determinar se o alvo de busca é localizável. O algoritmo pode registrar um conjunto de corte mínimo (MCS) em casos nos quais um estado atingível cruza o alvo de busca, e registrar um traçado para cada MCS. [060] Exemplos de algoritmos adequados que o executor|de situação 404 pode utilizar para determinar se o alvo de busca pode ser atingido incluem enumeração de espaço de estado, enumeração de espaço de estado, interpretação abstrata] simulação simbólica, avaliação de trajetória simbólica, execução simbólica e semelhantes, diversos dos quais podem ter uma variedade de implementações. Na categoria de enumeração de espaço de estado simbólico, por exemplo, o executor! de situação de análise pode usar diagramas de decisão ibinários (BDDs), diagramas de decisão de zero suprimido (ZDDs), verificação de modelo delimitado, análise de satisjfatibilidade (SAT) , analise de teorias de módulo de satisfatibilidade (SMT) e semelhantes. Em alguns exemplos mais esppcíficos, o executor de situação pode usar extensões adicionais para registrar contraexemplos (violações), e produzir! sumários de árvores de falhas de MCS e análise de modos dei falha e efeitos (FMEA) ou outros artefatos, tal como para uso! na análise de segurança baseada em modelo (MBSA) . [061] O executor de situação 404 pode produzir e emitir resultados da análise a um avaliador de resultado 406, que: pode ser configurado para analisar os resultados da análise,: ou em alguns exemplos, apresentar os resultados a um usuário j (por exemplo, analista) para facilitar sua análise dos resultados. Em alguns exemplos, os resultados podem incluir |árvores de falhas, árvores de falhas de MCS, tabelas de FMEA,.: Sumários de FMEA, diagramas de temporização ou dados equivalentes. Uma árvore de falhas é uma representação da sequência de eventos que levam a uma condição de falha, com os eventds sendo conectados por portas lógicas (por exemplo, E, OU) . Úma árvore de falhas de MCS é a menor combinação de eventos que possam causar a condição de falha. Tabelas de FMEA são irepresentações de definições de falha e seus efeitos locais. Üm sumário de FMEA apresenta informações sobre as falhas iniciais e a condição de falha resultante geral. Uma árvore dè falhas, árvore de falhas de MCS ou um sumário de FMEA podém ter diagrama(s) de temporização apropriado(s) que provêm informações sobre a sequência de operação que levou â condiçãojde falha. Um diagrama de temporização representa os valores de variáveis em um modelo ao longo do tempo e mostra a relação de temporização entre variáveis. O diagrama de temporização pode ser analisado por uma parte interessada, ou seus eventos de disparo podem ser inseridos em um simulador para simular passo a passo a sequência de operações para melhor compreender a sequência de falhas que levam à condição de falha. [062] 0 sistema de análise de modelo 400 pode adicionalmente incluir um organizador de resultados 408 configurado para organizar os resultados, tal como por filtragem, classificação, agrupamento, ou semelhante. Por exemplo,! o organizador de resultados pode organizar os resultados ou truncar a geração de MCSs (pelo executor de situação! 404) com base em probabilidades de MCS, tal como quando à probabilidade é menor que um certo limiar. O organizador de resultados pode agrupar resultados com base em sua similaridade (por exemplo, duplicar/espelhar imagem), e em um Çxemplo, pode utilizar uma lista de componentes redundantes para identificar similaridade. Em outro exemplo, o organizador de resultados pode agrupar situações de falha com modds de falha sobrepostos ou condições de falha sobrepostas. Em alguns exemplos, o organizador de resultados pode automaticamente organizar os resultados. Ou em outros exemplos,! o organizador de resultados pode organizar os resultadds em resposta a entrada de um usuário, tal como o usuário analisando os resultados apresentados pelo avaliador de resultados de análise 406. [063] A Figura 5 ilustra um sistema de avaliaçãó de efeitos 500, o qual, em uma implementação exemplar,; pode corresponder ao sistema de avaliação de efeitos 108. Conforme mostrado, o sistema de avaliação de efeitos pode incluir um sistema de disposição de resultados 502 (às vezes chamado de um sistema de disposição de dados), sistema ánalisador de SME 504, sistema de atribuição de risco 506 e/ou!sistema de documentação 508. 0 sistema de disposição de resultados pode ser configurado para receber pelo menos uma porção de um modelo de sistema complexo estendido e resultados de uma análise de falhas realizada no mesmo (coletivàmente chamados às vezes de "dados de análise de falha"),;tal como por um sistema de análise de modelo 106. Em alguns exemplos, os dados de análise de falha podem ser mantidos! em um respectivo armazenamento, tal como armazenamento em arquivo, armazenamento em banco de dados, armazenamento na nuvem ou semelhantes, e formatados e armazenados em qualquer uma dentre uma série de diferentes maneiras!de acordo com o respectivo armazenamento. [064] O sistema de disposição de resultados 502 pode gerar qualquer uma ou mais dentre uma pluralidade de diferentes disposições de dados de análise de falhas, com pelo menós alguns dos dados de análise de falhas sendo compartilhados entre pelo menos algumas das diferentes disposições. Em alguns exemplos mais específicos, o sistema de disposição de resultados pode pós-processar traçados de MCSs para: gerar dados de análise de falhas para a disposição. A disposição pode ser apresentada visualmente; e em um exemplo, a apresentação visual de uma disposição pode ser exibível jtal como em uma interface gráfica de usuário (GUI) apresentada por uma tela. Em outro exemplo, a apresentação visual pbde ser imprimível, tal como por uma impressora configuráda para gerar uma impressão da disposição. A apresentação visual de uma disposição pode, às vezes, ser chamada, de maneira geral, de simplesmente a disposição. [065] O sistema de disposição de resultados 502 pode ser|configurado para selecionar um modelo de disposição dentre uma pluralidade de modelos de disposição para selecionar e organizar dados de análise de falhas. Em um exemplo, o mecanismo de disposição pode ser configurado para selecionar o modelo de disposição de acordo com uma solicita<ção por dados de análise de falhas, que pode indicar ou então refletir um modelo de disposição específico. Os modelos Ide disposição podem incluir qualquer um dentre uma série de;diferentes tipos de disposições para organizar dados de análise de falhas. Conforme explicado melhor abaixo, exemplos)de modelos de disposição adequados incluem um modelo de disposição de efeitos em cascata, modelo de disposição de cabine de comando, modelo de disposição de perfil de voo, modelo de disposição de impacto funcional, ou semelhante. Outros elxemplos podem incluir combinações de um ou mais dos modelos Ide disposição acima. Os modelos de disposição podem ser mantidos em um respectivo armazenamento, tal como armazenamento em arquivo, armazenamento em banco de dados, armazenamento na nuvem ou semelhantes, e formatados e armazenados em qualquer uma dentre uma série de diferentes maneiras ide acordo com o respectivo armazenamento. ; [066] O sistema de disposição de resultados 502 pode ser;configurado para gerar uma disposição de dados de análise de falhas, que podem ser dispostos de acordo com o modelo dé disposição selecionado, e comunicar a disposição, talco mo a uma GUI, impressora, ou semelhante. Em alguns exemplos,! o sistema de disposição de resultados pode gerar dinamicamente a disposição de acordo com um modelo de disposição selecionado, de modo que uma diferente disposição dos dados de análise de falha pode ser realizada mudando o modelo dé disposição selecionado. Em um exemplo, então, o sistema j de disposição de resultados pode receber uma solicitação por uma diferente organização de dados de análise de falhas, selecionar um diferente modelo de disposição, e gerar uma diferente disposição de dados de análise de falhas, em respojsta à solicitação. Isto pode incluir o sistema de disposição de resultados de análise sendo configurado para reorganizar dados de análise de falha de acordo com o modelo de disposição diferente selecionado. [067] O sistema analisador de SME 504 pode ser configurado para apresentar diversos aspectos de uma situação de falha! analisada, tal como seu modelo de sistema complexo estendido e alvos de busca, resultados da análise de falhas, e/ou disposições de dados de análise de falhas incluindo pelo menos uma porção do respectivo modelo e dos resultados. O sistema j analisador de SME pode apresentar aspectos da situação ide falha analisada a um ou mais usuários para facilitar; sua análise da situação de falha e seus efeitos cumulativos. Estes usuários podem incluir, por exemplo, uma equipe de partes interessadas do sistema complexo, tal como engenheiros de sistemas, representantes autorizados (ARs), engenheiros de segurança, técnicos no assunto (SMEs) de sistemas lindividuais, pilotos e semelhantes. [068] O sistema de atribuição de risco 506 pode ser configurado para receber a atribuição de uma gravidade de nível de: sistema complexo à falha de nível de sistema complexo descrita pela situação de falha analisada, com base na análise de aspectos da situação de falha analisada; e o sistema ide atribuição de risco pode também capturar uma justificativa para a atribuição. Em diversos exemplos, a atribuição e sua justificativa podem ser feitas por um ou mais usuários (por exemplo, equipe de partes interessadas), de acordo com princípios aceitos. [069] O sistema de documentação 508, então, pode ser configurado para compor a situação de falha analisada e sua gravidade e sua justificativa atribuídas. Conforme! sugerido acima, a situação de falha analisada pode incluir,| por exemplo, seu modelo de sistema complexo estendido e alvos de busca, resultados da análise de falha, e/ou disposições de dados de análise de falha, e ainda incluindò sua gravidade e sua justificativa atribuídas. Em alguns exemplos, o sistema de documentação pode compor o acima descrito para armazenamento, tal como armazenamento em arquivo,; armazenamento em banco de dados, armazenamento na nuvem od semelhantes, e pode formatar e armazenar o acima descrito! em qualquer uma dentre uma série de diferentes maneiras de acordo com o respectivo armazenamento. | [070] Retornando agora para o resultado do sistema de disposição 502, conforme explicado acima, o sistema díe disposição de resultado pode gerar uma disposição de dados I de análise de falha de acordo com uma série de diferentes modelos de disposição diferentes. E os modelos de disposiçãb podem incluir qualquer um dentre uma série de diferentes tipos de disposições para organizar dados de análise cie falhas. Será feita agora referência às Figuras 7 a 10, que lesquematicamente ilustram exemplos de modelos de disposição adequados no contexto de uma aeronave. Conforme mostrado, estes exemplos incluem uma disposição de efeitos em cascata, j disposição de cabine de comando, disposição de perfil dé voo, disposição de impacto funcional ou semelhante. [071] A Figura 7 ilustra um modelo de disposição de efeitos em cascata 700 de acordo com uma implementação exemplar. O modelo de disposição de efeitos em cascata geralmente provê uma representação gráfica de efeitos de falha; em cascata incluindo um ou mais efeitos diretos, e em diversos casos, um ou mais efeitos indiretos. Conforme explicadõ acima, um efeito direto pode ser qualquer efeito primário; (ou original) resultante diretamente de uma falha de nível de sistema original. Um efeito indireto pode ser qualquer! efeito secundário (ou de segunda ordem), terciário (ou de terceira ordem), quaternário (ou de quarta ordem) e assim por diante, até um efeito de nível de sistema complexo) resultante indiretamente de uma falha de nível de sistema original, e diretamente de um efeito direto ou de outro efeito indireto. Este modelo de disposição pode ser de interesse especial para entender os motivos por trás dos efeitos é os impactos entre sistemas do sistema complexo. Este modelo de disposição pode ser útil para uma série de diferentes partes interessadas do sistema complexo, tal como engenheiros de sistemas, ARs, engenheiros de segurança, SMEs de sistemas individuais, pilotos ou semelhantes. [ [072] Conforme mostrado na Figura 7, no modelo de disposição de efeitos em cascata 700 para uma situação (ou caso) de j falha, cada sistema do sistema complexo pode ser representado como um nó 702 e incluir respectivos dados de falha 704, tal como uma ou mais mensagens de alerta, descrição! de nível de risco e/ou de efeito adicional de nível de sistema (apenas um nõ sendo citado e mostrados os respectivos dados de falha na Figura 7). O modelo de disposição de efeitos em cascata pode também ilustrar os elos 706 (apenas um elo sendo citado) entre os nós 702, o que pode ilustrar ; como uma falha de um sistema do sistema complexo pode resultar diretamente ou indiretamente em falha de um ou mais outiros sistemas do sistema complexo. Em um exemplo, estes elós podem ser apresentados para ilustrar os efeitos em cascata de uma falha de sistema. A este respeito, o modelo de disposição de efeitos em cascata pode identificar um sistema falho original, e o qual pode passar por um ou mais efeitos diretos da falha. O sistema falho original pode, por sua vez, estar ligado diretamente ou indiretamente a um ou mais sistemas! falhos de ordem superior que podem passar por respectivos efeitos mais indiretos de ordem superior. Por exemplo,i o sistema falho original pode estar diretamente ligado a um ou mais sistemas falhos secundários que podem passar p:or um ou mais respectivos efeitos secundários. 0(s) respectivo(s) sistema(s) falho(s) secundário(s) pode(m), por sua vez, estar ligado (s) a um ou mais sistemas falhos terciárioá do sistema complexo que possam passar por respectivos um ou mais efeitos terciários. Para o sistema complexo, isto pode ocorrer para n-ordens de sistemas removidos do sistema falho original. [073] Em um exemplo, os nós 702 do modelo de disposição de efeitos em cascata 700 podem ser dispostos pela ordem dej seus efeitos. O sistema falho original pode ser organizado de acordo com sua experiência dos efeitos diretos 708. Este sistema falho original pode, em seguida, estar ligado a i um ou mais sistemas falhos secundários organizados de acordo com sua experiência dos efeitos secundários 710, e que podem estar ligados a um ou mais sistemas falhos terciários organizados de acordo com sua experiência dos efeitos terciários 712. Este elo pode, em seguida, continuar a um ou mais sistemas falhos de ordem superior organizados de acordo còm sua experiência dos efeitos de n-ésima ordem 714 . Deve ser entendido que, embora o modelo de disposição de efeitos em cascata da Figura 7 pareça indicar pelo menos duas ordens de efeitos resultantes de uma falha original, menos de duas ord;ens de efeitos podem resultar de uma falha original (incluindo uma falha original com apenas efeitos diretos). [074] A Figura 8 ilustra um modelo de disposição de cabine de comando 8 00 de acordo com uma implementação exemplar. O modelo de cabine de comando geralmente provê uma representação gráfica de efeitos de falha em cascata que pelos quais um ou mais sistemas de cabine de comando podem passar. O modelo de disposição de cabine jde comando pode ser de interesse especial para compreender como uma falha específica pode aparecer para uma tripulação de uma aeronave ou outro sistema complexo similar. Estas informações podem ser úteis para partes interessadas, tais como engenheiros de sistemas, ARs, engenheiros de segurança) SMEs de sistemas, pilotos e semelhantes. j [075] Conforme mostrado na Figura 8, o modelo de disposição de cabine de comando 800 pode incluir uma representhção esquemática de uma cabine de comando 802 na qual diversos de seus sistemas podem ser ilustrados por respectivas representações esquemãticas 804 (alguns, mas não todos os j quais são citados na Figura 8) . Em um exemplo, a cabine dè comando e seus sistemas podem ser representados esquematiicamente em uma maneira que reflita a colocação dos sistemas j (ou mais particularmente, em um exemplo, seus controles) que possam estar visíveis à tripulação na cabine de comando. Em um exemplo, esta representação esquemática pode serjgerada a partir de dados de projeto para a cabine de comando. i [076] Para uma situação de falha, então, o modelo de disposição de cabine de comando 800 pode identificar um ou mais sistemas falhos, incluindo sistemas falhos originais e/ou de ordem superior, e pode fazê-lo diretamente em suas respectivas representações esquemãticas 804. Em \ um exemplo, o modelo de disposição de cabine de comando pode destacar textualmente, graficamente ou de outra maneira as representações esquemãticas de um ou mais sistemas falhos. Em um exemplo adicional, o modelo de disposição de cabine dè comando pode destacar um ou mais sistemas falhos de uma maneara que reflita dados de falha adicionais, tal como os testados funcionais (ou modos de falha) dos sistemas falhos. Conforme mostrado na Figura 8, por exemplo, o modelo de disposição de cabine de comando pode delinear 806 representações de sistemas falhos tendo um estado "degradado", e representações cruzadas 808 de sistemas falhos tendo um estado "falho". I [077] Além do acima descrito, o modelo de disposição de cabine de comando 800 pode incluir dados de falha adicionais para sistemas falhos na cabine de comando. Em um exeinplo, estes dados de falha adicionais podem incluir, para pelò menos alguns dos sistemas falhos, uma ou mais mensagens® de alerta 810 e/ou ações compensatórias que podem ser ter siido geradas ou tomadas em resposta a uma falha. Além disso ou jalternativamente, os dados de falha adicionais podem incluir descrições de nível de risco e/ou de efeito adicional de nível! de sistema para pelo menos alguns dos sistemas falhos. ! [078] A Figura 9 ilustra um modelo de disposição de perfil de voo 900 de acordo com uma implementação exemplar. O modelo de disposição de perfil de voo fornece, de maneira geral, uma representação gráfica de efeitos de falha em cascata em um perfil de voo ideal. Este modelo dè disposição pode diferir dos outros modelos "planos" em que ele provê uma visualização em fases de tempo/fases de voo de uma situação de falha. Nem todas as falhas de sistema ocorrem ao mesmo tempo. Podem haver atrasos de tempo em falhas em cascata. Por exemplo, a perda de resfriamento pode levar a falhas em sistemas que podem ser degradados ou falhos acima dei uma certa temperatura, mas pode levar tempo para que o sistema, uma vez resfriado, eleve a temperatura acima da respectiva temperatura. Estas informações podem ser úteis para partes interessadas, tais como engenheiros de sistemas, ARs, engenheiros de segurança, SMEs de sistemas, pilotos ou semelhantes. ![079] Conforme mostrado na Figura 9, o modelo de disposição de perfil de voo 900 pode incluir uma representação gráfica de um perfil de voo 902 para um voo da aeronave,; que, em um exemplo, pode parecer similar a um gráfico de linha de altitude de aeronave em função do tempo. O modelo ide disposição de perfil de voo pode, então, incluir uma linhá do tempo de uma ou mais situações de falha que ocorram durante o voo, e pode fazê-lo no perfil de voo. Em um exemplo, to modelo de disposição de perfil de voo pode incluir dados de falha, tal como identificação de uma ou mais falhas originais; ou de ordem superior 904, e/ou uma ou mais descriçõés de efeitos adicionais 906, mensagens de alerta 908 e/ou ações compensatórias 910 (alguns, mas não todos os quais são citados na Figura 9). [080] Pelo menos, alguns dos dados de falha do modelo de disposição de perfil de voo 900 podem estar associados ao tempo (através da fase de voo identificada) . O modelo dè disposição de perfil de voo pode, portanto, incluir os elos 912 entre os dados e tempos de falha no perfil de voo (mostrado, por exemplo, como um elo em forma de seta) (alguns, I mas não todos os elos sendo citados) . Por exemplo, uma falha original ou de ordem superior 904 pode estar associadk ao tempo no qual a falha ocorreu, e efeitos adicionais 906 de uma falha podem estar associados ao tempo no qual estes efeitos são vivenciados. Em outro exemplo, uma mensagens de alerta 908 pode estar associada ao tempo no qual um sistema gerou a respectiva mensagem, e uma ação compensatória 910 pode estar associada ao tempo no qual a tripulação realizou a respectiva ação. Em um exemplo, o modelo de: disposição de perfil de voo pode adicionalmente indicar um atraso de tempo 914 entre uma falha e dados de falha que:podem ser gerados ou tomados em resposta à falha. í [081] A Figura 10 ilustra um modelo de disposição de impacto funcional 1000 de acordo com uma implementação exemplar. O modelo de disposição de impacto funcional: provê, de maneira geral, uma representação tabular resumindo? efeitos de nível de sistema individual e seus impactos às funções de nível de sistema complexo. Este modelo de disposição pode ser diferente dos outros modelos de disposição em que ele provê aos engenheiros uma maneira de avaliar d efeito geral de degradações a cada função de nível de sistenia complexo. Estas informações podem ser úteis para partes interessadas, tais como engenheiros de sistemas, ARs, engenheiros de segurança, SMEs de sistemas, pilotos ou semelhantes. [082] Conforme mostrado na Figura 10, o modelo de disposição de impacto funcional 1000 pode incluir uma tabela téndo uma ou mais linhas (ou registros) 1002 para uma ou mais respectivas situações de falha, e uma ou mais colunas (ou campos) 1004 especificando informações referentes à(s) respectiva(s) situação(ões) de falha, Para cada situação de falha em uma linha, as colunas podem identificar uma falha e/ou um ou mais efeitos ou falhas de ordem superior assim manifestadas, e podem identificar ou resumir de outra maneira funções |de nível de sistema complexo impactadas pela(s) respectiva(s) falha ou falhas de ordem superior. Em um exemplo,; para cada situação de falha, uma das colunas pode adicionalmente prover um resumo do efeito combinado da degradação de todas as funções de nivel de subsistema e seu efeito naisegurança de nivel de sistema geral. I[083] De acordo com implementações exemplares da presente revelação, o sistema de validação de efeito de falha 100|e seus subsistemas incluindo o modelador de sistema 102, modelador de efeitos 104, sistema de análise de modelo 106 e sistema de avaliação de efeitos 108 podem ser implementados por diversas meios. Da mesma forma, os exemplos de um modelador de sistema 200, modelador de efeitos 300, sistema de análise de modelo 400 e sistema de avaliação de efeitos 500, incluindo cada um de seus respectivos elementos, podem seir implementados por diversos meios de acordo com implementações exemplares. Meios para implementar os sistemas,; subsistemas e seus respectivos elementos podem incluir hardware, sozinho ou sob a direção de uma ou mais instruçõés de código de programa de computador, instruções de programa i ou instruções de código de programa legível por computador executáveis (às vezes chamados, de maneira geral, de "programas de computador", por exemplo, software, f irmware, etc.) de um meio de armazenamento legível por computador. [084] Em alguns exemplos, os sistemas, subsistemas ou seus respectivos elementos podem se beneficiar de programa de computador comercialmente disponíveis. Por exemplo,! o sistema de validação de efeito de falha 100 pode se beneficiar de IBM Rational DOORS (Dynamic Object Oriented Requirements System) para receber diversos requisitos do sistema (complexo (e seus diversos sistemas) a ser modelado. O modelador de sistema 102, o modelador de efeitos 104 e/ou seus diversos elementos podem se beneficiar de diversas ferramentas de modelagem, tal como Simulink®, Stateflow® ou semelhantes. Os respectivos modeladores e/ou seus diversos elementos podem desenvolver ou facilitar o desenvolvimento de diversos modelos de acordo com linguagens apropriadas, tal como SysML (Systems Modeling Language) , AADL (Architecture Analysis & Design Language) ou semelhante. E o sistema de análise de modelo 106 pode se beneficiar de diversas ferramentas de análise, tal como NuSMV3, Cecilia OCAS ou semelhante. j [085] Em um exemplo, um ou mais aparelhos podem ser providos, os quais são configurados para funcionar como, ou implementar os sistemas, subsistemas e respectivos elementos mostrados e descritos neste documento. Em exemplos que envolvem mais de um aparelho, os respectivos aparelhos podem ser conectados ou estar em comunicação entre si em uma série de maneiras diferentes, tal como diretamente ou indiretamente através de uma rede com fio ou rede sem fio ou semelhante. [086] Em geral, um aparelho de implementações exemplares da presente revelação pode compreender, incluir ou estar incorporado em um ou mais dispositivos eletrônicos fixos ou portáteis. Exemplos de dispositivos eletrônicos adequados incluem um smartphone, tablet, notebook, desktop, estação ide trabalho, computador de servidor ou semelhante. O aparelho pode incluir um ou mais dentre uma série de componerites, tal como, por exemplo, um processador (por exemplo,: unidade de processador) conectado a uma memória (por exemplo,; dispositivo de armazenamento) . [087] O processador é, de maneira geral, qualquer peça de hardware de computador que é capaz de processariinformações tal como, por exemplo, dados, programas de computàdor e/ou outras informações eletrônicas adequadas. O processador é composto por um conjunto de circuitos eletrônicos, alguns dos quais podem ser acondicionados como um circuito integrado ou múltiplos circuitos integrados interconectados (um circuito integrado é às vezes chamado mais comúmente de um "chip") . O processador pode ser configurado para executar programas de computador, que podem ser armazenados na placa do processador ou armazenados na memória (do mesmo ou de outro aparelho). [088] O processador pode ser uma série de processadores, um processador de múltiplos núcleos ou algum outro tipo de processador, dependendo da implementação específica. Além disso, o processador pode ser implementado utilizando uma série de sistemas de processador heterogêneos nos quais um processador principal está presente com um ou mais processadores secundários em um único chip. Como outro exemplo jilustrativo, o processador pode ser um sistema multiprocessador simétrico contendo múltiplos processadores do mesmo: tipo. Em ainda outro exemplo, o processador pode ser realizadò como, ou incluir um ou mais circuitos integrados de aplicação específica (ASICs), field-programmable gate arrays (FPGAs) jou semelhante. Assim, embora o processador possa ser capaz de: executar um programa de computador para realizar uma ou mais :funções, o processador de diversos exemplos pode ser capaz de realizar uma ou mais funções sem a ajuda de um programa de computador. [089] A memória é, de maneira geral, qualquer peça de hardware de computador que é capaz de armazenar informações tal como, por exemplo, dados, programas de computador e/ou outras informações adequadas temporariamente e/ou permanentemente. A memória pode incluir memória volátil e/ou não-volátil, e pode ser fixa ou removível. Exemplos de memória adequados incluem memória de acesso aleatório (RAM), memória somente de leitura (ROM), um disco rígido, uma memória flash, um pen drive, um disquete de computador removível) um disco óptico, uma fita magnética ou alguma combinaçãò dos itens acima. Discos ópticos incluem compact disk - memória apenas de leitura (CD-ROM), compact disk -leitura/çscrita (CD-R/W), DVD ou semelhantes. Em diversos casos, a memória pode ser chamada de um meio de armazenamento legível por computador que, como um dispositivo não transitório capaz de armazenar informações, pode ser distinguível de meios de transmissão legíveis por computador, tal como sinais transitórios eletrônicos capazes de transportar informações de um local a outro. Meio legível por computador, conforme descrito neste documento, pode se referir neste documento a um meio de armazenamento legível por computador ou meio de transmissão legível por computador. [0j30] Além da memória, o processador pode também ser conectado a uma ou mais interfaces para exibir, transmitir e/ou receber informações. As interfaces podem incluir juma interface de comunicações (por exemplo, unidade de comunicações) e/ou uma ou mais interfaces de usuário. A interface de comunicações pode ser configurada para transmitir e/ou receber informações, tal como para e/ou de outro (s)i aparelho (s), rede(s) ou semelhantes. A interface de comunicações pode ser configurada para transmitir e/ou receber : informações por ligações de comunicações físicas (com fio) e/ou sem fio. Exemplos de interfaces de comunicação adequadas I incluem um controlador de interface de rede (NIC) , NIC sem fio (WNIC) ou semelhantes. ) [091] As interfaces de usuário podem incluir uma tela íe/ou uma ou mais interfaces de entrada de usuário (por exemplo, unidade de entrada/saída) . A tela pode ser configurada para apresentar ou exibir de outra forma informaçõps a um usuário, exemplos adequados das quais incluem uma tela de cristal líquido (LCD) , tela de diodos emissores! de luz (LED) , painel de tela de plasma (PDP) ou semelhantes. As interfaces de entrada de usuário podem ser com fio bu sem fio, e podem ser configuradas para receber informações de um usuário no aparelho, tal como para processamento, armazenamento e/ou exibição. Exemplos adequados de interfaces de entrada de usuário incluem um microfone, dispositivo de captura de imagem ou vídeo, teclado ou teclado numérico, joystick, superfície sensível ao toque (separada ou integrada a uma tela de toque) , sensor biométrico ou semelhante. As interfaces de usuário podem adicionalmente incluir uma ou mais interfaces para se comunicar com periféricos, tal como impressoras, scanners ou semelhante. [092] Conforme indicado acima, as instruções de código de programa podem ser armazenadas na memória, e executadas por um processador, para implementar funções dos sistemas, subsistemas e seus respectivos elementos descritos neste idocumento. Conforme será apreciado, quaisquer instruções de código de programa adequadas podem ser carregadas em um computador ou outros aparelhos programáveis a partir de um meio de armazenamento legível por computador para produzir uma máquina específica, de modo que a máquina específicâ se torne um meio para implementar as funções especificadas neste documento. Estas instruções de código de programa j podem também ser armazenadas em um meio de armazenamènto legível por computador que pode orientar um computador, um processador ou outro aparelho programável a funcionar! em uma maneira específica para, assim, gerar uma máquina específica de um artigo de manufatura específico. As instruções armazenadas no meio de armazenamento legível por computador podem produzir um artigo de manufatura, onde o artigo dè manufatura se torna um meio para implementar funções descritas neste documento. As instruções de código de programa í podem ser obtidas de um meio de armazenamento legível |por computador e carregadas em um computador, processador ou outro aparelho programável para configurar o computador, processador ou outro aparelho programável para executar ioperações a serem realizadas pelo, ou no computador, processador ou outro aparelho programável. [093] A obtenção, o carregamento e a execução das instruções de código de programa podem ser realizadas sequencialmente, de modo que uma instrução seja obtida, carregada e executada de cada vez . Em algumas implementações exemplares, a obtenção, o carregamento e/ou a execução podem ser realiizados em paralelo, de modo que múltiplas instruções sejam obtidas, carregadas, e/ou executadas juntas. A execução das instruções de código de programa pode produzir um processo^ implementado por computador, de modo que as instruções executadas pelo computador, processador ou outro aparelho programável fornecem operações para implementar funções descritas neste documento. [094] A execução de instruções por um processador, ou o armazenamento de instruções em um meio de armazenamènto legível por computador, suportam combinações de operações! para realizar as funções especificadas. Será também entendido: que uma ou mais funções, e combinações de funções, podem ser implementadas por sistemas e/ou processadores de computador baseados em hardware de propósito específico, que realizam ;as funções específicas, ou combinações de hardware de propósito específico e instruções de código de programa. [095] Muitas modificações e outras implementações da revelação estabelecidas neste documento virão à mente de um técnico no assunto ao qual esta revelação pertence;!, tendo o benefício dos ensinamentos apresentados nas descriçõés acima e nos desenhos associados. Portanto, deve ser entendido que a revelação não deve ser limitada às implementações específicas reveladas, e que modificações e outras jimplementações estão previstas a estar incluídas dentro !do escopo das reivindicações anexas. Além disso, embora as descrições acima e os desenhos associados descrevam implementações exemplares no contexto de certas combinações exemplares de elementos e/ou funções, deve ser apreciado que diferentes combinações de elementos e/ou funções podem ser providas por implementações alternativas sem se afastar do escopo j das reivindicações apensas. A este respeito, por exemplo, combinações de elementos e/ou funções diferentes das explicitamente descritas acima são também contempladas conforme pode ser estabelecido em algumas das reivindicações apensas. Embora termos específicos sejam empregados neste documento, eles são utilizados em um sentido somente genérico e descritivo, e não para propósitos de limitação. [096] A revelação também descreve realizações de acordo!com as seguintes cláusulas: j[097] Cláusula 1. Sistema de validação de efeito de falha compreendendo: | [098] um modelador de efeitos configurado para desenvolver um modelo de efeitos cumulativos para modos de falha dei um sistema complexo, e pelo qual um modelo do sistema j complexo é extensível para formar um modelo estendido!, i [09 9] em que o modelador de efeitos é também configurajdo para desenvolver um ou mais alvos de busca, cada um dos quais inclui expressões lógicas de riscos notáveis e um ou mais dentre carga de trabalho da tripulação, margem de segurança ou efeitos fisiológicos,- e [0100] um sistema de análise de modelo acoplado ao modelador de efeitos e configurado para realizar uma análise automatizada, incluindo uma busca de possíveis estados do modelo estendido para localizar um ou mais alvos de busca, a análise automatizada sendo realizada para identificar os efeitos cumulativos de pelo menos alguns dos modos de falha, e os resultados dos quais são exibíveis em uma disposição para permitir a avaliação dos efeitos cumulativos. [0101] Cláusula 2 . Sistema de validação de efeito de falha, de acordo coma Cláusula 1, em que o sistema complexd inclui uma pluralidade de sistemas, e em que o modelador de efeitos compreende: [0102] modelador de riscos configurado para desenvolver um modelo de riscos de riscos de nível de sistema complexo e de nível de sistema,- e [0103] um codificador de alvo de busca configurado para desenvolver um ou mais alvos de busca nos quais riscos notáveis são definidos como maiores que um valor de limiar: de riscos de nivel de sistema complexo e de nível de sistema. i [0104] Cláusula 3 . Sistema de validação de efeito dej falha, de acordo com a Cláusula 2, em que cada um dos um oú mais alvos de busca inclui expressões lógicas de riscos nótãveis, carga de trabalho de tripulação e efeitos fisiológicos, e em que o modelador de efeitos adicionalmente compreende: [0105] um modelador de carga de trabalho de tripulação configurado para desenvolver um modelo de carga de trabalho j de tripulação no qual a carga de trabalho de tripulação é definida incluindo um ou mais dentre um número de mensagens de alerta, um número de ações compensatórias ou páginas de ações compensatórias, ou um tempo para concluir ações compensatórias; e [0106] um modelador de efeitos fisiológicos configurado para desenvolver um modelo de efeitos fisiológicos no qual os efeitos fisiológicos são definidos incluindo medidas de uma ou mais condições que afetem o conforto: ou desconforto físico, [0107] em que o codificador de alvo de busca é configurado para desenvolver um ou mais alvos de busca adicionalmente em que a carga de trabalho de tripulação notável \ê definida sendo maior que um número de limiar de mensagens de alerta, um número de limiar de ações compensátórias ou páginas de ações compensatórias, ou um tempo dé limiar para concluir ações compensatórias, e em que os efeitos fisiológicos notáveis são definidos sendo maiores ou menores que medidas de limiar das uma ou mais condições. ! [0108] Cláusula 4 . Sistema de validação de efeito dej falha, de acordo com a Cláusula 1, em que cada um dos um ou mais alvos de busca inclui expressões lógicas de riscos notáveis e carga de trabalho de tripulação, e em que o modelador; de efeitos compreende: j [0109] um modelador de carga de trabalho de tripulação configurado para desenvolver um modelo de carga de trabalho j de tripulação no qual a carga de trabalho de tripulação é definida incluindo um ou mais dentre um número de mensagens de alerta, um número de ações compensatórias ou páginas de ações compensatórias, ou um tempo para concluir ações compensatórias; e [0110] um codificador de alvo de busca configurádo para desenvolver um ou mais alvos de busca nos quais a carga de trabalho de tripulação notável é definida sendo maior que um número de limiar de mensagens de alerta, um número de limiar de ações compensatórias ou páginas de ações compensatórias, ou um tempo de limiar para concluir ações compensatórias. [0111] Cláusula 5 . Sistema de validação de efeito de falha, de acordo com a Cláusula 4, em que as ações compensatórias incluem procedimentos de tripulação e procedimentos operacionais anormais, [0112] em que o modelador de carga de trabalho de tripulação é configurado para desenvolver o modelo de carga de trabalho de tripulação no qual a carga de trabalho de tripulação é definida incluindo números dos(as) respectivas mensagens de alerta, procedimentos de tripulação ou páginas de procedimentos de tripulação, e procedimentos operacionais anormais ou páginas de procedimentos operacionáis anormais, e I [0113] em que o codificador de alvo é configurado para desenvolver um ou mais alvos de busca nos qual a carga de trabalho de tripulação notável é definida como a disjunção lógica maior que os números de limiar dos (as) respectivas mensagens de alerta, procedimentos de tripulação ou páginas de procedimentos de tripulação, e procedimentos operacionais anormais ou páginas de procedimentos operacionais anormais. I [0114] Cláusula 6. Sistema de validação de efeito dé falha, de acordo com a Cláusula 1, em que cada um dos um ou mais alvos de busca inclui expressões lógicas de riscos notáveis e margem de segurança, e em que o modelador de efeitós compreende: [0115] um modelador de margens de segurança configurado para desenvolver um modelo de margens de segurança no qual a margem de segurança é definida incluindo um ou mais fatores operacionais e medidas de uma ou mais condições que afetem a margem de segurança; e [0116] um codificador de alvo de busca configurado para desenvolver um ou mais alvos de busca nos quais a jperda notável de margem de segurança é definida como mais ou! menos do que as medidas de limiar das uma ou mais condições. [0117] Cláusula 7. Sistema de validação de efeito de falha, de acordo com a Cláusula 1, em que cada um dos um ou mais alvos de busca inclui expressões lógicas de riscos notáveis e efeitos fisiológicos, e em que o modelador de efeitos compreende: ; [0118] um modelador de efeitos fisiológicos configurado para desenvolver um modelo de efeitos fisiológicos no qual os efeitos fisiológicos são definidos incluindo; medidas de uma ou mais condições que afetem o conforto óu desconforto físico; e :[0119] um codificador de alvo de busca configurado para desenvolver um ou mais alvos de busca nos quais os j efeitos fisiológicos notáveis são definidos como mais ou menos do que as medidas de limiar das uma ou mais condições;. ; [0120] Cláusula 8. Sistema de validação de efeito de! falha, de acordo com a Cláusula 7, em que as uma ou mais condições incluem uma pluralidade de condições incluindo duas ou mais dentre pressão de cabine, temperatura, níveis de luz, nívéis de visibilidade de cabine ou respirabilidade, í [0121] em que o modelador de efeitos fisiológicos é configurado para desenvolver o modelo de efeitos : fisiológicos em que os efeitos fisiológicos são definidos incluindo medidas das respectivas condições dentre a pluralidade de condições, e [0122] em que o codificador de alvo de busca é configurado para desenvolver um ou mais alvos de busca nos quais os efeitos fisiológicos notáveis são definidos como a disjunção lógica de mais ou menos do que as medidas das respectivas condições dentre a pluralidade de condições. [0123] Cláusula 9. Método compreendendo: [0124] o desenvolvimento de um modelo de efeitos cumulativos para modos de falha de um sistema complexo, e pelo qual um modelo do sistema complexo é extensível para formar um modelo estendido; | [0125] o desenvolvimento de um ou mais alvos de busca, cada um dos quais inclui expressões lógicas de riscos notáveis e um ou mais dentre carga de trabalho da tripulação, margem de)segurança ou efeitos fisiológicos; e j [0126] a realização de uma análise automatizada, incluindo) uma busca de possíveis estados do modelo estendido para localizar um ou mais alvos de busca, a análise automatizada sendo realizada para identificar os efeitos cumulativos de pelo menos alguns dos modos de falha, e os resultados dos quais são exibíveis em uma disposição para permitirja avaliação dos efeitos cumulativos. [0127] Cláusula 10. Método, de acordo com a Cláusula ! 9, em que o sistema complexo inclui uma pluralidade de sistemas, em que o desenvolvimento do modelo de efeitos cumulativos inclui o desenvolvimento de um modelo de riscos de riscos de nível de sistema complexo e de nível de sistema, e [0128] em que o desenvolvimento de um ou mais alvos de) busca inclui o desenvolvimento de um ou mais alvos de busca)nos quais riscos notáveis são definidos como maiores que um valor de limiar de riscos de nível de sistema complexo e de nível de sistema. [0129] Cláusula 11. Método, de acordo com a Cláusula) 10, em que cada um dos um ou mais alvos de busca inclui Íexpressões lógicas de riscos notáveis, carga de trabalho de tripulação e efeitos fisiológicos, em que o desenvolvimento do modelo de efeitos cumulativos adicionálmente inclui: [0130] o desenvolvimento de um modelo de carga de trabalho de tripulação no qual a carga de trabalho de tripulação: é definida incluindo um ou mais dentre um número de mensagens de alerta, um número de ações compensatórias ou páginas de ações compensatórias, ou um tempo para concluir ações compensatórias; e | [0131] o desenvolvimento de um modelo de efeitos fisiológicos no qual os efeitos fisiológicos são definidos . incluindo: medidas de uma ou mais condições que afetem o conforto ou desconforto fisico, e j [0132] em que o desenvolvimento de um ou mais alvos de busca inclui o desenvolvimento de um ou mais alvos de buscai adicionalmente em que a carga de trabalho de tripulação notável ê definida sendo maior que um número de limiar de mensagens de alerta, um número de limiar de ações compensatiórias ou páginas de ações compensatórias, ou um tempo dejlimiar para concluir ações compensatórias, e em que os efeitos fisiológicos notáveis são definidos sendo maiores ou menores que medidas de limiar das uma ou mais condições. [0133] Cláusula 12. Método, de acordo com a Cláusulaj 9, em que cada um dos um ou mais alvos de busca inclui expressões lógicas de riscos notáveis e carga de trabalho: de tripulação, em que o desenvolvimento do modelo de efeitos cumulativos inclui o desenvolvimento de um modelo de carga de; trabalho de tripulação no qual a carga de trabalho de tripulação é definida incluindo um ou mais dentre um número ide mensagens de alerta, um número de ações compensatórias ou páginas de ações compensatórias, ou um tempo para concluir ações compensatórias, e [0134] em que o desenvolvimento de um ou mais alvos de busca inclui o desenvolvimento de um ou mais alvos de busca nos quais a carga de trabalho de tripulação notável é definidá sendo maior que um número de limiar de mensagens de alertai, um número de limiar de ações compensatórias ou páginas dè ações compensatórias, ou um tempo de limiar para concluir ações compensatórias.

j [0135] Cláusula 13. Método, de acordo com a Cláusula j 12, em que as ações compensatórias incluem procedimentos de tripulação e procedimentos operacionais anormais, I i [013 6] em que o desenvolvimento do modelo de carga de trabalho de tripulação inclui o desenvolvimento do modelo de: carga de trabalho de tripulação no qual a carga de trabalho de tripulação é definida incluindo números dos(as) respectivas mensagens de alerta, procedimentos de tripulação ou páginas de procedimentos de tripulação, e procedimentos operacionais anormais ou páginas de procedimentos operacionais anormais, e [013 7] em que o desenvolvimento de um ou mais alvos dei busca inclui o desenvolvimento de um ou mais alvos de buscai nos qual a carga de trabalho de tripulação notável é definidai como a disjunção lógica maior que os números de limiar dos(as) respectivas mensagens de alerta, procedimentos de tripulação ou páginas de procedimentos de tripulação, e procedimentos operacionais anormais ou páginas de procedimentos operacionais anormais. [0138] Cláusula 14. Método, de acordo com a Cláusula; 9, em que cada um dos um ou mais alvos de busca inclui expressões lógicas de riscos notáveis e margem de segurança, em que o desenvolvimento do modelo de efeitos cumulativos inclui o desenvolvimento de um modelo de margens de segurança em que a margem de segurança é definida incluindo jum ou mais fatores operacionais e medidas de uma ou mais condições que afetam a margem de segurança; e I [0139] em que o desenvolvimento de um ou mais alvos de busca inclui o desenvolvimento de um ou mais alvos de busca !nos quais a perda notável de margem de segurança é definida Como mais ou menos do que as medidas de limiar das uma ou mais condições. j [0140] Cláusula 15. Método, de acordo com a Cláusula 9, em que cada um dos um ou mais alvos de busca inclui expressões lógicas de riscos notáveis e efeitos fisiológicos, em que o desenvolvimento do modelo de efeitos cumulativos inclui o desenvolvimento de um modelo de efeitos fisiológicos em que os efeitos fisiológicos são definidos incluindo medidas de uma ou mais condições que afetam o conforto ou desconforto fisiológico ou físico, e [0141] em que o desenvolvimento de um ou mais alvos de; busca inclui o desenvolvimento de um ou mais alvos de buscá nos quais a os efeitos fisiológicos notáveis são definidos como mais ou menos do que as medidas de limiar das uma ou mais condições. [0142] Cláusula 16. Método, de acordo com a Cláusula; 15, em que as uma ou mais condições incluem uma pluralidade de condições incluindo duas ou mais dentre pressão j de cabine, temperatura, níveis de luz, níveis de visibilidade de cabine ou respirabilidade, [0143] em que o desenvolvimento do modelo de efeitos j fisiológicos inclui o desenvolvimento do modelo de efeitos I fisiológicos em que os efeitos fisiológicos são definidos incluindo medidas das respectivas condições dentre a pluralidade de condições, e j [0144] em que o desenvolvimento de um ou mais alvos de busca inclui o desenvolvimento de um ou mais alvos de busca j nos quais os efeitos fisiológicos notáveis são definidosj como a disjunção lógica de mais ou menos do que as medidas das respectivas condições dentre a pluralidade de condiçõesí. | [0145] Cláusula 17. Meio de armazenamento legível por computador tendo código de programa legível por computador armazenado no mesmo que, em resposta à execução por um processador, fazem com que um aparelho pelo menos: [0146] desenvolva um modelo de efeitos cumulativos para modos de falha de um sistema complexo, e pelo qual um modelo do sistema complexo é extensível para formar um modelo estendido; [0147] desenvolva um ou mais alvos de busca, cada umí dos quais inclui expressões lógicas de riscos notáveis Se um ou mais dentre carga de trabalho da tripulação, margem dè segurança ou efeitos fisiológicos; e [0148] realize uma análise automatizada, incluindo uma busca de possíveis estados do modelo estendido para localizar um ou mais alvos de busca, a análise automatizada sendo realizada para identificar os efeitos cumulativos de pelo menos alguns dos modos de falha, e os resultados dos quais são exibíveis em uma disposição para permitir a avaliação dos efeitos cumulativos. [0149] Cláusula 18. Meio de armazenamento legível ;por computador, de acordo com a Cláusula 17, em que o sistema jcomplexo inclui uma pluralidade de sistemas, em que o aparelho sendo comandado a desenvolver o modelo de efeitos cumulativos inclui ser comandado para desenvolver um modelo de riscos de riscos de nível de sistema complexo e de nível de sistema, e i [0150] em que o aparelho sendo comandado a desenvolvér um ou mais alvos de busca inclui ser comandado a desenvolver um ou mais alvos de busca nos quais riscos notáveis são definidos como maiores que um valor de limiar de riscos dejnível de sistema complexo e de nível de sistema. i [0151] Cláusula 19. Meio de armazenamento legível por computador, de acordo com a Cláusula 18, em que cada um dos um ou mais alvos de busca inclui expressões lógicas de riscos notáveis, carga de trabalho de tripulação e efeitos fisiológicos, em que o aparelho sendo comandado para desenvolver o modelo de efeitos cumulativos adicionalmente inclui sér comandado para pelo menos: [0152] desenvolver de um modelo de carga de trabalho: de tripulação no qual a carga de trabalho de tripulação é definida incluindo um ou mais dentre um número de mensagens de alerta, um número de ações compensatórias ou páginas jde ações compensatórias, ou um tempo para concluir ações compensatórias; e [0153] desenvolver de um modelo de efeitos fisiológicos no qual os efeitos fisiológicos são definidos incluindo medidas de uma ou mais condições que afetem o conforto ou desconforto físico, e [0154] em que o aparelho sendo comandado para desenvolver um ou mais alvos de busca inclui ser comandado para desenvolver um ou mais alvos de busca adicionalmente em que a carga de trabalho de tripulação notável é definida sendo maior que um número de limiar de mensagens de alerta, um número de limiar de ações compensatórias ou páginas de ações compensatórias, ou um tempo de limiar para concluir ações compensatórias, e em que os efeitos fisiológicos notáveis são definidos sendo maiores ou menores que medidas de limiar idas uma ou mais condições. I[0155] Cláusula 20. Meio de armazenamento legível por computador, de acordo com a Cláusula 17, em que cada um dos um ou mais alvos de busca inclui expressões lógicas de riscos notáveis e carga de trabalho de tripulação, em que o japarelho sendo comandado para desenvolver o modelo de efeitos cumulativos inclui ser comandado para desenvolver um modelo de carga de trabalho de tripulação no qual a carga de trabalho de tripulação é definida incluindo um ou mais dentre um número de mensagens de alerta, um número de ações compensatórias ou páginas de ações compensatórias, ou um tempo para concluir ações compensatórias, e [0156] em que o aparelho sendo comandado para desenvolver um ou mais alvos de busca inclui ser comandado para desenvolver um ou mais alvos de busca nos quais a carga de trabalho de tripulação notável é definida sendo maior que um número de limiar de mensagens de alerta, um número de limiar de ações compensatórias ou páginas de ações compensatórias, ou um tempo de limiar para concluir ações compensatórias. [0157] Cláusula 21. Meio de armazenamento legível Ipor computador, de acordo com a Cláusula 20, em que as ações compensatórias incluem procedimentos de tripulação e procedimentos operacionais anormais, [0158] em que o aparelho sendo comandado para desenvolver o modelo de carga de trabalho de tripulação inclui ser comandado para desenvolver o modelo de carga de trabalho Jde tripulação no qual a carga de trabalho de tripulação é definida incluindo números dos(as) respectivas mensagens i de alerta, procedimentos de tripulação ou páginas de procedimentos de tripulação, e procedimentos operacionais anormais ou páginas de procedimentos operacionais anormais, e I [0159] em que o aparelho sendo comandado para desenvolver um ou mais alvos de busca inclui ser comandado para desenvolver um ou mais alvos de busca nos qual a carga de trabalho de tripulação notável é definida como a disjunção lógica màior que os números de limiar dos(as) respectivas mensagens de alerta, procedimentos de tripulação ou páginas de procedimentos de tripulação, e procedimentos operacionais anormaisjou páginas de procedimentos operacionais anormais. [0160] Cláusula 22. Meio de armazenamento legível por computador, de acordo com a Cláusula 17, em que cada um \ dos um ou mais alvos de busca inclui expressões lógicas de riscos notáveis e margem de segurança, em que o aparelho! sendo comandado para desenvolver o modelo de efeitos cumulativos inclui ser comandado para desenvolver um modelo de margens de segurança em que a margem de segurança é definida! incluindo um ou mais fatores operacionais e medidas de uma ou mais condições que afetam a margem de segurança, e [0161] em que o aparelho sendo comandado para desenvolver um ou mais alvos de busca inclui ser comandado para desenvolver um ou mais alvos de busca nos quais a perda notável !de margem de segurança é definida como mais ou menos do que ás medidas de limiar das uma ou mais condições. [0162] Cláusula 23. Meio de armazenamento legível í por computador, de acordo com a Cláusula 17, em que cada um dos um ou mais alvos de busca inclui expressões lógicas dè riscos notáveis e efeitos fisiológicos, era que o aparelho sendo comandado para desenvolver o modelo de efeitos cumulativos inclui ser comandado para desenvolver um modelo de efeitos fisiológicos em que os efeitos fisiológicos são definidos; incluindo medidas de uma ou mais condições que afetam o conforto ou desconforto fisiológico ou físico, e ; [0163] em que o aparelho sendo comandado para desenvolver um ou mais alvos de busca inclui ser comandado para desènvolver um ou mais alvos de busca nos quais os efeitos fisiológicos notáveis são definidos como mais ou menos do ique as medidas de limiar das uma ou mais condições. [0164] Cláusula 24. Meio de armazenamento legível por computador, de acordo com a Cláusula 23, em que as uma ou mais condições incluem uma pluralidade de condições incluindo duas ou mais dentre pressão de cabine, temperatura, níveis :de luz, níveis de visibilidade de cabine ou respirabilidade, [0165] em que o aparelho sendo comandado para desenvolver o modelo de efeitos fisiológicos inclui ser comandado para desenvolver o modelo de efeitos fisiológicos em que j os efeitos fisiológicos são definidos incluindo medidas , das respectivas condições dentre a pluralidade de condições, e [0166] em que o aparelho sendo comandado para desenvolver um ou mais alvos de busca inclui ser comandado para desenvolver um ou mais alvos de busca nos quais os efeitos fisiológicos notáveis são definidos como a disjunção lógica jde mais ou menos do que as medidas das respectivas condições dentre a pluralidade de condições.

I REIVINDICAÇÕES

Claims

1. SISTEMA DE VALIDAÇÃO DE EFEITO DE FALHA, caracterizado por compreender: um modelador de efeitos configurado para desenvolver um modelo de efeitos cumulativos para modos de falha de! um sistema complexo, e pelo qual um modelo do sistema jcomplexo ê extensível para formar um modelo estendido;, ! em que o modelador de efeitos é também configurado para desenvolver um ou mais alvos de busca, cada um dos quais inclui ekpressões lógicas de riscos notáveis e um ou mais dentre carga de trabalho da tripulação, margem de segurança ou efeitos fisiológicos; e ! um sistema de análise de modelo acoplado ao modelador de efeitos e configurado para realizar uma análise automatizada, incluindo uma busca de possíveis estados do modelo estendido para localizar um ou mais alvos de busca, a análise jautomatizada sendo realizada para identificar os efeitos pumulativos de pelo menos alguns dos modos de falha, e os resultados dos quais são exibíveis em uma disposição para permitir a avaliação dos efeitos cumulativos.

) 2 . SISTEMA DE VALIDAÇÃO DE EFEITO DE FALHA, de acordo coma reivindicação 1, caracterizado pelo sistema complexo: incluir uma pluralidade de sistemas, e pelo modelador de efeitos compreender: modelador de riscos configurado para desenvolver um modelo de riscos de riscos de nível de sistema complexo e de nível dé sistema; e um codificador de alvo de busca configurado para desenvolver um ou mais alvos de busca nos quais riscos notáveis são definidos como maiores que um valor de limiar de riscos de i nível de sistema complexo e de nível de sistema.

3 . SISTEMA DE VALIDAÇÃO DE EFEITO DE FALHA, de acordo com a reivindicação 1 ou 2, caracterizado por cada um dos um ou mais alvos de busca incluir expressões lógicas de riscos notáveis, carga de trabalho de tripulação e efeitos fisiológicos, e pelo modelador de efeitos adicionalmente por compreender: j um modelador de carga de trabalho de tripulação configurado para desenvolver um modelo de carga de trabalho de tripulação no qual a carga de trabalho de tripulação é definida incluindo um ou mais dentre um número de mensagens de alerta, um número de ações compensatórias ou páginas de ações cómpensatórias, ou um tempo para concluir ações compensatórias; e ! um modelador de efeitos fisiológicos configurado para desenvolver um modelo de efeitos fisiológicos no qual os efeitos fisiológicos são definidos incluindo medidas de uma ou mais condições que afetem o conforto ou desconforto físico, em que o codificador de alvo de busca é configurado para desenvolver um ou mais alvos de busca adicionalmente em que a qarga de trabalho de tripulação notável é definida sendo maior que um número de limiar de mensagens de alerta, um número de limiar de ações compensatórias ou páginas de ações compensatórias, ou um tempo de limiar para concluir ações compensatórias, e em que os efeitos fisiológicos notáveis são definidos sendo maiores ou menores que medidas de limiár das uma ou mais condições.

4. SISTEMA DE VALIDAÇÃO DE EFEITO DE FALHA, de acordo com qualquer uma das reivindicações 1 a 3, caracterizado por cada um dos um ou mais alvos de busca incluir expressões lógicas de riscos notáveis e carga de trabalho j de tripulação, e pelo modelador de efeitos compreender: i um modelador de carga de trabalho de tripulação configurado para desenvolver um modelo de carga de trabalho de tripulação no qual a carga de trabalho de tripulação é definida incluindo um ou mais dentre um número de mensagens de alerta, um número de ações compensatórias ou páginas de ações compensatórias, ou um tempo para concluir ações compensatórias; e ; um codificador de alvo de busca configurado para desenvolver um ou mais alvos de busca nos quais a carga de trabalhojde tripulação notável é definida sendo maior que um número de limiar de mensagens de alerta, um número de limiar de ações! compensatórias ou páginas de ações compensatórias, ou um tempo de limiar para concluir ações compensatórias.

5. SISTEMA DE VALIDAÇÃO DE EFEITO DE FALHA, de acordo çom a reivindicação 4, caracterizado pelas ações compensatórias incluírem procedimentos de tripulação e procedimentos operacionais anormais, em que o modelador de carga de trabalho de tripulação é configurado para desenvolver o modelo de carga de trabalho de tripulação no qual a carga de trabalho de tripulação é definida incluindo números dos(as) respectivas mensagens de alerta, procedimentos de tripulação ou páginas de procèdimentos de tripulação, e procedimentos operacionais anormais ou páginas de procedimentos operacionais anormais, e em que o codificador de alvo é configurado para desenvolver um ou mais alvos de busca nos qual a carga de trabalho de tripulação notável é definida como a disjunção lógica maior que os números de limiar dos(as) respectivas mensagens! de alerta, procedimentos de tripulação ou páginas de procedimentos de tripulação, e procedimentos operacionais anormais òu páginas de procedimentos operacionais anormais.

6. SISTEMA DE VALIDAÇÃO DE EFEITO DE FALHA, de acordo com a reivindicação 1, caracterizado por cada um dos um ou máis alvos de busca incluir expressões lógicas de riscos notáveis e margem de segurança, e pelo modelador de efeitos compreender: j um modelador de margens de segurança configurado para desenvolver um modelo de margens de segurança no qual a margem de segurança é definida incluindo um ou mais fatores operacionais e medidas de uma ou mais condições que afetem a margem de segurança; e um codificador de alvo de busca configurado para desenvolver um ou mais alvos de busca nos quais a perda notável de margem de segurança é definida como mais ou menos do que ais medidas de limiar das uma ou mais condições.

7. SISTEMA DE VALIDAÇÃO DE EFEITO DE FALHA, de acordo com a reivindicação 1, caracterizado por cada um dos um ou mais alvos de busca incluir expressões lógicas de riscos riotáveis e efeitos fisiológicos, e pelo modelador de efeitos i compreender .- um modelador de efeitos fisiológicos configurado para desenvolver um modelo de efeitos fisiológicos no qual os efeitos; fisiológicos são definidos incluindo medidas de uma ou mais condições que afetem o conforto ou desconforto físico;! e jum codificador de alvo de busca configurado para desenvolvèr um ou mais alvos de busca nos quais os efeitos fisiológicos notáveis são definidos como mais ou menos do que as medidas de limiar das uma ou mais condições.

8 . SISTEMA DE VALIDAÇÃO DE EFEITO DE FALHA, de acordo com a reivindicação 7, caracterizado pelas uma ou mais condições: incluírem uma pluralidade de condições incluindo duas ou mais dentre pressão de cabine, temperatura, níveis de luz, níveis de visibilidade de cabine ou respirabilidade, | em que o modelador de efeitos fisiológicos é configurado para desenvolver o modelo de efeitos fisiológicos em que ios efeitos fisiológicos são definidos incluindo medidas das respectivas condições dentre a pluralidade de condições, e em que o codificador de alvo de busca é configurado para desenvolver um ou mais alvos de busca nos quais os efeitos fisiológicos notáveis são definidos como a disjunção lógica de mais ou menos do que as medidas das respectivas condições dentre a pluralidade de condições.

9. MÉTODO, caracterizado por compreender: I o desenvolvimento de um modelo de efeitos cumulativos para modos de falha de um sistema complexo, e pelo qual um modelo do sistema complexo é extensível para formar um modelo estendido; o desenvolvimento de um ou mais alvos de busca, cada uni dos quais inclui expressões lógicas de riscos notáveis e um ou mais dentre carga de trabalho da tripulação, margem de segurança ou efeitos fisiológicos; e a realização de uma análise automatizada, incluindo uma busca de possíveis estados do modelo estendido para localizarjum ou mais alvos de busca, a análise automatizada sendo realizada para identificar os efeitos cumulativos de pelo menos alguns dos modos de falha, e os resultados dos quais são exibíveis em uma disposição para permitir a avaliação;dos efeitos cumulativos.

;10. MÉTODO, de acordo com a reivindicação 9, caracterizado pelo sistema complexo incluir uma pluralidade de sistemas, em que o desenvolvimento do modelo de efeitos cumulativos inclui o desenvolvimento de um modelo de riscos de riscos de nível de sistema complexo e de nível de sistema, e | em que o desenvolvimento de um ou mais alvos de busca inclui o desenvolvimento de um ou mais alvos de busca nos quais riscos notáveis são definidos como maiores que um valor dei limiar de riscos de nível de sistema complexo e de nível de;sistema.

11. MÉTODO, de acordo com a reivindicação 10, caracterizado por cada um dos um ou mais alvos de busca incluir j expressões lógicas de riscos notáveis, carga de trabalho de tripulação e efeitos fisiológicos, em que o desenvolvimento do modelo de efeitos cumulativos adicionálmente inclui: o desenvolvimento de um modelo de carga de trabalho de tripulação no qual a carga de trabalho de tripulação é definida incluindo um ou mais dentre um número de mensagens de alerta, um número de ações compensatórias ou páginas de ações compensatórias, ou um tempo para concluir ações compensatórias,· e o desenvolvimento de um modelo de efeitos fisiológicos no qual os efeitos fisiológicos são definidos incluindo; medidas de uma ou mais condições que afetem o conforto Ou desconforto fisico, e j em que o desenvolvimento de um ou mais alvos de busca incjlui o desenvolvimento de um ou mais alvos de busca adicionalmente em que a carga de trabalho de tripulação notável é definida sendo maior que um número de limiar de mensagens; de alerta, um número de limiar de ações compensatórias ou páginas de ações compensatórias, ou um tempo de limiar para concluir ações compensatórias, e em que os efeitos fisiológicos notáveis são definidos sendo maiores ou menorès que medidas de limiar das uma ou mais condições.

12. MÉTODO, de acordo com a reivindicação 9, caracterizado por cada um dos um ou mais alvos de busca incluir 'expressões lógicas de riscos notáveis e carga de trabalho de tripulação, em que o desenvolvimento do modelo de efeitos cumulativos inclui o desenvolvimento de um modelo de carga dej trabalho de tripulação no qual a carga de trabalho de tripulação é definida incluindo um ou mais dentre um número ide mensagens de alerta, um número de ações compensatórias ou páginas de ações compensatórias, ou um tempo paira concluir ações compensatórias, e em que o desenvolvimento de um ou mais alvos de busca inclui o desenvolvimento de um ou mais alvos de busca nos quais a carga de trabalho de tripulação notável é definida sendo maior que um número de limiar de mensagens de alerta, j um número de limiar de ações compensatórias ou páginas i de ações compensatórias, ou um tempo de limiar para concluir ações compensatórias.

13. MÉTODO, de acordo com a reivindicação 12, caracterizado pelas ações compensatórias incluírem procedimentos de tripulação e procedimentos operacionais anormais, j jem que o desenvolvimento do modelo de carga de trabalho de tripulação inclui o desenvolvimento do modelo de carga de trabalho de tripulação no qual a carga de trabalho de tripulação é definida incluindo números dos(as) respectivas mensagens de alerta, procedimentos de tripulação ou pãginás de procedimentos de tripulação, e procedimentos operacionáis anormais ou páginas de procedimentos operacionáis anormais, e j em que o desenvolvimento de um ou mais alvos de busca inclui o desenvolvimento de um ou mais alvos de busca nos qualja carga de trabalho de tripulação notável é definida como a disjunção lógica maior que os números de limiar dos(as) (respectivas mensagens de alerta, procedimentos de tripulação ou páginas de procedimentos de tripulação, e procedimentos operacionais anormais ou páginas de procedimentos operacionais anormais.

14. MÉTODO, de acordo com qualquer uma das reivindicações 9 a 13, caracterizado por cada um dos um ou mais alvos de busca incluir expressões lógicas de riscos notáveis e margem de segurança, em que o desenvolvimento do modelo de efeitos cumulativos inclui o desenvolvimento de um modelo de margens de segurança em que a margem de segurança é definida incluindo um ou mais fatores operacionais e medidas de uma ou mais condições que afetam a margem de segurança; e em que o desenvolvimento de um ou mais alvos de busca inclui o desenvolvimento de um ou mais alvos de busca nos qua|is a perda notável de margem de segurança é definida como mais ou menos do que as medidas de limiar das uma ou mais condições.

(15. MÉTODO, de acordo com a reivindicação 9, caracterizado por cada um dos um ou mais alvos de busca incluir expressões lógicas de riscos notáveis e efeitos fisiológifaos, em que o desenvolvimento do modelo de efeitos cumulativos inclui o desenvolvimento de um modelo de efeitos fisiológicos em que os efeitos fisiológicos são definidos incluindoj medidas de uma ou mais condições que afetam o conforto ou desconforto fisiológico ou físico, e j em que o desenvolvimento de um ou mais alvos de busca inclui o desenvolvimento de um ou mais alvos de busca em que os efeitos fisiológicos notáveis são definidos sendo maiores bu menores que medidas de limiar das uma ou mais condições, em que as uma ou mais condições incluem uma pluralidade de condições incluindo duas ou mais dentre pressão ;de cabine, temperatura, níveis de luz, níveis de visibilidade da cabine ou respirabilidade. em que o desenvolvimento do modelo de efeitos fisiológicos inclui o desenvolvimento do modelo de efeitos fisiológicos em que os efeitos fisiológicos são definidos incluindo medidas das respectivas condições dentre a pluralidade de condições, e em que o desenvolvimento de um ou mais alvos de busca inclui o desenvolvimento de um ou mais alvos de busca nos quais os efeitos fisiológicos notáveis são definidos como a disjunção lógica de mais ou menos do que as medidas das respectivas condições dentre a pluralidade de condições.