CN107590320A - 一种动态故障树生成方法 - Google Patents

Abstract

本发明涉及一种动态故障树生成方法，该方法包括如下步骤：(1)建立系统运行状态模型以及LTL形式的安全性需求P，P为一系列子安全需求的逻辑组合；(2)以为顶事件，子安全需求逻辑非运算为中间事件，根据逻辑关系使用逻辑门连接，表示逻辑非；(3)采用系统运行状态模型对子安全需求进行检测，若系统运行状态模型违反子安全需求则对应输出违反对应子安全需求的系统状态路径；(4)根据子安全需求逻辑非运算的LTL公式以及违反子安全需求的系统状态路径生成动态故障树。与现有技术相比，本发明故障树生成的效率高，故障树准确度高。

Description

一种动态故障树生成方法

技术领域

本发明涉及一种故障树生成方法，尤其是涉及一种动态故障树生成方法。

背景技术

故障树分析(Fault Tree Analysis，FTA)是安全系统工程中一种重要的分析方法。从一个可能的事故开始，自上而下、一层层的寻找顶事件的直接原因和间接原因事件，直到基本原因事件，并用逻辑图把这些事件之间的逻辑关系表达出来。而故障树分析是在故障树的基础上进行的，故障树是一种特殊的倒立树状逻辑因果关系图，它用事件符号、逻辑门符号和转移符号描述系统中各种事件之间的因果关系。逻辑门的输入事件是输出事件的“因”，逻辑门的输出事件是输入事件的“果”。

线性时序逻辑是目前常用的描述系统性质的时序逻辑，是在命题逻辑的基础上加上时序操作而得来的。LTL规定如下：

(1)如果p是原子命题，则p是LTL公式；

(2)设和ψ是LTL公式，则 也是LTL公式。其中∨，∧是逻辑非、逻辑或、逻辑与，而X,F,G,U,R是时态算子，表示与时间有关的一些特性。X意为“下一个状态”(neXt)，F意为“某未来状态”(Future)，G意为“所有未来状态”(Globally)，U意为“直到”(Until)，R意为“释放”(Release)。

专利CN102087628A、CN104679510A、CN105426680A均设计了故障树生成方法，但其生成故障的基础分别为软件功能、UML类图模型以及软件产品特征模型。

G.Latif-Shabgahi,F.Tajarrod在“A New Approach for the Construction ofFault Trees from System Simulink”提出了一种根据系统Simulink模型构造故障树的方法，并在Simulink环境中对构造的故障树进行了验证。首先在MATLAB-Simulink环境中建立系统框图模型，然后人工地添加系统的功能和行为信息，建立扩展模型。根据扩展模型，设计了算法来生成故障树。受限于MATLAB-Simulink工具，其子系统的组成部分数量不能超过470。

Faida Mhenni,Nga Nguyen,Jean-Yves Choley在“Automatic Fault TreeGeneration From SysML System Models”研究中提出将安全分析集成于系统工程理论中，根据SysML(System Modeling Language)模型来自动进行安全分析。其分析过程为：首先使用功能和结构模型生成初步的功能和组件FMEA(Failure Mode and Effect Analysis,失效模式及效应分析)，根据专家经验进行完善后，采用图遍历算法检索SysML结构图中的图案，推导出故障树的相应逻辑门和事件，自动生成故障树。

现有方法并未提供系统安全属性公式与系统故障树之间的自动转换，且故障树生成的效率与准确性均不佳。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种动态故障树生成方法。

本发明的目的可以通过以下技术方案来实现：

一种动态故障树生成方法，该方法包括如下步骤：

(1)建立系统运行状态模型以及LTL形式的安全性需求P，P为一系列子安全需求的逻辑组合，表示第i个子安全需求，i＝1,2……k，k表示子安全需求的总个数；

(2)以为顶事件，为中间事件，根据逻辑关系使用逻辑门连接，为逻辑门的输出，为逻辑门的输入，表示逻辑非，表示违反第i个子安全需求，i＝1,2……k；

(3)采用系统运行状态模型对安全性需求P中的进行检测，若系统运行状态模型违反子安全需求则对应输出违反的系统状态路径；

(4)根据的LTL公式以及违反的系统状态路径生成动态故障树。

优选的，步骤(4)具体为：

(41)判断的LTL公式是否为R、F或G中的任意一种运算形式，若是则将对应的的LTL公式转换为U运算形式，执行步骤(42)，否则直接执行步骤(42)；

(42)若的LTL公式为X运算形式，则根据X运算转换规则将的LTL公式转换为故障树，若的LTL公式为U运算形式，则根据U运算转换规则将的LTL公式转换为故障树；

其中，R、F、G、U和X均为时态算子，R为“释放”时态算子，F为“某未来状态”时态算子，G为“所有未来状态”时态算子，U为“直到”时态算子，X为“下一个状态”时态算子。

优选的，步骤(1)中系统运行状态模型为基于模型检测工具NuSMV所建立的SMV模型。

优选的，步骤(41)中R、F或G运算形式的LTL公式转换为U运算形式具体为：

其中，和Ψ为原子命题，Т和⊥是原子命题，T表示真，⊥表示假，表示逻辑非。

优选的，步骤(42)中根据X运算转换规则将的LTL公式转换为故障树具体为：

(a1)X运算形式的的LTL公式表示为将作为顶事件并作为顺序与门的输出连接一个顺序与门，X为“下一个状态”时态算子，为原子命题；

(a2)将M.ξ_i为基本事件，为中间事件作为顺序与门的输入，并且作为与门的输出连接一个与门，其中，M.ξ_i表示系统M处于状态ξ_i，表示在系统M处于状态ξ_i+1时原子命题为真；

(a3)M.ξ_i+1和为基本事件并作为所述的与门的输入，M.ξ_i+1表示系统M处于状态ξ_i+1，状态ξ_i+1为状态ξ_i的下一个状态。

步骤(42)中根据U运算转换规则将的LTL公式转换为故障树具体为：

(b1)X运算形式的的LTL公式表示为将作为顶事件并作为顺序与门的输出连接一个顺序与门，U为“直到”时态算子，和Ψ为原子命题；

(b2)以和Ψ_ξj为中间事件作为顺序与门的输入，并分别作为与门的输出连接一个与门，其中，表示在系统M处于状态ξ_i时原子命题为真，表示在系统M处于状态ξ_i+p时原子命题为真，Ψ_ξj表示在系统M处于状态ξ_j时原子命题Ψ为真，p为正常数，状态ξ_i+1为状态ξ_i的下一个状态，ξ_i+p为状态ξ_i后的第p个状态，状态ξ_j表示使得原子命题Ψ为真时系统所处的状态；

(b3)以M.ξ_i和为基本事件并作为所对应的与门的输入，以M.ξ_j和Ψ为基本事件并作为Ψ_ξj所对应的与门的输入，以M.ξ_i+p和为基本事件并作为所对应的与门的输入。

与现有技术相比，本发明具有如下优点：

(1)本发明实现了安全属性公式与系统故障树之间的自动转换，故障树生成的效率高，故障树准确度高；

(2)本发明安全属性公式均转化为U运算形式或X运算形式，从而方便实现故障树的转换，转换效率高；

(3)本发明相比人工方式构建故障树更加全面而准确地进行分析。

附图说明

图1为本发明动态故障树生成方法的流程框图；

图2为本发明根据X运算转换规则将LTL公式转换成的故障树的结构示意图；

图3为本发明根据U运算转换规则将LTL公式转换成的故障树的结构示意图；

图4为本发明实施例库位检测系统的动态故障树的结构示意图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

实施例

故障树分析(Fault Tree Analysis，FTA)是安全系统工程中一种重要的分析方法。从一个可能的事故开始，自上而下、一层层的寻找顶事件的直接原因和间接原因事件，直到基本原因事件，并用逻辑图把这些事件之间的逻辑关系表达出来。动态故障树是指至少包含一个动态逻辑门的故障树，本发明所生成故障树包含上述顺序与门。

如图1所示，一种动态故障树生成方法，该方法包括如下步骤：

(1)建立系统运行状态模型以及LTL形式的安全性需求P，P为一系列子安全需求的逻辑组合，表示第i个子安全需求，i＝1,2……k，k表示子安全需求的总个数，该步骤中系统运行状态模型为基于模型检测工具NuSMV所建立的SMV模型，NuSMV(NewSymbolic Model Veritifer)是由卡内基梅隆大学的McMillan教授对SMV进行重构的一个模型检测工具；

(2)以为顶事件，为中间事件，根据逻辑关系使用逻辑门连接，为逻辑门的输出，为逻辑门的输入，表示逻辑非，表示违反第i个子安全需求，i＝1,2……k；

(3)采用系统运行状态模型对安全性需求P中的进行检测，若系统运行状态模型违反子安全需求则对应输出违反的系统状态路径；

(4)根据的LTL公式以及违反的系统状态路径生成动态故障树。

步骤(4)具体为：

(41)判断的LTL公式是否为R、F或G中的任意一种运算形式，若是则将对应的的LTL公式转换为U运算形式，执行步骤(42)，否则直接执行步骤(42)；

(42)若的LTL公式为X运算形式，则根据X运算转换规则将的LTL公式转换为故障树，若的LTL公式为U运算形式，则根据U运算转换规则将的LTL公式转换为故障树；

其中，R、F、G、U和X均为时态算子，R为“释放”时态算子，F为“某未来状态”时态算子，G为“所有未来状态”时态算子，U为“直到”时态算子，X为“下一个状态”时态算子。

步骤(41)中R、F或G运算形式的LTL公式转换为U运算形式具体为：

其中，和Ψ为原子命题，Т和⊥是原子命题，T表示真，⊥表示假，表示逻辑非。

如图2所示，步骤(42)中根据X运算转换规则将的LTL公式转换为故障树具体为：

(a1)X运算形式的的LTL公式表示为将作为顶事件并作为顺序与门的输出连接一个顺序与门，X为“下一个状态”时态算子，为原子命题；

(a2)将M.ξ_i为基本事件，为中间事件作为顺序与门的输入，并且作为与门的输出连接一个与门，其中，M.ξ_i表示系统M处于状态ξ_i，表示在系统M处于状态ξ_i+1时原子命题为真；

(a3)M.ξ_i+1和为基本事件并作为所述的与门的输入，M.ξ_i+1表示系统M处于状态ξ_i+1，状态ξ_i+1为状态ξ_i的下一个状态。

如图3所示，步骤(42)中根据U运算转换规则将的LTL公式转换为故障树具体为：

(b1)X运算形式的的LTL公式表示为将作为顶事件并作为顺序与门的输出连接一个顺序与门，U为“直到”时态算子，和Ψ为原子命题；

(b2)以和Ψ_ξj为中间事件作为顺序与门的输入，并分别作为与门的输出连接一个与门，其中，表示在系统M处于状态ξ_i时原子命题为真，表示在系统M处于状态ξ_i+p时原子命题为真，Ψ_ξj表示在系统M处于状态ξ_j时原子命题Ψ为真，p为正常数，状态ξ_i+1为状态ξ_i的下一个状态，ξ_i+p为状态ξ_i后的第p个状态，状态ξ_j表示使得原子命题Ψ为真时系统所处的状态；

(b3)以M.ξ_i和为基本事件并作为所对应的与门的输入，以M.ξ_j和Ψ为基本事件并作为Ψ_ξj所对应的与门的输入，以M.ξ_i+p和为基本事件并作为所对应的与门的输入。

本实施例将动态故障树生成方法应用到库位检测系统。库位检测系统是自动泊车系统的应用之一，用于检测车身附近存在的停车位。首先根据库位检测系统的设计文档和算法流程，进行系统建模和设计系统安全需求，并将安全需求转化为LTL形式的公式。将LTL公式和模型作为故障树生成算法的输入，并在模型中定义了故障状态，进行模型检验，并根据模型检验的结果自动生成违反库位检测系统安全需求的动态故障树。

具体地：对库位检测系统分析，根据系统模型和设计文档得出安全性LTL公式，并采用故障树生成算法根据LTL公式生成动态故障树。

实验环境：

实验平台：Intel(R)Core i7-6500U 2.50GHz双核，内存8GB；

操作系统：Fedora Linux Version24。

实验方案：

本实验通过分析库位检测系统实例，验证动态故障树生成方法的可用性，实验步骤如下。

1.系统建模。根据该系统的设计文档，使用Uppaal工具对系统建模，并以有限状态机的形式表示，以帮助对系统的后续分析。

2.形式化系统安全需求属性，并综合成LTL形式的安全性公式。

3.模型检验。在模型中定义故障状态，建立SMV模型，使用NuSMV工具对安全属性公式进行模型检验。

4.根据模型检验结果生成动态故障树。对安全属性公式的所有子项分别进行检验，如果检测到违反，将该子项表达式取反得到的LTL表达式转化成动态故障树形式。最后将所有子树与顶事件(即违反安全性公式)通过相应的逻辑门连接，形成故障树。

实验结果：

1、库位检测系统首先根据车身周围四个摄像头拍摄的图像，合成一幅汽车周围的环视图像。受限于摄像头范围，环视图中仅存在靠近车道的半个停车位，检测库位即检测停车位入口是否存在且有效。在环视图中根据预先学习的数据，寻找控制点，即停车位的角点。然后对每两个控制点配对，验证是否为有效的停车位入口。若验证通过，则输出停车位的位置，即四角顶点的坐标。

2、对库位检测系统的安全性需求分析重点在于其本身的功能，因此假设其运行环境是无故障的。并且在该系统运行过程中，没有其他应用的干扰，例如碰撞检测系统引起的急停。系统的功能安全性需求以及相应的LTL公式如表1所示。

表1库位检测系统安全性需求及相应LTL公式

3、对上述安全性公式进行模型检验结果如表2所示。

表2模型检验结果

4、生成系统的动态故障树如图4所示。

Claims (6)

1.一种动态故障树生成方法，其特征在于，该方法包括如下步骤：

(1)建立系统运行状态模型以及LTL形式的安全性需求P，P为一系列子安全需求的逻辑组合，表示第i个子安全需求，i＝1,2……k，k表示子安全需求的总个数；

(2)以为顶事件，为中间事件，根据逻辑关系使用逻辑门连接，为逻辑门的输出，为逻辑门的输入，表示逻辑非，表示违反第i个子安全需求，i＝1,2……k；

(3)采用系统运行状态模型对安全性需求P中的进行检测，若系统运行状态模型违反子安全需求则对应输出违反的系统状态路径；

(4)根据的LTL公式以及违反的系统状态路径生成动态故障树。

2.根据权利要求1所述的一种动态故障树生成方法，其特征在于，步骤(4)具体为：

(41)判断的LTL公式是否为R、F或G中的任意一种运算形式，若是则将对应的的LTL公式转换为U运算形式，执行步骤(42)，否则直接执行步骤(42)；

(42)若的LTL公式为X运算形式，则根据X运算转换规则将的LTL公式转换为故障树，若的LTL公式为U运算形式，则根据U运算转换规则将的LTL公式转换为故障树；

其中，R、F、G、U和X均为时态算子，R为“释放”时态算子，F为“某未来状态”时态算子，G为“所有未来状态”时态算子，U为“直到”时态算子，X为“下一个状态”时态算子。

3.根据权利要求1所述的一种动态故障树生成方法，其特征在于，步骤(1)中系统运行状态模型为基于模型检测工具NuSMV所建立的SMV模型。

4.根据权利要求2所述的一种动态故障树生成方法，其特征在于，步骤(41)中R、F或G运算形式的LTL公式转换为U运算形式具体为：

其中，和Ψ为原子命题，Т和⊥是原子命题，T表示真，⊥表示假，表示逻辑非。

5.根据权利要求2所述的一种动态故障树生成方法，其特征在于，步骤(42)中根据X运算转换规则将的LTL公式转换为故障树具体为：

(a1)X运算形式的的LTL公式表示为将作为顶事件并作为顺序与门的输出连接一个顺序与门，X为“下一个状态”时态算子，为原子命题；

(a2)将M.ξ_i为基本事件，为中间事件作为顺序与门的输入，并且作为与门的输出连接一个与门，其中，M.ξ_i表示系统M处于状态ξ_i，表示在系统M处于状态ξ_i+1时原子命题为真；

(a3)M.ξ_i+1和为基本事件并作为所述的与门的输入，M.ξ_i+1表示系统M处于状态ξ_i+1，状态ξ_i+1为状态ξ_i的下一个状态。

6.根据权利要求2所述的一种动态故障树生成方法，其特征在于，步骤(42)中根据U运算转换规则将的LTL公式转换为故障树具体为：

(b1)X运算形式的的LTL公式表示为将作为顶事件并作为顺序与门的输出连接一个顺序与门，U为“直到”时态算子，和Ψ为原子命题；

(b2)以和Ψ_ξj为中间事件作为顺序与门的输入，并分别作为与门的输出连接一个与门，其中，表示在系统M处于状态ξ_i时原子命题为真，表示在系统M处于状态ξ_i+p时原子命题为真，Ψ_ξj表示在系统M处于状态ξ_j时原子命题Ψ为真，p为正常数，状态ξ_i+1为状态ξ_i的下一个状态，ξ_i+p为状态ξ_i后的第p个状态，状态ξ_j表示使得原子命题Ψ为真时系统所处的状态；

(b3)以M.ξ_i和为基本事件并作为所对应的与门的输入，以M.ξ_j和Ψ为基本事件并作为Ψ_ξj所对应的与门的输入，以M.ξ_i+p和为基本事件并作为所对应的与门的输入。