CN104298803B - 评估失效的累积效应的系统和方法 - Google Patents
评估失效的累积效应的系统和方法 Download PDFInfo
- Publication number
- CN104298803B CN104298803B CN201410336750.6A CN201410336750A CN104298803B CN 104298803 B CN104298803 B CN 104298803B CN 201410336750 A CN201410336750 A CN 201410336750A CN 104298803 B CN104298803 B CN 104298803B
- Authority
- CN
- China
- Prior art keywords
- model
- failure
- effect
- modeler
- effects
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0243—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/20—Design optimisation, verification or simulation
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0243—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
- G05B23/0245—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
- G05B23/0251—Abstraction hierarchy, e.g. "complex systems", i.e. system is divided in subsystems, subsystems are monitored and results are combined to decide on status of whole system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/80—Technologies aiming to reduce greenhouse gasses emissions common to all road transportation technologies
- Y02T10/82—Elements for improving aerodynamics
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Theoretical Computer Science (AREA)
- Evolutionary Computation (AREA)
- General Engineering & Computer Science (AREA)
- Geometry (AREA)
- Computer Hardware Design (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Alarm Systems (AREA)
- Debugging And Monitoring (AREA)
- Traffic Control Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种失效效应验证系统(100),其包括效应建模器(104)、模型分析系统(106)以及效应评估系统(108),其中效应建模器(104)经配置开发复杂系统的失效模式(302)的累积效应(600)模型,并且通过累积效应(600)模型,复杂系统的模型可扩展形成扩展复杂系统模型。效应建模器(104)还经配置开发搜索目标,每个搜索目标包括显著的危险(304)以及促成累积效应的其他因素(例如机组人员工作量(306)、安全裕度(606)和/或生理效应(608))的逻辑表示;模型分析系统(106)经配置通过使用扩展复杂系统模型和搜索目标执行自动化分析,以及其中自动化分析包括扩展复杂系统模型的可能状态的图形搜索,以定位搜索目标;效应评估系统(108)经配置选择性生成包括扩展复杂系统模型的至少一部分和自动化分析的结果的失效分析数据的布局。
Description
技术领域
本公开总体上涉及评估系统失效的累积效应,并且具体地涉及以高度自动化的方式评估单个和多个系统失效的累积效应。
背景技术
复杂系统例如飞行器一般由若干系统组成,并且可以启用大于这些系统中的单个系统的功能。包括飞行器以及例如航空航天、汽车、船舶、医疗、电子行业中的其他装置的许多复杂系统中的技术进步已经引导了无数互相依赖的系统,其中的至少一些可以由来自不同地理位置的不同公司的不同团队来设计。这些系统中的一个或多个的失效或故障通常直接或间接影响其他系统,这些效应的聚集通常被称为“级联”效应。此外,这些系统失效/故障的分析以及它们在复杂系统级的级联效应往往被要求作为认证过程的一部分。通常,这类分析由系统分析员组手动执行,而没有参照促进这类分析的过程。由于复杂系统以及由复杂系统组成的系统变得更加一体化,鉴于所涉及的覆盖广度和劳动力成本,传统的分析方法可能不再实用。
例如在航空航天行业,飞行器制造商评估关键安全系统故障的累积效应,以保证设备在所有预期操作条件下按计划操作。由监管机构制定的标准,例如联邦法规法典(CFR14)25.1309要求失效的危险分类考虑所有相关因素。这些因素可以包括对交通工具的效应(丧失或退化的功能/性能,安全裕度的下降)、对机组人员的效应(工作量的增加,不利的操作或环境条件)、和/或对乘客的效应。
航空航天有若干安全分析的做法。例如,功能危险性评估(FHA)是识别和分类功能失效的严重程度的自顶向下的功能分析。失效树分析(FTA)是自顶向下分析,其通过使用组合促成失效的逻辑(例如,布尔逻辑)对失效效应的原因进行分析。失效模式和效果分析(FMEA)是识别系统功能失效和操作效果的自下而上的分析方案。FMEA往往与FTA结合使用,以及用来完成和验证FTA。基于模型的安全分析(MBSA)是一种新兴的做法,其系统设计和安全评估过程开发被用于自动生成包括最小割集(MCS)故障树和FMEA摘要的安全任务图一致集的公用模型。
因此,具有改善现有做法的系统和方法会是可取的。
本申请与2012年06月15日提交的题为“Failure Analysis Validation andVisualization”的美国专利申请13/524173相关。
发明内容
本公开的示例实施方式主要针对用于评估在复杂系统级的系统失效的累积效应的改善系统。示例实施方式的系统和方法可以识别和评估级联失效,例如那些产生多种危险(或失效条件)的累积效应(或促进其识别和评估),以及可以以高效、全面以及至少部分自动化的方式进行识别和评估。示例实施方式可以解决复杂系统例如航空器的日益集成,包括那些具有集成模块化航空电子设备(IMA)的体系结构的日益集成。示例实施方式可以超越目前的做法和标准的分析方法,以及识别和评估的自动化方面。示例实施方式可以进一步组合和扩展现有做法在基于模型的开发、基于模型的安全分析、自动化分析和结果的可视布局生成的状态,以便于主题专家(SME)例如操作员、设计师、安全工程师、认证专员等对分析结果的审查。
根据示例实施方式的一个方面,失效效应的验证系统被设置用于评估包括多个系统或由多个系统以其他方式组成的复杂系统的一个或多个失效(级联系统失效)的累积效应。所述失效效应验证系统包括效应建模器和彼此连结的模型分析系统。所述效应建模器经配置开发复杂系统的失效模式的累积效应模型,以及通过所述效应建模器,所述复杂系统的模型可扩展形成扩展(复杂系统)模型。所述效应建模器还经配置开发一个或多个搜索目标,每个搜索目标包括显著的危险以及促成累积效应的一个或多个其他因素(例如机组人员工作量、安全裕度和/或生理效应)的逻辑表示。
所述模型分析系统经配置执行包括扩展模型的可能状态的图形搜索,以定位一个或多个搜索目标的自动化分析。所述自动化分析可以被执行以识别至少某些失效模式的累积效应,以及所述自动化分析的结果在布局中是可显示的,以启用累积效应的评估。在某些示例中,所述模型分析系统可以被连结到经配置生成所述布局的效应评估系统。在这方面,所述效应评估系统可以经配置选择性生成包括扩展模型的至少一部分和自动化分析的结果的失效分析数据的布局。
在各个示例中,所述效应建模器包括危险建模器和搜索目标编码器。在这个示例中,所述危险建模器可以经配置开发复杂系统级和系统级危险的危险模型。以及所述搜索目标编码器可以经配置开发一个或多个搜索目标,在所述搜索目标中的显著的危险被定义为大于复杂系统级和系统级危险的阈值计数。
在所述其他因素包括机组人员工作量的一个示例中,所述效应建模器可以包括机组人员工作量建模器,其经配置开发机组人员工作量的模型,在所述机组人员工作量模型中,机组人员工作量被定义包括告警消息的一个或多个计数、补偿行动或补偿行动的页的计数、或完成补偿行动的时间。在本示例中,搜索目标编码器可以经配置开发一个或多个搜索目标,其中,显著的机组人员工作量被定义为大于告警消息的阈值计数、补偿行动或补偿行动页的阈值计数、或完成补偿行动的阈值时间。
在进一步示例中,所述补偿行动可以包括机组人员规程和非正常操作规程。在这个进一步示例中,所述机组人员工作量建模器可以经配置开发机组人员工作量的模型,其中,机组人员工作量被定义包括告警消息、机组人员规程或机组人员规程的页以及非正常操作规程或非正常操作规程页中的相应一个的计数。以及所述搜索目标编码器可以经配置开发一个或多个搜索目标,其中,显著机组人员工作量被定义为大于告警消息、机组人员规程或机组人员规程的页以及非正常操作规程或非正常操作规程页中的相应一个的阈值计数的逻辑或。
在其他因素包括安全裕度的一个示例中,所述效应建模器可以包括安全裕度建模器,其经配置开发安全裕度的模型,其中所述安全裕度被定义包括一个或多个操作因素和影响安全裕度的一个或多个条件的度量。在这个示例中,搜索目标编码器可以经配置开发一个或多个搜索目标,其中显著的安全裕度丧失被定义为大于或小于一个或多个条件的阈值度量。
在其他压缩包括生理效应的一个示例中,所述效应建模器可以包括生理效应建模器,其经配置开发生理效应的模型,其中生理效应被定义包括影响生理或身体舒适或不适的一个或多个条件的度量。在这个示例中,搜索目标编码器可以经配置开发一个或多个搜索目标,其中显著生理效应被定义为大于或小于一个或多个条件的阈值度量。
在进一步示例中,(多个)条件包括多个条件,所述多个条件包括舱内压力、温度、亮度级、舱内能见度水平或透气性中的两个或多个。在这个进一步示例中,所述生理效应建模器可以经配置开发机组人员工作量的模型,其中机组人员工作量被定义包括所述多个条件中的相应一个的度量。以及所述搜索目标编码器可以经配置开发一个或多个搜索目标,其中显著生理效应被定义为大于或小于所述多个条件中的相应一个的阈值度量的逻辑或。
在示例实施方式的其他方面,其提供用于评估失效的累积效应的方法和计算机可读存储介质。本文所述特征/功能和优点可以在本公开的各个示例实施方式中单独实现,或可以结合其他示例实施方式实现,其进一步细节可以通过参照下列描述和绘图看到。
附图说明
因此,虽然本公开的示例实施方式已进行大体的描述,现参照随附绘图进行描述,但所述绘图不一定按比例绘制,以及其中:
图1示出根据示例实施方式的累积效应评估系统的例图;
图2、3、4和5分别示出根据本公开的示例实施方式的合适系统建模器、效应建模器、模型分析系统和效应评估系统;
图6示出根据一个示例实施方式的搜索目标的示例图形表示;以及
图7-10简要示出根据示例实施方式的合适布局模型。
具体实施方式
以下通过参考附图将更全面描述本公开的某些实施方式,其中所述附图示出本公开的部分实施方式,而非示出本公开的所有实施方式。事实上,本公开的各种实施方式可以体现为许多不同形式,其不应被解释为对本文所阐述的实施方式的限制;相反,提供这些实施方式便于本领域技术人员更彻底和全面理解本发明所覆盖的范围。而且,某物可以被示出或描述为在其他物上方,其他物(除非以其他方式指出)可以替代为在下方,反之亦然;并且同样,某物可以被示出或描述为在其他物左边,其他物可以替代为在某物右边,反之亦然。相同的标号在全文指向相同的元件。
本公开的示例实施方式总体涉及评估复杂系统中的系统失效的累积效应,具体地涉及以高度自动化的方式评估高度集成的复杂系统中的单个和多个系统失效的累积效应。示例实施方式主要结合航空航天应用进行描述,航空航天应用中的复杂系统可以是飞行器。不过,应当理解可以结合各种其他应用在航空航天行业以及在航空航天行业之外(例如,汽车、船舶、电子设备)利用示例实施方式。获取到准确并一致的失效数据是重要的,这是因为其会影响设备操作的多个方面,包括安全、操作、维护、工程支持等。
例如飞行器的复杂系统一般由一个或多个组件、子系统或其类似物(每个通常被称为“子系统”)组成;并且每个子系统可以由一个或多个部件组成,并且每个部件可以包括一个或多个特征。复杂系统的部件可以被组装到若干子系统,若干子系统可以进而被组装为复杂系统。在飞行器的背景下,一个或多个部件或子系统可以被设计为通常被称为线路可更换单元(LRU)的飞行器的模块化组件,单个飞行器可以包括若干LRU和LRU的其他部件或子系统。任何一个复杂系统本身或其子系统、(子系统的)部件、(部件的)特征或其类似物中的任一个有时候可以被总体上称作“系统”。
如本文所述,系统可能存在由一个或多个失效造成的失效条件(有时候被称为危险)。系统可以以若干不同方式(例如故障、退化或失效)中的任一种方式失效,每一种方式可以指的是失效模式(如本文所述,参照失效有时候可以等同地更具体地应用于失效模式)。在某些示例中,失效情况或情形(通常是“情形”)可以描述以一个或多个初始系统级失效效应开始的复杂系统级的失效,该一个或多个初始系统级失效效应导致复杂系统级失效条件。失效效应可以指的是作为失效的结果的系统的操作;也就是说,失效模式对于系统的操作、功能或状态具有的(多个)结果。并且在某些示例中,失效或失效效应可以成为失效条件或危险。
系统级失效的效应可以包括一个或多个直接效应,并且在各种情况下,系统级失效的效应可以包括一个或多个间接效应,该一个或多个间接效应中的每个可以导致间接失效。也就是说,一个系统的失效及其失效效应可以影响另一个系统,该另一个系统进而具有其自身的失效效应。系统失效效应的聚集有时可以被称为“级联”失效效应。每个级联效应可以与“阶”关联。例如,第一阶失效效应可以与失效条件直接关联,第二阶失效效应可以与第一阶效应关联等等。
例如飞行器可以经历飞行器电气总线或导航系统的失效(失效条件)。这种失效条件可以影响其他系统,这些其他系统将具有它们自身的失效效应(例如,第一阶失效效应),例如液压效应、导航效应和/或航空电子设备效应,这些效应中的任意一个或多个可以导致更多的级联效应(例如,第二阶、第三阶等)。例如,液压效应可导致飞行控制效应,飞行控制效应进而可导致飞机机身的振动效应。接着,更普遍地,失效情形可以描述以初始失灵系统开始并且或许也包括一个或多个更高阶(例如,第二阶,第三阶)失灵系统的系统失效。
现参照图1,其示出根据本公开的示例实施方式的失效效应验证系统100。该系统可以包括用于执行一个或更多功能或操作的若干不同子系统(每个为单独的系统)中的任意一个。如图所示,例如,该系统可以包括系统建模器102、效应建模器104、模型分析系统106和/或效应评估系统108。系统建模器、失效建模器、模型分析系统和/或效应评估系统中的一个或多个虽然作为失效效应验证系统的一部分被示出,但是可除了与失效效应验证系统通信以外替代地被分离。还应当理解,子系统中的一个或多个可以不考虑子系统中的其他而作用或操作为单独系统。并且进一步地,应当理解失效效应验证系统可以包括比图1所示更多的一个或多个附加或替代子系统。
失效效应验证系统100的系统建模器102一般可被配置用于开发复杂系统的复杂系统级模型。效应建模器104可以经配置开发复杂系统(或复杂系统的多个系统)的失效模式的累积效应模型,并且通过该累积效应模型,复杂系统级模型可以被扩展。累积效应模型可以由各种模型组成,各种模型包括可促成累积效应的失效模式、危险和/或其他因素的那些模型。在某些示例中,接着效应建模器还可以经配置开发逻辑表示,这些逻辑表示基于这些模型定义显著的(或过度)危险或其他促成因素(逻辑表示有时候被称为搜索目标)。模型分析系统106可以经配置通过使用扩展的复杂系统模型和搜索目标进行自动的分析。模型分析系统可以经配置进行分析以识别至少某些失效模式的累积效应。并且效应评估系统108可以经配置执行或以其他方式启用累积效应的复杂系统级评估。
现将参考图2、3、4和5,这些图分别示出根据本公开的示例实施方式的合适的系统建模器102、效应建模器104、模型分析系统106和效应评估系统108的更多特定示例。
图2示出在一个示例实施方式中可以对应于系统建模器102的系统建模器200。系统建模器一般可以经配置开发复杂系统的复杂系统级模型,并且可以包括经配置对组成复杂系统模型的复杂系统的方面进行建模的若干建模器。如图所示,例如,系统建模器可以包括体系结构建模器202、操作模式建模器204、行为/互动建模器206和/或重新配置逻辑建模器208。
体系结构建模器202可以经配置开发复杂系统的体系结构的模型。在这方面,体系结构建模器可以对复杂系统的体系结构、功能、系统、功能流(例如,能量、物质、信息)等建模。体系结构建模器可以对复杂系统的关键安全系统和流(例如,能量、物质、信息)建模。进一步地,体系结构建模器可以对操作员(例如,飞行员)命令、一个或多个(例如,主要的)传感器(例如,空气数据)等建模。
操作模式建模器204可以经配置开发复杂系统的操作模式的模型。操作模式建模器可以对一个或多个(例如,主要的)复杂系统级操作模式、和/或各个系统(例如,跨系统边界可见的那些系统)的系统级操作模式建模。在一个示例中,操作模式建模器可以对操作依赖性行为,例如飞行阶段依赖性行为建模。
行为/互动建模器206可以经配置开发复杂系统的系统行为和/或互动的模型(行为/互动模型)。也就是说,行为/互动建模器可以对复杂系统的各个系统的系统级的行为和/或互动建模。在某些示例中,这种行为/互动模型可以包括系统之间的逻辑关系,并且系统之间的该逻辑关系可以由相应系统之间的逻辑接口来反映。系统与一个或多个其他系统之间的逻辑接口可以指示一旦相应系统的失效发生时预期的效应(例如,实际效应、减少冗余、“无效应”等)所在的系统。可以通过适当的信息来提供逻辑接口,例如,通过接口控制文件(ICD)提供逻辑接口。在一个示例中,行为/互动模型可以包括传递功能(以一定的抽象层次)。在某些示例中,行为/互动模型可以具体地包括可以是安全关键的具有失效模式的系统。
重新配置逻辑建模器208可以经配置开发复杂系统的重新配置逻辑的模型。这种重新配置逻辑可以包括,例如电负荷管理(ELM)数据、和/或跨系统边界可视的重新配置逻辑(例如,环境控制、液压、飞行控制)。在某些示例中,ELM数据可以包括电负荷数据,其可以描述复杂系统的各种操作状态中的一个或多个电气系统的电力状态(例如,供电、未供电、间歇性供电)。在飞行器的背景下,在特定操作状态(例如,接地、上电、一个引擎关闭等)中,电气系统可以处于各个电力状态(例如,半供电,四分之一供电)。在这些条件下,特定系统可以在其他系统未被供电时被供电。因此,ELM数据可以指示哪些系统时“甩负荷”(例如,电力从某些设备去除,以维持在特定情形下的基本功能)。在一个示例中,接着可以在一个或多个“甩负荷”列表中给出电负荷数据。
图3示出在一个示例实施方式中可以与效应建模器104相对应的效应建模器300。效应建模器可以经配置开发复杂系统的失效模式的累积效应模型,并且可以包括若干建模器,建模器经配置对可促成各种失效模式的累积效应的失效模式、危险和/或其他因素建模。效应建模器还可以经配置开发各种失效模式的搜索目标。如图所示,例如,效应建模器可以包括失效模式建模器302、危险建模器304、机组人员工作量建模器306、安全裕度建模器308和/或生理效应建模器310,上述建模器可以彼此连结并且被耦合到搜索目标编码器312。
失效模式建模器302可以经配置开发复杂系统(或复杂系统的多个系统)的失效模式的模型。也就是说,失效模式建模器可以对复杂系统和/或各种关联系统可经历的失效模式建模。合适的失效模式的某些示例可以包括若干系统或相应系统的操作(例如,液体冷却、设备托架冷却、空调、电气总线、泵、变压器-整流器等)的失效关闭。合适的失效模式的其他示例可以包括制动、失灵/慢反向推力装置等的丧失或退化。关于合适的失效模式建模器的各方面的更多信息,请参看2010年8月3日发布的题为“Collaborative Web-BasedAirplane Level Failure Effects Analysis Tool”的美国专利7,770,052,其全部内容被合并于此,仅供参考。
危险建模器304可以经配置开发复杂系统级和系统级危险的危险模型。危险建模器可以对危险建模,危险通过复杂系统和/或各种关联系统、危险被呈现所根据的逻辑、和/或危险可导致或促成的失效模式来呈现。在某些示例中,危险建模器接着可以对危险会导致或促成的扩散(级联)的失效和效应建模。扩散的失效的示例可以包括由于甩负荷而造成的卫星通信的丧失、由于对总线供电的丧失而造成的收发器的丧失、由于液体冷却的丧失而导致的电机控制器的丧失等。
在某些示例中,复杂系统级或系统级的危险可以按照逻辑表示,根据该逻辑,相应危险可以被呈现。在这方面,危险可以在逻辑中被编码,并且包括复杂系统级的模型变量、有条件的和数学运算符等等。例如,通信丧失可以通过短距离通信丧失功能和长距离通信丧失功能进行定义。进而,短距离通信丧失可以按照所有冗余的卫星通信系统被关闭或停用而进行定义。这可以由一组特定针对飞行器的布尔表达式来表示,例如:
通信丧失:=短距离_通信_丧失&长距离_通信_丧失;
短距离_通信_丧失=(av.SATCOM-L.state=关闭& av.SATCOM-R.state=关闭);
长距离_通信_丧失:=(av.HF-L.state=关闭& av.HF-R.state=关闭);
...
危险建模器304还可以包括危险的严重性(或危险程度)和/或可能性。在某些示例中,严重性可以指示危险对于复杂系统的拥有者和/或操作的效应,并且可能性可以指示危险发生的几率。在某些示例中,危险、逻辑、程度和可能性可以由系统安全性评估(SSA)和/或功能危险性评估(FHA)给出。举一个例子,严重性可被数字化表示,例如“一”到“五”的顺序表示增加的严重性。在另一个示例中,严重性可以通过类别来给出,例如通过下列表示增加的严重性的类别:“不影响安全”、“较小”、“较大”、“危险的”和“灾难性的”。
机组人员工作量建模器306、安全裕度建模器308和/或生理效应建模器310可以经配置开发会促成(除了危险会导致或促成的危险或效应以外的)各种失效模式的累积效应的相应因素的模型。如所建议的,这些其他因素可以包括工作量、安全裕度、生理效应等。
机组人员工作量建模器306可以经配置开发机组人员工作量的模型。在某些示例中,机组人员工作量可以被定义为包括告警消息的计数,该告警消息响应于危险或失效模式而生成。告警消息可以包括,例如可以响应于失效效应而生成的告警消息、状态消息、维护消息等。例如,告警消息可以是向飞行机组人员指示缺乏足够的机舱增压的可操作的机组人员告警消息。在一个示例中,可以根据增加的行动(例如“预告”、“注意”和“警告”)的需要对告警消息进行优先排序。
响应于危险或失效模式,机组人员可以被安排任务以便采取一个或多个补偿行动,例如机组人员规程,非正常操作规程等,在某些示例中,可以在一个或多个检查表、分页文档或其他类似文档中体现补偿行动。合适的补偿行动的示例可以包括切换到备用电源、飞行器下降等。可用来完成代偿行动的时间在不同操作阶段,例如巡航或着陆的飞机可以是不同的。在某些示例中,接着,除了包括告警消息的计数以外或代替包括告警消息的计数,机组人员工作量可以被定义为包括补偿行动或补偿行动的页的计数。更为具体地,例如,机组人员工作量可以包括机组人员规程(的页)的计数、非正常操作规程(的页)的计数、和/或完成补偿行动的时间。在某些示例中,机组人员工作量建模器可以以更详细的方式对人机互动建模。
安全裕度建模器308可以经配置开发安全裕度的模型。安全裕度可以被认为是预期使用量与不安全的状况之间的差距,并且可以与一个或多个操作因素相关。飞行器的安全裕度可以包括,例如,飞行器之间、飞行器与地面之间、飞行器与天气之间的间隔、结合燃料和飞行因素的飞行器飞行距离、在障碍限制跑道上的起飞/爬升、在短跑道上的停止/转向等。
根据示例实施方式,安全裕度建模器308可以对一个或多个操作因素(例如复杂系统的任务、飞行阶段或环境)建模,该一个或多个操作因素中的任意一个或全部可以与具体失效条件互动或限制特定失效条件。任务的示例包括跨洋飞行(附近没有机场)等。飞行阶段的示例可以包括滑行、起飞、爬升、巡航、下降、着陆、子阶段等。并且环境的示例可以包括天气、火山灰云、密集的空中交通等。
安全裕度建模器308还可以对影响安全裕度的一个或多个条件的度量建模。在某些示例中,这些度量可以按照其他模型变量建模。合适条件的示例包括爬升率、燃料燃耗率、制动力等。
生理效应建模器310可以经配置开发生理效应的模型。在某些示例中,生理效应可以被定义包括影响一个人的生理的舒适或不适或者物理的舒适或不适的一个或多个条件的度量。合适条件的示例可以包括机舱压力、温度、亮度级、机舱能见度水平(例如,烟雾)、透气性等。
搜索目标编码器312可以接收建模器中的各种建模器(例如,失效模式建模器302、危险建模器304、机组人员工作量建模器306、安全裕度建模器308、生理效应建模器310)的输入,并且基于它们相应模型生成一个或多个搜索目标。一般而言,搜索目标可以是根据由模型变量、计数、阈值等组成的命题逻辑或临时逻辑的逻辑表达式或算法,其可以表示一个人期望审查的失效情形的累积效应。在某些示例中,搜索目标可以表达式或算法、评估标准形式化,该评估标准可以被用于选择具有足够明显累积效应的失效情形,以授权主题专家(SME)的进一步评估。这可以使能匹配搜索目标的单个失效和多个失效情形的自动发现。这种自动化可以减少劳动力,并且当与其他更特设的方案相比时,这种自动化可以是更加系统和/或有效的。
更为具体地,例如,搜索目标可以是命题逻辑或临时逻辑中的逻辑表达式或算法,该逻辑表达式或算法组合复杂系统的失效模式的危险、机组人员工作量、安全裕度、生理效应等的表示或量化。搜索目标可以对一旦失效情形的发生时的显著(或过度)危险、机组人员工作量、安全裕度和/或生理效应的丧失进行编码。在某些示例中,显著危险可以被定义为大于复杂系统级和系统级危险的阈值计数。机组人员工作量可以被定义为大于针对失效情形生成的告警消息、和/或补偿行动(机组人员规程,非正常操作规程)(的页)的(多个)阈值计数,和/或大于完成补偿行动的阈值时间,机组人员工作量可以标记在失效情形的事件下的显著机组人员工作量。安全裕度的显著丧失可以被定义为一个或多个操作因素并且大于或小于影响安全裕度的(多个)条件的阈值度量。并且显著的生理效应可以被定义为大于或者小于影响一个人的生理/物理的舒适/不适的(多个)条件的阈值度量。在各个示例中,表达式可以包括相应计数、阈值等的逻辑与(“与”门)和/或逻辑或(“或”门)。
在某些示例中,影响安全裕度的(多个)条件的阈值度量可以包括预期使用量阈值(例如预期使用量(例如,不降低安全裕度)的最小/最大度量)以及非安全条件阈值(例如,非安全条件(例如导致灾难性事件的非安全条件)的最大度量/最小度量)。接着,安全裕度可以被认为是预期使用量阈值与非安全条件阈值之间的差异。
此外,在某些示例中,安全裕度可以包括一个或多个中间阈值,其表征对应于不同严重性等级(例如,危险的、主要的、次要的)的安全裕度的局部丧失。定量度量可以与各自的定量描述相关联。例如,较大下降阈值可以与(危险)条件关联,该危险)条件导致不止一个安全裕度的明显下降,但不导致安全裕度的完全丧失。明显下降阈值可以与(主要的)条件关联,在该(主要)条件中其合理预期安全飞行和着陆会发生,而不存在其他失效和几乎最极端的恶劣操作条件。并且轻微下降阈值可以与(次要)条件关联,该(次要)条件具有以没有效应较多但少于明显效应(例如,如上所述的明显下降)的效应。
搜索目标可以包括由危险建模器304建模的复杂系统级危险和系统级危险、以及它们在失效情形下的显著的阈值计数和严重性。附加地或可替换地,搜索目标可以包括由机组人员工作量建模器306建模的告警消息、补偿行动(机组人员规程、非正常操作规程)(的页)和/或完成补偿行动的时间,以及包括它们一旦发生失效情形时用于引起注意的阈值计数。附加地或可替换地,搜索目标可以包括由安全裕度建模器308建模的安全裕度,以及它们在失效情形下用于显著的阈值丧失。并且进一步地,附加地或可替换地,搜索目标可以包括由生理效应建模器310建模的生理/物理舒适/不适的条件,并且包括它们在一旦失效情形发生时的阈值度量。
在一个示例中,搜索目标可以被用于识别导致在飞行的着陆阶段发生的多个主要危险和过度机组人员工作量的失效情形。在另一个示例中,搜索目标可以被用于识别在任何飞行期间导致的两个或多个“危险的”失效条件的失效情形。在又一个示例中,搜索目标可以被用于识别具有不止三个主要失效条件和少于三个失效模式以及过度机组人员工作量或不止一个生理效应的失效情形。在这个示例中,搜索目标可以被编码如下:
搜索目标1:=主要_危险_技术>3& 失效_模式_技术<3&(过度_工作量=真|物理_效应>1)&飞行_阶段=着陆;
...
在一个示例中,搜索目标可以被用于识别推力和齿轮收缩性的丧失/退化在从靠近末端具有障碍物(操作因素)的跑道上起飞期间阻止飞行器获得足够的爬升率(影响安全裕度的条件)的失效情形。在另一个示例中,搜索目标可以被用于识别失效情形,其中制动和直接控制的丧失/退化在着陆期间(操作因素)阻止飞行器生成在短跑道的末端的前方停止的足够的总制动能量(影响安全裕度的条件)。以及在又一个示例中,搜索目标可以被用于识别失效情形,其中舱压的丧失或航空地面控制和燃油控制的组合丧失/退化阻止在跨洋航线上的双引擎飞行器到达其最近机场(操作因素),其中,影响安全裕度的条件可以包括剩下的距离与距最近机场的距离的比率。
图6示出合适的搜索目标600的图形表示的一个示例。如图所示,示例搜索目标包括危险602(功能丧失/退化)、机组人员工作量604、安全裕度606以及生理效应608的节点。这种搜索目标可以被用于识别具有大于复杂系统级和系统级危险的第一阈值(T1)计数的失效情形。在搜索目标中的过度工作量可以包括大于告警消息的第二阈值(T2)计数、机组人员规程页的第三阈值(T3)计数以及非正常操作规程页的第四阈值(T4)计数的逻辑或。安全裕度的显著丧失可以包括小于第五阈值(T5)的影响安全裕度的操作因素和条件、大于第六阈值(T6)的影响安全裕度的操作因素和条件、以及在第七阈值(T7)与第八阈值(T8)之间的影响安全裕度的操作因素和条件的逻辑或。并且显著生理效应可以包括大于第九阈值(T9)的舱压、小于第十阈值(T10)或大于第十一阈值(T11)的机舱温度、以及大于第十二阈值(T12)的烟雾浓度的逻辑或。
明显地,在图6中示出的逻辑表达式可能未构成搜索目标的全部情况集。例如,在机组人员工作量604中,听觉告警向飞行员给出要求飞行员响应的紧急信息,从而增加工作量。例如在安全裕度606中,可以有许多附加安全裕度,这些附加安全裕度以不同方式被建模并构成对逻辑或表达式的其他输入。例如在生理效应608中,另一个效应可以是光照的丧失,这可能会影响疏散或影响在驾驶舱阅读纸文档。
因此,搜索目标可以将多种危险或失效与促成累积效应的其他因素(例如工作量、安全裕度、生理效应等)相组合。可以有多种搜索目标以覆盖不同的因素组合,例如,数量/危险的严重性/失效、工作量、安全裕度、生理效应等。在某些示例中,多种失效或失效情形的其他因素可以组合,以提高复杂系统级的严重性大于并超过单个系统级危险的严重性。例如,当根据CFR25.1309的准则评估时,导致三个“主要”失效(如在飞行器或系统FHA中被单独分类的)的双失效可以具有“危险的”或“灾难性的”的组合严重性。
图4示出模型分析系统400,其在一个示例实施方式中可以与模型分析系统106相对应。如上所建议的,在某些示例中,复杂系统模型可以被扩展包括累积效应模型,并且从而形成扩展复杂系统模型。模型分析系统可以包括情形启动器402,其经配置初始化用于分析的失效情形,其可以包括扩展复杂系统模型(包括其失效模式)、搜索目标、分析类型等的选择(例如,用户选择)。在一个示例中,复杂系统模型可以由一个人通过系统建模器102开发,并且被扩展包括由效应建模器104开发的累积效应模型。搜索目标同样可以由个人通过效应建模器开发。并且分析的类型可以是若干不同的分析类型中的任意一个,可以通过使用扩展复杂系统模型和搜索目标而执行这些若干不同的分析类型。
模型分析系统400可以包括情形执行器404,其经配置基于搜索目标以及根据在情形启动器402所选择的分析类型来分析扩展的复杂系统模型。在某些示例中,情形执行器可以执行扩展复杂系统模型的可能状态的图形搜索,以定位一个或多个搜索目标,并且可以根据适当的分析算法来执行。算法可以是自顶向下或自下而上的。在某些示例中,算法遍历扩展复杂系统模型的状态空间(图形),以确定搜索目标是否是可定位的。算法可以记录可达状态与搜索目标交叉的情况下的最小割集(MCS),并且记录每个MCS的轨迹。
情形执行器404可以用于确定搜索目标是否可以达到的合适算法的示例包括状态空间枚举、符号状态空间枚举、抽象演绎、符号模拟、符号轨迹评价、符号执行等,其中的不同算法可以具有各种不同的实施方式。例如在符号状态空间枚举类别中,分析-情形执行器可以使用二元决策图(BDD)、零抑制决策图(ZDD)、有界模型检验、可满足性(SAT)分析、可满足性模理论(SMT)分析等。在某些更具体示例中,情形执行器可以使用附加的扩展名记录反例(违规),并且产生MCS故障树以及失效模式及效果分析(FMEA)概述或其他任务图,例如供基于模型的安全分析(MBSA)使用。
情形执行器404可以产生分析的结果以及向结果评估器406输出分析的结果,情形执行器404可以经配置审查分析的结果,或在某些示例中,向用户(例如,分析师)呈现结果,以便于他们对结果的审查。在某些示例中,结果可以包括故障树、MCS故障树、FMEA表、FMEA概述、时序图或等效数据。故障树是导致失效条件的事件的顺序的表示,其中事件通过逻辑(例如,“与”、“或”)门连接。MCS故障树是可以导致失效条件的事件的最小组合。FMEA表是失效定义以及失效定义的局部效果的表示。FMEA概述表示关于初始失效以及整体产生的失效条件的信息。故障树、MCS故障树或FMEA概述可以具有提供关于导致失效条件的操作的顺序的信息的适当时序图。时序图表示模型中的变量随着时间的值并且示出变量之间的时序关系。时序图可以由利益相关者进行审查,或其触发事件可以被输入到模拟器以通过操作的顺序步进,以便更好理解导致失效条件的失效的顺序。
模型分析系统400可以进一步包括结果安排器408,其经配置通过例如过滤、分类、分组等安排结果。例如,结果安排器可以基于MCS可能性(例如当可能性小于特定阈值时)对MCS的结果或截断生成(通过情形执行器404)分类。结果安排器可以基于结果的相似性(例如,复制/镜像)对结果分组,并且在一个示例中,结果安排器可以使用冗余组件的列表来识别相似性。在另一个示例中,结果安排器可以用重叠失效模式或重叠失效条件对失效情形分组。在某些示例中,结果安排器可以自动安排结果。或在其他示例中,结果安排器可以响应于来自用户的输入(例如用户审查由分析-结果评估器406呈现的结果)来安排结果。
图5示出效应评估系统500,其在一个示例实施方式中可以与效应评估系统108相对应。如图所示,效应评估系统可以包括结果布局系统502(有时候被称为数据布局系统)、SME审查器系统504、危险分配系统506和/或文档系统508。结果布局系统可以经配置接收扩展复杂系统模型的至少一部分和例如由模型分析系统106在扩展复杂系统模型上执行的失效分析的结果(有时候被总称为“失效分析数据”)。在某些示例中,失效分析数据可以被保持在相应存储(例如文件存储、数据库存储、云存储等)中,并且根据相应存储以若干不同方式中的任意一种进行格式化和存储。
结果布局系统502可以生成失效分析数据的多个不同布局中的一个或多个,其中至少某些失效分析数据可以在至少某些不同布局之间共享。在某些更具体示例中,结果布局系统可以后处理MCS的轨迹,以生成布局的失效分析数据。部件可以可视地被呈现;并且在一个示例中,布局的可视化呈现是可显示的,例如通过显示器在图形用户界面(GUI)中呈现。在另一个示例中,可视化呈现是可打印的,例如通过经配置生成布局的打印输出的打印机。布局的可视化呈现有时候被简化统称为布局。
结果布局系统502可以经配置从多个布局模型中选择布局模型,用于选择和安排失效分析数据。在一个示例中,布局引擎可以经配置根据失效分析数据的请求选择布局模型,布局模型可以指示或以其他方式反映具体的布局模型。布局模型可以包括用于安排失效分析数据的若干不同布局类型中的任意一个。如下面进一步解释的,合适布局模型的示例包括级联效应布局模型、飞行甲板布局模型、飞行剖面布局模型、功能影响布局模型等。其他示例可以包括前述布局模型中的一个或多个的组合。布局模型可以被保持在相应存储中,例如文件存储、数据库存储、云存储等中,并且布局模型可以被根据相应存储以若干不同方式中的任意一种进行格式化和存储。
结果布局系统502可以经配置生成失效分析数据的布局,失效分析数据的布局可以根据所选择的布局模型进行安排,并且结果布局系统可以将布局通信到例如GUI、打印机等。在某些示例中,结果布局系统可以根据所选择的布局模型动态生成布局,使得失效分析数据的不同布局可以通过改变所选择的布局模型来实现。接着,在一个示例中,结果布局系统可以接收用于失效分析数据的不同安排的请求;选择不同的布局模型;以及响应于请求生成失效分析数据的不同布局。这可以包括分析-结果布局系统经配置根据所选择的不同布局模型重新安排失效分析数据。
SME审查器系统504可以经配置呈现所分析的失效情形的各个方面,例如,所分析的失效情形的扩展复杂系统模型和搜索目标、失效分析的结果、和/或包括相应模型和结果的至少一部分的失效分析数据的布局。SME审查器系统可以向一个或多个用户呈现所分析的失效情形的多个方面,以便他们对失效情形及其累积效应的审查。这些用户可以包括,例如,复杂系统的利益相关者团队,例如系统工程师、授权代表(AR)、安全工程师、各个系统的主题专家(SME)、飞行员等。
危险分配系统506可以经配置基于所分析的失效情形的方面的审查,接收向由所分析的失效情形所描述的复杂系统级失效的复杂系统级严重性的分配;并且危险分配系统还可以捕获分配的基本原理。在各个示例中,分配及其基本原理可以由一个或多个用户(例如,利益相关者团队)根据公认的原则进行。
接着,文档系统508可以经配置组合所分析的失效情形及其所分配的严重性和基本原理。如上面所建议的,所分析的失效情形可以包括例如其扩展复杂系统模型和搜索目标、失效分析的结果、和/或失效分析数据的布局,并且进一步包括其所分配的严重性和基本原理。在某些示例中,文档系统可以组合前述用于存储例如文件存储、数据库存储、云存储等,并且可以根据相应的存储以若干不同方式中的任意一种格式化和存储前述失效情形。
现返回到结果布局系统502,如上面所解释的,结果布局系统可以根据若干不同布局模型生成失效分析数据的布局。以及布局模型可以包括用于安排失效分析数据的若干不同布局类型中的任意一个。现将参照图7-10,其简要示出在飞行器背景下的合适布局模型的示例。如图所示,这些示例包括级联效应布局、飞行甲板布局、飞行剖面布局、功能影响布局等。
图7示出根据一个示例实施方式的级联效应布局模型700。级联效应布局模型主要提供级联失效效应的图形表示,级联失效效应的图形表示包括一个或多个直接效应,并且在各种情况下,包括一个或多个间接效应。如上面所解释的,直接效应可以是从初始系统级失效直接产生的任何初级(或初始)效应。间接效应可以是任何二级(或二阶)效应、三级(或三阶)效应、四级(或四阶)效应直至达到复杂系统级效应,这些效应间接从初始系统级失效以及直接从直接效应或直接从另一个间接效应产生。这种布局模型可能对了解复杂系统的系统效应和影响后面的原因是特别有意义的。这种布局模型对复杂系统的若干不同利益相关者(例如,系统工程师、AR、安全工程师、单独系统SME、飞行员等)是有用的。
如图7所示,在失效情形(或情况)的级联效应布局模型700中,复杂系统的每个系统可以被表示为节点702并且包括相应的失效数据704,例如一个或多个告警消息、系统级危险级和/或附加效应描述(在图7中,只有一个节点被调用以及被示出相应的失效数据)。级联效应布局模型还可以示出节点702之间的链接706(只有一个链接被调用),其可以示出复杂系统中的一个系统的失效如何从复杂系统的一个或更多其他系统的失效而直接或间接产生的。在一个示例中,这些链接可以被呈现以示出系统失效的级联效应。在这方面,级联效应布局模型可以识别初始失灵系统,初始失灵系统可以经历失效的一个或多个直接效应。初始失灵系统可以进而被直接或间接链接到可以经历相应一个或多个间接更高阶效应的一个或多个更高阶失灵系统。例如,初始失灵系统可以被直接链接到可以经历相应一个或多个二级效应的一个或多个二级失灵系统。相应的(多个)二级失灵系统可以进而被链接到可以经历相应一个或多个三级效应的复杂系统的一个或多个三级失灵系统。对于复杂系统,这可以发生从初始失灵系统去除的系统的n阶效应。
在一个示例中,级联效应布局模型700的节点702可以通过它们的效应的阶进行安排。初始失灵系统可以根据其经历的直接效应708被组织。接着,这种初始失灵系统可以被链接到根据它们经历的二级效应710所组织的一个或多个二级失灵系统,并且二级失灵系统可以被链接到根据它们经历的三级效应712所组织的一个或多个三级失灵系统。接着,这种链接可以继续到根据它们经历的n阶效应714所组织的一个或多个更高阶失灵系统。应当理解,虽然图7的级联效应布局模型似乎指示从初始失效产生的至少二阶效应,但是比二阶更少的效应可以产生于初始失效(包括只具有直接效应的初始失效)。
图8示出根据一个示例实施方式的飞行甲板布局模型800。飞行甲板布局模型主要提供可能由一个或多个飞行甲板系统经历的级联失效效应的图形表示。飞行甲板布局模型对了解特定失效向飞行器的机组人员或其他类似复杂系统如何呈现是特别有意义。这种信息对利益相关者(例如系统工程师、AR、安全工程师、系统SME、飞行员等)是有用的。
如图8所示,飞行甲板布局模型800可以包括飞行甲板802的示意性表示,其中,飞行甲板802的系统的各个方面可以由相应示意性表示804(图8中调用某些并非全部)示出。在一个示例中,飞行甲板及其系统可以以对在飞行甲板上的机组人员是可见的反映系统安置(或更具体地,在一个示例中,反映它们的控制装置)的方式被示意性表示。在一个示例中,这种示意性表示可以从飞行甲板的设计数据生成。
对于失效情形,飞行甲板布局模型800接着可以识别包括初始和/或更高阶失灵系统的一个或多个失灵系统,并且可以在它们相应的示意性表示804上直接如此识别。在一个示例中,飞行甲板布局模型可以以文字、图形或以其他方式高亮一个或多个失灵系统的示意性表示。在进一步示例中,飞行甲板布局模型可以以反映附加失效数据例如失灵系统的功能状态(或失效模式)的方式高亮一个或多个失灵系统。例如,如图8所示,飞行甲板布局模型可以画出806具有“退化”状态的失灵系统的表示的轮廓,以及画出穿越808具有“失灵”状态的失灵系统的表示的轮廓。
除了前述以外,飞行甲板布局模型800可以包括用于飞行甲板中失灵系统的附加失效数据。在一个示例中,对于至少某些失灵系统,这种附加失效数据可以包括响应于失效所生成或采取的一个或多个告警消息810和/或补偿行动。附加地或可替换地,例如,附加失效数据可以包括用于至少某些失灵系统的系统级的危险水平和/或附加效应描述。
图9示出根据一个示例实施方式的飞行剖面布局模型900。飞行剖面布局模型主要提供对抽象飞行剖面的级联失效效应的图形表示。这种布局模型不同于其他“平坦”布局之处在于,其提供失效情形的时间阶段/飞行阶段的视图。不是所有系统失效在相同时间发生。级联失效中可以存在时间延迟。例如,冷却的丧失会导致在特定温度会退化或失灵的系统的失效,但是一旦冷却,系统需要花时间增加到相应温度以上。这种信息对利益相关者(例如系统工程师、AR、安全工程师、系统SME、飞行员等)是有用的。
如图9所示,飞行剖面布局模型900可以包括用于飞行器的飞行的飞行剖面902的图形表示,在一个示例中,飞行剖面902的图形表示可以以类似于飞行器海拔对时间的线图呈现。接着,飞行剖面布局模型可以包括在飞行期间发生的一个或多个失效情形的时间线,以及可以在飞行剖面上如此做。在一个示例中,飞行剖面布局模型可以包括失效数据,例如一个或多个初始或更高阶失效904、和/或一个或多个附加失效描述906、告警消息908和/或补偿行动910(在图9中示出某些而并非全部)的识别。
飞行剖面布局模型900的至少某些失效数据可以(在整个所识别的飞行阶段)与时间关联。因此,飞行剖面布局模型可以在飞行剖面上包括失效数据与时间之间的链接912(对于一个示例,其被示为箭头链接)(某些但不是全部链接被调用)。例如,初始或更高阶失效904可以与发生失效的时间关联,并且及失效的附加效应906可以与经历那些效应的时间关联。在另一个示例中,告警消息908可以与系统生成相应消息的时间关联,并且补偿行动910可以与机组人员采取相应行动的时间关联。在一个示例中,飞行剖面布局模型可以进一步指示失效与响应于失效生成或提取的失效数据之间的时间延迟914。
图10示出根据一个示例实施方式的功能影响布局模型1000。功能影响布局模型主要提供概括单独系统级效应和这些单独系统级效应对复杂系统级功能的影响的表格表示。这种布局模型与其他布局模型比较的独特之处在于,其向工程师提供评估每个复杂系统级的功能的整体效应的方式。这种信息对利益相关者(例如系统工程师、AR、安全工程师、系统SME、飞行员等)是有用的。
如图10所示,功能影响布局模型1000可以包括表格1002,表格1002具有用于相应一个或多个失效情形的一行或多行(或记录)、以及指定关于相应(多个)失效情形的信息的一列或多列(域)。对于行中的每种失效情形,列可以识别失效和/或一个或多个效应或由此表现的更高阶失效,并且可以识别或以其他方式概括由相应失效和/或更高阶失效影响的复杂系统级的功能。在一个示例中,对于每种失效情形,列中的一个可以进一步提供所有子系统级功能的退化和子系统级功能的退化对整体系统级安全的效应的组合效应的概述。
根据本公开的示例实施方式,失效效应验证系统及其包括系统建模器102、效应建模器104、模型分析系统106、以及效应评估系统108的子系统可以通过各种手段来实施。同样,系统建模器200、效应建模器300、模型分析系统400和效应评估系统500的示例可以根据示例实施方式以各种手段实施。用于实施系统、子系统和其相应元件的装置可以包括单独硬件或在一个或更多计算机程序代码指令、程序指令、或来自计算机可读存储介质的可执行的计算机可读程序代码指令(有时候被统称为“计算机程序”,例如,软件、固件等)管理下的硬件。
在某些示例中,系统、子系统或它们的相应元件可以得益于从商购可获得的计算机程序。例如,失效效应验证系统100可以受益于IBM Rational DOORS(动态面向对象要求系统),用于接收要被建模的复杂系统(及复杂系统的各种系统)的各种要求。系统建模器102、效应建模器104和/或它们的各种元件可以受益于各种建模工具,例如
等的建模工具。相应的建模器和/或它们的各种元件可以根据适当语言(例如SysML(系统建模语言)、AADL(体系结构分析&设计语言)等)开发各种模型或促进各种模型的开发。模型分析系统106可以受益于各种分析工具,例如,NuSMV3、CeciliaOCAS等。
在一个示例中,一个或多个装置可以被设置经配置起本文所示或系统、子系统和相应元件的作用或以其他方式实施本文系统、子系统和相应元件。在包含不止一个装置的示例中,相应装置可以以若干不同方式例如彼此通信或经由有线或无线网络或类似途径间接彼此通信而进行连接。
一般情况下,本公开的示例性实施的装置可以包括、包含或体现为一个或更多固定或便携式电子设备。合适电子设备的例子包括智能电话、平板计算机、便携式计算机、桌面型计算机、工作站计算机、服务器计算机或类似电子设备。装置可以包括若干组件中的每个的一个或多个,例如,被连接到存储器(例如,存储设备)的处理器(例如,处理器单元)。
处理器通常是能够处理信息(例如像数据、计算机程序和/或其他合适电子信息)的任意片计算机硬件。处理器由电子电路的聚集组成,电子电路的某些可以被包装为集成电路或多个互连集成电路(集成电路有时候更通常被称为“芯片”)。处理器可以经配置执行被存储在处理器上或以其他方式被存储在(相同的装置或另一个装置的)存储器中的计算机程序。
根据具体实施方式,处理器可以是若干处理器、多核处理器或某些其他处理器类型。进一步地,处理器可以使用若干混杂处理器系统实施,其中主处理器与一个或更多第二处理器在单个芯片上。作为另一个说明性示例,处理器可以是包括相同类型的多处理器的对称多处理器系统。在又一个示例中,处理器可以被嵌入在一个或多个专用集成电路(ASIC)、现场可编程门阵列(FPGA)等中,或处理器以其他方式包括一个或多个专用集成电路(ASIC)、现场可编程门阵列(FPGA)或类似半导体电路。因此,虽然处理器能够执行计算机程序以完成一个或多个功能,但是各个示例的处理器能够在没有计算机程序辅助下完成一个或多个功能。
存储器通常是能够在临时基础和/或持久基础上存储信息(例如,数据、计算机程序和/或其他合适信息)的任意片计算机硬件。存储器可以包括易失性和/或非易失性存储器,并且可以是固定的或可移动的。合适存储器的示例包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、闪存存储器、拇指驱动器、可移动的计算机软盘、光盘、磁带或上述的某些组合。光盘可以包括压缩盘-只读存储器(CD-ROM)、压缩盘-读/写(CD-R/W)、DVD或其类似光盘。在各个实例中,存储器可以被称为计算机可读存储介质,作为能够存储信息的非暂态设备,存储器与计算机可读传输介质(例如能够从一个位置携带信息到另一个位置的电子瞬时信号)是可区别的。本文计算机可读介质一般是指计算机可读存储介质或计算机可读传输介质。
除了存储器以外,处理器还可以被连接到用于显示、传送和/或接收信息的一个或多个接口。接口可以包括通信接口(例如,通信单元)和/或一个或多个用户接口。通信接口可以经配置传送和/或接收信息,例如向其他装置、网络或类似装置传送信息,和/或从其他装置、网络或类似装置接收信息。通信接口可以经配置通过物理(有线)和/或无线通信链路传送和/或接收信息。合适通信接口的例子包括网络接口控制器(NIC),无线NIC或类似接口。
用户接口可以包括显示器和/或一个或多个用户输入接口(例如,输入/输出单元)。显示器可以经配置呈现或以其他方式向用户显示信息,显示器的合适示例包括液晶显示器(LCD)、发光二极管显示器(LED)、等离子显示面板(PDP)或类似显示器。用户输入接口可以是有线的或无线的,以及可以经配置从用户接收信息到装置中,例如供处理、存储和/或显示。用户输入接口的合适示例包括麦克风、图像或视频捕获设备、键盘或小键盘、游戏杆、触敏表面(与触摸屏分开或集成到触摸屏中)、生物传感器或类似用户输入接口。用户接口可以进一步包括用于与外设(例如打印机、扫描仪等)通信的一个或多个接口。
如上所述,程序代码指令可以被存储在存储器中,并且由处理器执行,以实施本文所述的系统、子系统和它们相应元件的功能。应当明白,任何合适程序代码指令可以从计算机可读存储介质加载到计算机或其他可编程装置中,以产生具体机器,使得具体额机器成为实施本文功能的手段。这些程序代码指令还可以被存储在计算机可读存储介质中,用于命令计算机、处理器或其他可编程装置以特定方式起作用,从而生成具体的机器或具体的制造产品。存储在计算机可读存储介质中的指令可以生产制造产品,其中制造产品成为实施本文所述功能的手段。程序代码指令可以从计算机可读存储介质中检索并加载到计算机、处理器或其他可编程装置中,以配置计算机、处理器或其他可编程装置执行在计算机、处理器或其他可编程装置上完成的操作或由计算机、处理器或其他可编程装置完成的操作。
程序代码指令的检索、加载和执行可以被连续执行,使得一个指令在一个时间被检索、加载和执行。在某些示例实施方式中,检索、加载和/或执行可以并行完成,使得多个指令被一起检索、加载和/或执行。程序代码指令的执行可以产生计算机实施进程,使得由计算机、处理器或其他可编程装置执行的指令提供用于实施本文所述功能的操作。
处理器的指令执行或在计算机可读存储介质中的指令存储支持用于完成特定功能的操作组合。应当理解,一个或多个功能以及所述功能的组合可以由专用硬件计算机系统和/或完成指定功能的处理器、或专用硬件和程序代码指令的组合来实施。
通过在前述描述和关联绘图中呈现的本公开的教义的好处,本领域的技术人员可能会想到符合本文所述权利要求的许多更改和其他实施。因此,应当理解本公开并不限于所公开的特定实施,许多更改和其他实施也应当被包括在附属权利要求范围内。而且,虽然前述描述和关联绘图描述了在特定元件和/或功能组合示例的背景下的示例实施方式,但是应当明白,可以在不偏离附属权利要求范围的前提下,元件和/或功能的不同组合可以由替代实施提供。在这方面,例如,与上述描述明确不同的元件和/或功能的不同组合也被认为是可以在某些附属权利要求中阐述。虽然本文采用了特定术语,但是它们仅仅以一般性和描述性的意义被使用,而不是为了限制的目的。
本公开还描述根据下列条款的实施例:
条款1.一种失效效应验证系统(100),其包括:
效应建模器(104),其经配置开发复杂系统的失效模式(302)的累积效应模型(600),并且通过累积效应模型(600),复杂系统的模型可扩展形成扩展模型,
其中效应建模器(104)还经配置开发一个或多个搜索目标,搜索目标中的每个包括显著危险(304)以及机组人员工作量(306)、安全裕度(606)或生理效应(608)中一个或多个的逻辑表示;以及
模型分析系统(106),其耦合到效应建模器(104)并且经配置执行自动化分析,该自动化分析包括扩展模型的可能状态的图形搜索以定位一个或多个搜索目标,自动化分析被执行以识别失效模式(302)中的至少某些的累积效应(600),并且自动化分析的结果在布局中是可显示的,以使能累积效应(600)的评估。
条款2.根据条款1的失效效应验证系统(100),其中复杂系统包括多个系统,并且其中效应建模器(104)包括:
危险建模器,其经配置开发复杂系统级和系统级危险(304)的危险(304)模型;以及
搜索目标编码器(312),其经配置开发一个或多个搜索目标,在该一个或多个搜索目标中的显著危险(304)被定义为大于复杂系统级和系统级危险(304)的阈值计数。
条款3.根据条款2所述的失效效应验证系统(100),其中一个或多个搜索目标中的每个包括显著的危险(304)、机组人员工作量(306)和生理效应(608)的逻辑表示,并且其中效应建模器(104)进一步包括:
机组人员工作量(306)建模器,其经配置开发机组人员工作量(306)的模型,在该模型中,机组人员工作量(306)被定义为包括告警消息的计数、补偿行动或补偿行动的页的计数、或完成补偿行动的时间中的一个或多个;以及
生理效应建模器(104),其经配置开发生理效应(608)的模型,在该模型中,生理效应(608)被定义为包括影响生理或物理舒适或不适的一个或多个条件的度量,
其中搜索目标编码器(312)经配置开发一个或多个搜索目标,进一步地,在该一个或多个搜索目标中,显著的机组人员工作量(306)被定义为大于告警消息的阈值计数、补偿行动或补偿行动的页的阈值计数、或完成补偿行动的阈值时间,并且在该一个或多个搜索目标中,显著生理效应(608)被定义为大于或小于一个或多个条件的阈值度量。
条款4.根据条款1所述的失效效应验证系统(100),其中一个或多个搜索目标中的每个包括显著的危险(304)和机组人员工作量(306)的逻辑表示,并且其中效应建模器(104)包括:
机组人员工作量建模器,其经配置开发机组人员工作量(306)的模型,在该模型中,机组人员工作量(306)被定义为包括告警消息的计数,补偿行动或补偿行动的页的计数、或完成补偿行动的时间中的一个或多个;以及
搜索目标编码器(312),其经配置开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的机组人员工作量(306)被定义为大于告警消息的阈值计数、补偿行动或补偿行动的页的阈值计数、或完成补偿行动的阈值时间。
条款5.根据条款4所述的失效效应验证系统(100),其中补偿行动包括机组人员规程和非正常操作规程,
其中机组人员工作量建模器经配置开发机组人员工作量(306)的模型,在该模型中,机组人员工作量(306)被定义为包括告警消息、机组人员规程或机组人员规程的页、以及非正常操作规程或非正常操作规程的页中的相应一个的计数,以及
其中搜索目标编码器(312)经配置开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的机组人员工作量(306)被定义为大于告警消息、机组人员规程或机组人员规程的页、以及非正常操作规程或非正常操作规程的页中的相应一个的阈值计数的逻辑或。
条款6.根据条款1所述的失效效应验证系统(100),其中一个或多个搜索目标中的每个包括显著的危险(304)和安全裕度的逻辑表示,并且其中效应建模器(104)包括:
安全裕度建模器,其经配置开发安全裕度(308)的模型,在该模型中,安全裕度(606)被定义为包括一个或多个操作因素以及影响安全裕度的一个或多个条件的度量;以及
搜索目标编码器(312),其经配置开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的安全裕度(606)的丧失被定义为大于或小于一个或多个条件的阈值度量。
条款7.根据条款1所述的失效效应验证系统(100),其中一个或多个搜索目标中的每个包括显著的危险(304)和生理效应(608)的逻辑表示,并且其中效应建模器(104)包括:
生理效应建模器(104),其经配置开发生理效应(608)的模型,在该模型中,生理效应(608)被定义为包括影响生理或物理的舒适或不适的一个或多个条件的度量;以及
搜索目标编码器(312),其经配置开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的生理效应(608)被定义为大于或小于一个或多个条件的阈值度量。
条款8.根据条款7所述的失效效应验证系统(100),其中一个或多个条件包括多个条件,该多个条件包括舱压、温度、亮度级、机舱能见度水平或透气性中的两个或多个,
其中生理效应建模器(104)经配置开发生理效应(608)的模型,在该模型中,生理效应(608)被定义为包括多个条件中的相应一个的度量,以及
其中搜索目标编码器(312)经配置开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的生理效应(608)被定义为大于或小于多个条件中的相应一个的阈值度量的逻辑或。
条款9.一种方法,其包括:
开发复杂系统的失效模式(302)的累积效应模型(600),并且通过累积效应模型(600),复杂系统的模型可扩展形成扩展模型;
开发一个或多个搜索目标,该一个或多个搜索目标中的每个包括显著的危险(304)以及机组人员工作量(306)、安全裕度(606)或生理效应(608)中的一个或多个的逻辑表示;以及
执行自动化分析,该自动化分析包括扩展模型的可能状态的图形搜索以定位一个或多个搜索目标,自动化分析被执行以识别失效模式(302)中的至少某些的累积效应(600),并且该自动化分析的结果在布局中是可显示的,以使能累积效应(600)的评估。
条款10.根据条款9所述的方法,其中复杂系统包括多个系统,其中开发累积效应模型(600)包括开发复杂系统级和系统级危险(304)的危险(304)模型,以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,其中显著的危险(304)被定义为大于复杂系统级和系统级危险(304)的阈值计数。
条款11.根据条款10所述的方法,其中一个或多个搜索目标中的每个包括显著的危险(304)、机组人员工作量(306)和生理效应(608)的逻辑表示,其中开发累积效应模型(600)进一步包括:
开发机组人员工作量(306)的模型,在该模型中,机组人员工作量(306)被定义为包括告警消息计数、补偿行动或补偿行动的页的计数、或完成补偿行动的时间中的一个或多个;以及
开发生理效应(608)的模型,在该模型中,生理效应(608)被定义为包括影响生理或物理的舒适或不适的一个或多个条件的度量;以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,进一步地,在该一个或多个搜索目标中,显著的机组人员工作量(306)被定义为大于告警消息的阈值计数、补偿行动或补偿行动的页的阈值计数、或完成补偿行动的阈值时间,并且在该一个或多个搜索目标中,显著的生理效应(608)被定义为大于或小于一个或多个条件的阈值度量。
条款12.根据条款9所述的方法,其中一个或多个搜索目标中的每个包括显著的危险(304)和机组人员工作量(306)的逻辑表示,其中开发累积效应模型(600)包括开发机组人员工作量(306)的模型,在该模型中,机组人员工作量(306)被定义为包括告警消息的计数、补偿行动或补偿行动的页的计数、或完成补偿行动的时间中的一个或多个,以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的机组人员工作量(306)被定义为大于告警消息的阈值计数、补偿行动或补偿行动的页的阈值计数、或完成补偿行动的阈值时间。
条款13.根据条款12所述的方法,其中补偿行动包括机组人员规程和非正常操作规程,
其中开发机组人员工作量(306)的模型包括开发机组人员工作量(306)的模型,在该模型中,机组人员工作量(306)被定义为包括告警消息、机组人员规程或机组人员规程的页、以及非正常操作规程或非正常操作规程页中的相应一个的计数,以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的机组人员工作量(306)被定义为大于告警消息、机组人员规程或机组人员规程的页、以及非正常操作规程或非正常操作规程的页中的相应一个的阈值计数的逻辑或。
条款14.根据条款9所述的方法,其中一个或多个搜索目标中的每个包括显著的危险(304)和安全裕度的逻辑表示,其中开发累积效应模型(600)包括开发安全裕度(308)的模型,在该模型中,安全裕度(606)被定义为包括一个或多个操作因素以及影响安全裕度的一个或多个条件的度量;以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的安全裕度(606)的丧失被定义为大于或小于一个或多个条件的阈值度量。
条款15.根据条款9所述的方法,其中一个或多个搜索目标中的每个包括显著的危险(304)和生理效应(608)的逻辑表示,其中开发累积效应模型(600)包括开发生理效应(608)的模型,其中生理效应(608)被定义包括影响生理或物理舒适或不适的一个或多个条件的度量,以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的生理效应(608)被定义为大于或小于一个或多个条件的阈值度量。
条款16.根据条款15所述的方法,其中一个或多个条件包括多个条件,多个条件包括舱压、温度、亮度级、机舱能见度水平或透气性中的两个或多个,
其中开发生理效应(608)的模型包括开发生理效应(608)的模型,在该模型中,生理效应(608)被定义包括多个条件中的相应一个的度量,以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,在该一个或多个搜索目标中显著生理效应(608)被定义为大于或小于多个条件中的相应一个的阈值度量的逻辑或。
条款17.一种具有被存储在其中的计算机可读规程代码的计算机可读存储介质,作为对处理器执行的响应,其促使装置至少:
开发复杂系统的失效模式(302)的累积效应(600)模型,并且通过累积效应(600)模型,复杂系统的模型可扩展形成扩展模型;
开发一个或多个搜索目标,搜索目标中的每个包括显著的危险(304)以及机组人员工作量(306)、安全裕度(606)或生理效应(608)中一个或多个的逻辑表示;以及
执行自动化分析,自动化分析包括扩展模型的可能状态的图形搜索以定位一个或多个搜索目标,自动化分析被执行以识别至少某些失效模式(302)的累积效应(600),并且自动化分析的结果在布局中是可显示的,以启用累积效应(600)的评估。
条款18.根据条款17所述的计算机可读存储介质,其中复杂系统包括多个系统,其中被促使开发累积效应(600)模型的装置包括被促使开发复杂系统级和系统级危险(304)的危险模型,以及
其中被促使开发一个或多个搜索目标的装置包括被促使开发一个或多个搜索目标,在该一个或多个搜索目标中,显著危险(304)被定义为大于复杂系统级和系统级危险(304)的阈值计数。
条款19.根据条款18所述的计算机可读存储介质,其中一个或多个搜索目标中的每个包括显著的危险(304)、机组人员工作量(306)和生理效应(608)的逻辑表示,其中被促使开发累积效应模型(600)的装置进一步包括被促使至少:
开发机组人员工作量(306)的模型,在该模型中,机组人员工作量(306)被定义为包括告警消息计数、补偿行动或补偿行动的页的计数、或完成补偿行动的时间中的一个或多个;以及
开发生理效应(608)的模型,在该模型中,生理效应(608)被定义包括影响生理或物理舒适或不适的一个或多个条件的度量,以及
其中被促使开发一个或多个搜索目标的装置包括被促使开发一个或多个搜索目标,在该一个或多个搜索目标中,显著机组人员工作量(306)被进一步定义为大于告警消息的阈值计数、补偿行动或补偿行动的页的阈值计数、或完成补偿行动的阈值时间,并且在该一个或多个搜索目标中,显著生理效应(608)被定义为大于或小于一个或多个条件的阈值度量。
条款20.根据条款17所述的计算机可读介质,其中一个或多个搜索目标中的每个包括显著的危险(304)和机组人员工作量(306)的逻辑表示,其中被促使开发累积效应模型(600)的装置包括被促使开发机组人员工作量(306)的模型,在该模型中,机组人员工作量(306)被定义包括告警消息计数、补偿行动或补偿行动的页的计数、或完成补偿行动的时间中的一个或多个,以及
其中被促使开发一个或多个搜索目标的装置包括被促使开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的机组人员工作量(306)被定义为大于告警消息的阈值计数、补偿行动或补偿行动页的阈值计数、或完成补偿行动的阈值时间。
条款21.根据条款20所述的计算机可读存储介质,其中补偿行动包括机组人员规程和非正常操作规程,
其中被促使开发机组人员工作量(306)的模型的装置包括被促使开发机组人员工作量(306)的模型,在该模型中,机组人员工作量(306)被定义包括告警消息、机组人员规程或机组人员规程页以及非正常操作规程或非正常操作规程页中的相应一个的计数,以及
其中被促使开发一个或多个搜索目标的装置包括被促使开发一个或多个搜索目标,其中,显著机组人员工作量(306)被定义为大于告警消息、机组人员规程或机组人员规程的页以及非正常操作规程或非正常操作规程的页中的相应一个的阈值计数的逻辑或。
条款22.根据条款17所述的计算机可读存储介质,其中一个或多个搜索目标中的每个包括显著的危险(304)和安全裕度的逻辑表示,其中被促使开发累积效应模型(600)的装置包括被促使开发安全裕度(308)的模型,在该模型中,安全裕度(606)被定义包括影响安全裕度(606)的一个或多个操作因素以及一个或多个条件的度量,以及
其中被促使开发一个或多个搜索目标的装置包括被促使开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的安全裕度(606)的丧失被定义为大于或小于一个或多个条件的阈值度量。
条款23.根据条款17所述的计算机可读存储介质,其中一个或多个搜索目标中的每个包括显著的危险(304)和生理效应(608)的逻辑表示,其中被促使开发累积效应模型(600)的装置包括被促使开发生理效应(608)的模型,在该模型中,生理效应(608)被定义包括影响生理或物理舒适或不适的一个或多个条件的度量,以及
其中被促使开发一个或多个搜索目标的装置包括被促使开发一个或多个搜索目标,其中,显著的生理效应(608)被定义为大于或小于一个或多个条件的阈值度量。
条款24.根据条款23所述的计算机可读存储介质,其中一个或多个条件包括多个条件,多个条件包括舱压、温度、亮度级、机舱能见度水平或透气性中的两个或多个,
其中被促使开发生理效应(608)模型的装置包括被促使开发生理效应(608)的模型,其中,生理效应(608)被定义包括多个条件中的相应一个的度量,以及
其中被促使开发一个或多个搜索目标的装置包括被促使开发一个或多个搜索目标,其中显著生理效应(608)被定义为大于或小于多个条件中的相应一个的阈值度量的逻辑或。
Claims (15)
1.一种失效效应验证系统(100),其包括:
至少一个处理器和关联的存储器;
效应建模器(104),其经配置开发飞行器的失效模式的累积效应模型(600),所述飞行器包括一个或多个子系统或线路可更换单元,并且通过所述累积效应模型(600)所述飞行器的模型可扩展为包括所述累积效应模型从而形成扩展模型,
其中所述效应建模器(104)还经配置开发一个或多个搜索目标,所述搜索目标中的每个表示失效模式的累积效应并且包括显著的危险(602)以及机组人员工作量(604)、安全裕度(606)或生理效应(608)中一个或多个的逻辑表示,所述显著的危险包括飞行器级和子系统级危险的阈值计数,所述机组人员工作量(604)被定义为包括告警消息的计数、补偿行动或补偿行动的页的计数,或完成补偿行动的时间中的一个或多个,响应于危险或失效模式生成所述告警消息,所述补偿行动包括机组人员规程或非正常操作规程的检查表或分页文档,所述安全裕度(606)在预期使用量与不安全的状况之间,所述生理效应(608)包括影响生理或物理舒适或不适的一个或多个条件的度量;以及
模型分析系统(106),其耦合到效应建模器(104)并且经配置执行自动化分析,该自动化分析包括扩展模型的可能状态的图形搜索以定位一个或多个搜索目标,所述自动化分析被执行以识别所述失效模式中的至少某些的以一个或多个初始系统级失效效应开始的累积效应,该一个或多个初始系统级失效效应导致飞行器级失效模式,所述系统级失效效应包括液压效应、导航效应和航空电子设备效应中的至少一个,所述失效模式包括故障、退化或失效,并且所述自动化分析的结果在布局中是可显示的,以使能所述累积效应的评估。
2.根据权利要求1所述的失效效应验证系统(100),其中所述效应建模器(104)包括:
危险建模器,其经配置开发飞行器级和子系统级危险(602)的危险(602)模型;以及
搜索目标编码器(312),其经配置接收来自失效模式建模器(302)、危险建模器(304)、机组人员工作量建模器(306)、安全裕度建模器(308)、生理效应建模器(310)中的至少一个的输入并且基于相应的模型开发一个或多个搜索目标。
3.根据权利要求2所述的失效效应验证系统(100),其中所述一个或多个搜索目标中的每个包括显著的危险(602)、机组人员工作量(604)和生理效应(608)的逻辑表示,并且其中所述效应建模器(104)进一步包括:
机组人员工作量建模器(306),其经配置开发机组人员工作量(604)的模型;以及
生理效应建模器(310),其经配置开发生理效应(608)的模型,
其中所述搜索目标编码器(312)经配置开发一个或多个搜索目标,进一步地,在该一个或多个搜索目标中,显著的机组人员工作量(604)被定义为大于告警消息的阈值计数、补偿行动或补偿行动的页的阈值计数,或完成补偿行动的阈值时间,并且在该一个或多个搜索目标中,显著的生理效应(608)被定义为大于或小于所述一个或多个条件的阈值度量。
4.根据权利要求1所述的失效效应验证系统(100),其中所述一个或多个搜索目标中的每个包括显著的危险(602)和机组人员工作量(604)的逻辑表示,并且其中所述效应建模器(104)包括:
机组人员工作量建模器,其经配置开发机组人员工作量(604)的模型;以及
搜索目标编码器(312),其经配置开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的机组人员工作量(604)被定义为大于告警消息的阈值计数、补偿行动或补偿行动的页的阈值计数,或完成补偿行动的阈值时间。
5.根据权利要求4所述的失效效应验证系统(100),其中所述机组人员工作量建模器经配置开发机组人员工作量(604)的模型,以及
其中所述搜索目标编码器(312)经配置开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的机组人员工作量(604)被定义为大于告警消息、机组人员规程或机组人员规程的页,以及非正常操作规程或非正常操作规程的页中的相应一个的阈值计数的逻辑或。
6.根据权利要求1所述的失效效应验证系统(100),其中所述一个或多个搜索目标中的每个包括显著的危险(602)和安全裕度的逻辑表示,并且其中所述效应建模器(104)包括:
安全裕度建模器,其经配置开发安全裕度(606)的模型,在该模型中,安全裕度(606)被定义为包括一个或多个操作因素以及影响安全裕度的一个或多个条件的度量;以及
搜索目标编码器(312),其经配置开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的安全裕度(606)的丧失被定义为大于或小于影响安全裕度的所述一个或多个条件的阈值度量。
7.根据权利要求1所述的失效效应验证系统(100),其中所述一个或多个搜索目标中的每个包括显著的危险(602)和生理效应(608)的逻辑表示,并且其中所述效应建模器(104)包括:
生理效应建模器(310),其经配置开发生理效应(608)的模型;以及
搜索目标编码器(312),其经配置开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的生理效应(608)被定义为大于或小于所述一个或多个条件的阈值度量。
8.根据权利要求7所述的失效效应验证系统(100),其中所述一个或多个条件包括多个条件,该多个条件包括舱压、温度、亮度级、机舱能见度水平或透气性中的两个或多个,
其中所述生理效应建模器(310)经配置开发生理效应(608)的模型,以及
其中所述搜索目标编码器(312)经配置开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的生理效应(608)被定义为大于或小于所述多个条件中的相应一个的阈值度量的逻辑或。
9.一种计算机实现的方法,其包括:
开发包括一个或多个子系统或线路可更换单元的飞行器的失效模式的累积效应模型(600),并且通过所述累积效应模型(600),所述飞行器的模型可扩展为包括所述累积效应模型从而形成扩展模型;
开发一个或多个搜索目标,该一个或多个搜索目标中的每个表示失效模式的累积效应并且包括显著的危险(602)以及机组人员工作量(604)、安全裕度(606)或生理效应(608)中的一个或多个的逻辑表示,所述显著的危险包括飞行器级和子系统级危险的阈值计数,所述机组人员工作量(604)被定义为包括告警消息的计数、补偿行动或补偿行动的页的计数,或完成补偿行动的时间中的一个或多个,响应于危险或失效模式生成所述告警消息,所述补偿行动包括机组人员规程或非正常操作规程的检查表或分页文档,所述安全裕度(606)在预期使用量与不安全的状况之间,所述生理效应(608)包括影响生理或物理舒适或不适的一个或多个条件的度量;以及
执行自动化分析,该自动化分析包括所述扩展模型的可能状态的图形搜索以定位一个或多个搜索目标,所述自动化分析被执行以识别所述失效模式中的至少某些的以一个或多个初始系统级失效效应开始的累积效应,该一个或多个初始系统级失效效应导致飞行器级失效模式,所述系统级失效效应包括液压效应、导航效应和航空电子设备效应中的至少一个,所述失效模式包括故障、退化或失效,并且该自动化分析的结果在布局中是可显示的,以使能所述累积效应的评估。
10.根据权利要求9所述的方法,其中开发所述累积效应模型(600)包括开发飞行器级和子系统级危险(602)的危险(602)模型,以及
其中开发一个或多个搜索目标包括接收来自失效模式建模器(302)、危险建模器(304)、机组人员工作量建模器(306)、安全裕度建模器(308)、生理效应建模器(310)中的至少一个的输入并且基于相应的模型开发一个或多个搜索目标。
11.根据权利要求10所述的方法,其中所述一个或多个搜索目标中的每个包括显著的危险(602)、机组人员工作量(604)和生理效应(608)的逻辑表示,其中开发所述累积效应模型(600)进一步包括:
开发机组人员工作量(604)的模型;
开发生理效应(608)的模型;以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,进一步地,在该一个或多个搜索目标中,显著的机组人员工作量(604)被定义为大于告警消息的阈值计数、补偿行动或补偿行动的页的阈值计数,或完成补偿行动的阈值时间,并且在该一个或多个搜索目标中,显著的生理效应(608)被定义为大于或小于所述一个或多个条件的阈值度量。
12.根据权利要求9所述的方法,其中所述一个或多个搜索目标中的每个包括显著的危险(602)和机组人员工作量(604)的逻辑表示,其中开发所述累积效应模型(600)包括开发机组人员工作量(604)的模型,以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的机组人员工作量(604)被定义为大于告警消息的阈值计数、补偿行动或补偿行动的页的阈值计数,或完成补偿行动的阈值时间。
13.根据权利要求12所述的方法,其中开发机组人员工作量(604)的模型包括开发机组人员工作量(604)的模型,以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的机组人员工作量(604)被定义为大于告警消息、机组人员规程或机组人员规程的页、以及非正常操作规程或非正常操作规程的页中的相应一个的阈值计数的逻辑或。
14.根据权利要求9所述的方法,其中所述一个或多个搜索目标中的每个包括显著的危险(602)和安全裕度的逻辑表示,其中开发所述累积效应模型(600)包括开发安全裕度(606)的模型,在该模型中,安全裕度(606)被定义为包括一个或多个操作因素以及影响安全裕度的一个或多个条件的度量;以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的安全裕度(606)的丧失被定义为大于或小于影响安全裕度的所述一个或多个条件的阈值度量。
15.根据权利要求9所述的方法,其中所述一个或多个搜索目标中的每个包括显著的危险(602)和生理效应(608)的逻辑表示,其中开发所述累积效应模型(600)包括开发生理效应(608)的模型,以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的生理效应(608)被定义为大于或小于所述一个或多个条件的阈值度量,其中所述一个或多个条件包括多个条件,该多个条件包括舱压、温度、亮度级、机舱能见度水平或透气性中的两个或多个,
其中开发生理效应(608)的模型包括开发生理效应(608)的模型,以及
其中开发一个或多个搜索目标包括开发一个或多个搜索目标,在该一个或多个搜索目标中,显著的生理效应(608)被定义为大于或小于所述多个条件中的相应一个的阈值度量的逻辑或。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/941,785 US10180995B2 (en) | 2013-07-15 | 2013-07-15 | System and method for assessing cumulative effects of a failure |
| US13/941,785 | 2013-07-15 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104298803A CN104298803A (zh) | 2015-01-21 |
| CN104298803B true CN104298803B (zh) | 2020-02-18 |
Family
ID=51167747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410336750.6A Active CN104298803B (zh) | 2013-07-15 | 2014-07-15 | 评估失效的累积效应的系统和方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US10180995B2 (zh) |
| EP (1) | EP2827209B1 (zh) |
| JP (1) | JP6536989B2 (zh) |
| KR (1) | KR102357583B1 (zh) |
| CN (1) | CN104298803B (zh) |
| AU (1) | AU2014202578B2 (zh) |
| BR (1) | BR102014017224A2 (zh) |
| IN (1) | IN2014DE01235A (zh) |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2998073B1 (fr) * | 2012-11-14 | 2016-01-08 | Thales Sa | Systeme electronique, plateforme d'execution modulaire embarquee et procede assurant le cloisonnement de regles decisionnelles parametrables |
| US9430311B2 (en) * | 2013-07-23 | 2016-08-30 | Halliburton Energy Services, Inc. | Cause and effect mapping for failure mode effect analysis creation and risk management |
| FR3010027A1 (fr) * | 2013-08-29 | 2015-03-06 | Dassault Aviat | Procede de conception d'un systeme de cablages electriques d'un systeme complexe, et systeme complexe correspondant |
| US20160170868A1 (en) * | 2014-12-16 | 2016-06-16 | Siemens Aktiengesellschaft | Method and apparatus for the automated testing of a subsystem of a safety critical system |
| EP3173889A1 (en) * | 2015-11-24 | 2017-05-31 | The Boeing Company | Method and system for generating minimal cut-sets for highly integrated large systems |
| JP6620012B2 (ja) * | 2015-12-25 | 2019-12-11 | 三菱航空機株式会社 | 配線の安全性評価システム、及び、配線の安全性評価方法 |
| ES2794748T3 (es) * | 2016-01-28 | 2020-11-19 | Siemens Ag | Método y aparato para analizar un sistema complejo investigado |
| JP6700830B2 (ja) | 2016-02-12 | 2020-05-27 | 三菱航空機株式会社 | 最上位事象の評価装置 |
| JP6864992B2 (ja) * | 2016-04-28 | 2021-04-28 | 日立Astemo株式会社 | 車両制御システム検証装置及び車両制御システム |
| EP3260940A1 (en) * | 2016-06-21 | 2017-12-27 | Siemens Aktiengesellschaft | Method and apparatus for automated hazard detection |
| US20170372237A1 (en) * | 2016-06-22 | 2017-12-28 | General Electric Company | System and method for producing models for asset management from requirements |
| US10489529B2 (en) * | 2016-10-14 | 2019-11-26 | Zoox, Inc. | Scenario description language |
| CN106779285A (zh) * | 2016-11-16 | 2017-05-31 | 深圳市燃气集团股份有限公司 | 一种lng储罐泄露的失效模式分析实现方法 |
| US10248430B2 (en) | 2016-12-16 | 2019-04-02 | Hamilton Sundstrand Corporation | Runtime reconfigurable dissimilar processing platform |
| CN107562557B (zh) * | 2017-08-24 | 2021-06-15 | 中科院合肥技术创新工程院 | 基于可满足模理论的故障树的验证、求解系统及其方法 |
| US10831202B1 (en) | 2017-09-01 | 2020-11-10 | Zoox, Inc. | Onboard use of scenario description language |
| CN107797921B (zh) * | 2017-09-07 | 2020-08-04 | 北京航空航天大学 | 嵌入式软件通用安全性需求的获取方法 |
| EP3470944B1 (en) * | 2017-10-11 | 2022-12-14 | Siemens Aktiengesellschaft | Method for providing an analytical artifact based on functional system description |
| CN108337108A (zh) * | 2017-12-28 | 2018-07-27 | 天津麒麟信息技术有限公司 | 一种基于关联分析的云平台故障自动化定位方法 |
| CN108595959B (zh) * | 2018-03-27 | 2021-10-22 | 西北工业大学 | 基于确定性随机Petri网的AADL模型安全性评估方法 |
| US11106838B2 (en) * | 2018-04-09 | 2021-08-31 | The Boeing Company | Systems, methods, and apparatus to generate an integrated modular architecture model |
| GB201813561D0 (en) * | 2018-08-21 | 2018-10-03 | Shapecast Ltd | Machine learning optimisation method |
| KR102153545B1 (ko) * | 2018-09-13 | 2020-09-08 | 상명대학교산학협력단 | 제어 시스템의 해저드 분석 방법 및 그 장치 |
| CN109446020B (zh) * | 2018-09-21 | 2022-05-13 | 曙光云计算集团有限公司 | 云存储系统的动态评估方法以及装置 |
| CN109522640B (zh) * | 2018-11-14 | 2020-11-27 | 北京航空航天大学 | 基于电流再分配的电路系统级联失效传播路径确定方法 |
| US11532235B2 (en) * | 2018-11-27 | 2022-12-20 | Honeywell International Inc. | Systems and methods for providing deviation assistance on an integrated flight management display |
| CN110244549A (zh) * | 2019-06-18 | 2019-09-17 | 北京电子工程总体研究所 | 一种卫星控制系统的控制模式智能管理方法 |
| US11164467B2 (en) | 2019-07-31 | 2021-11-02 | Rosemount Aerospace Inc. | Method for post-flight diagnosis of aircraft landing process |
| US20230032571A1 (en) * | 2019-12-23 | 2023-02-02 | Embraer S.A. | Systems and methods for an agnostic system functional status determination and automatic management of failures |
| CN111209176A (zh) * | 2020-01-06 | 2020-05-29 | 华东师范大学 | 硬件系统可靠性验证方法 |
| CN111290783B (zh) * | 2020-03-07 | 2023-04-28 | 上海交通大学 | 基于SysML模型的级联失效致因图形化系统 |
| CN111368441B (zh) * | 2020-03-07 | 2024-03-12 | 上海交通大学 | 基于SysML模型的级联失效传播效应动态分析方法 |
| US11900321B2 (en) * | 2020-04-06 | 2024-02-13 | The Boeing Company | Method and system for controlling product quality |
| US12081566B2 (en) * | 2020-08-04 | 2024-09-03 | Ge Aviation Systems Limited | Aircraft network monitoring and attestation |
| CN112215377B (zh) * | 2020-11-05 | 2024-04-09 | 中国航空工业集团公司西安航空计算技术研究所 | 一种ima平台的硬件fmea方法 |
| CN112395766B (zh) * | 2020-11-24 | 2023-10-03 | 华能新能源股份有限公司 | 一种考虑故障传播影响的风电机组故障模式与影响分析方法 |
| US20220230485A1 (en) * | 2021-01-19 | 2022-07-21 | Magna Electronics Inc. | Vehicular control system with failure mode analysis |
| CN114816431B (zh) * | 2022-05-24 | 2024-07-09 | 哈尔滨工业大学 | 一种SysML语言的安全可靠语义扩展和建模方法 |
| CN116389223B (zh) * | 2023-04-26 | 2023-12-22 | 郑州数智科技集团有限公司 | 一种基于大数据的人工智能可视化预警系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1857941A2 (en) * | 2006-05-18 | 2007-11-21 | The Boeing Company | Collaborative web-based airplane level failure effects analysis tool |
| CN102062619A (zh) * | 2009-11-16 | 2011-05-18 | 霍尼韦尔国际公司 | 用于通过预测推理来分析复杂系统的方法系统和装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6208955B1 (en) | 1998-06-12 | 2001-03-27 | Rockwell Science Center, Llc | Distributed maintenance system based on causal networks |
| US7158958B2 (en) | 2003-12-24 | 2007-01-02 | The Boeing Company | Automatic generation of baysian diagnostics from fault trees |
| US7260501B2 (en) | 2004-04-21 | 2007-08-21 | University Of Connecticut | Intelligent model-based diagnostics for system monitoring, diagnosis and maintenance |
| US8311697B2 (en) * | 2004-07-27 | 2012-11-13 | Honeywell International Inc. | Impact assessment system and method for determining emergent criticality |
| JP2006343063A (ja) | 2005-06-10 | 2006-12-21 | Daikin Ind Ltd | 設備機器の異常予知システム、設備機器の異常予知装置および設備機器の異常予知方法 |
| US7714702B2 (en) | 2007-06-04 | 2010-05-11 | The Boeing Company | Health monitoring system for preventing a hazardous condition |
| US8255100B2 (en) | 2008-02-27 | 2012-08-28 | The Boeing Company | Data-driven anomaly detection to anticipate flight deck effects |
| US8200379B2 (en) * | 2008-07-03 | 2012-06-12 | Manfredi Dario P | Smart recovery system |
-
2013
- 2013-07-15 US US13/941,785 patent/US10180995B2/en active Active
-
2014
- 2014-05-07 IN IN1235DE2014 patent/IN2014DE01235A/en unknown
- 2014-05-13 AU AU2014202578A patent/AU2014202578B2/en active Active
- 2014-05-30 JP JP2014112155A patent/JP6536989B2/ja active Active
- 2014-06-09 KR KR1020140069141A patent/KR102357583B1/ko active IP Right Grant
- 2014-07-11 EP EP14176673.3A patent/EP2827209B1/en active Active
- 2014-07-11 BR BR102014017224A patent/BR102014017224A2/pt not_active Application Discontinuation
- 2014-07-15 CN CN201410336750.6A patent/CN104298803B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1857941A2 (en) * | 2006-05-18 | 2007-11-21 | The Boeing Company | Collaborative web-based airplane level failure effects analysis tool |
| CN102062619A (zh) * | 2009-11-16 | 2011-05-18 | 霍尼韦尔国际公司 | 用于通过预测推理来分析复杂系统的方法系统和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2014202578B2 (en) | 2019-10-03 |
| KR102357583B1 (ko) | 2022-01-28 |
| KR20150008803A (ko) | 2015-01-23 |
| BR102014017224A2 (pt) | 2015-11-17 |
| EP2827209A2 (en) | 2015-01-21 |
| EP2827209B1 (en) | 2022-01-26 |
| CN104298803A (zh) | 2015-01-21 |
| US20150019187A1 (en) | 2015-01-15 |
| JP2015018543A (ja) | 2015-01-29 |
| EP2827209A3 (en) | 2015-06-17 |
| JP6536989B2 (ja) | 2019-07-03 |
| IN2014DE01235A (zh) | 2015-06-12 |
| AU2014202578A1 (en) | 2015-01-29 |
| US10180995B2 (en) | 2019-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104298803B (zh) | 评估失效的累积效应的系统和方法 | |
| CA2857923C (en) | Safety analysis of a complex system using component-oriented fault trees | |
| EP2674826B1 (en) | Failure analysis validation and visualization | |
| Fleming et al. | Improving hazard analysis and certification of integrated modular avionics | |
| US20140359366A1 (en) | Method and Engineering Apparatus for Performing a Three-Dimensional Analysis of a Technical System | |
| de Oliveira et al. | Variability management in safety‐critical systems design and dependability analysis | |
| Luxhøj | A conceptual Object-Oriented Bayesian Network (OOBN) for modeling aircraft carrier-based UAS safety risk | |
| Irshad et al. | Using Rio-Paris flight 447 crash to assess human error and failure propagation analysis early in design | |
| Kharchenko et al. | Integrated risk picture methodology for air traffic management in Europe | |
| Chronopoulos et al. | Is smartness risky? A framework to evaluate smartness in cyber-physical systems | |
| Park et al. | Model-based concurrent systems design for safety | |
| de Matos et al. | Using design patterns for safety assessment of integrated modular avionics | |
| Gore et al. | NASA’s Use of Human Performance Models for NextGen Concept Development and Evaluations | |
| Poh | A Top-Down, Safety-Driven Approach to Architecture Development for Complex Systems | |
| Irshad | A framework to evaluate the risk of human-and component-related vulnerability interactions | |
| Narkiewicz et al. | Aircraft status supervision system concept | |
| Yousefi et al. | Safety analysis tool for automated airspace concepts (SafeATAC) | |
| Gu et al. | Model-based safety analysis for integrated avionics system | |
| Kirk et al. | Active Safety for Aviation♣ | |
| Anjemark et al. | Simulink based modelling of Technical Safety Concepts and automatic creation of fault trees within AD and ADAS solutions | |
| Roychoudhury et al. | Assessment of the state-of-the-art of system-wide safety and assurance technologies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: D*H*Jones Inventor after: T*J*Page Inventor after: D*J*Fogatti Inventor after: C.R.Douglas Inventor after: R.Nicholson Inventor after: L.Fuke Inventor after: S.Sweeney Inventor after: R*M*Fulix Inventor after: K*N*Jin Inventor before: D*H*Jones Inventor before: T*J*Page Inventor before: D*J*Fogatti Inventor before: C.R.Douglas Inventor before: R.Nicholson Inventor before: L.Fuke Inventor before: S.Sweeney Inventor before: R*M*Fulix |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |