CN107633139A - 一种安全关键系统的功能模型与故障模型的融合方法 - Google Patents
一种安全关键系统的功能模型与故障模型的融合方法 Download PDFInfo
- Publication number
- CN107633139A CN107633139A CN201710862152.6A CN201710862152A CN107633139A CN 107633139 A CN107633139 A CN 107633139A CN 201710862152 A CN201710862152 A CN 201710862152A CN 107633139 A CN107633139 A CN 107633139A
- Authority
- CN
- China
- Prior art keywords
- msub
- function
- mrow
- level
- malfunction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Test And Diagnosis Of Digital Computers (AREA)
Abstract
本发明公开了一种安全关键系统的功能模型与故障模型的融合方法,包含以下方法:步骤1、识别功能模型中的层级关系,各层级所实现的功能和各功能所用到的组件、输入接口和输出接口;步骤2、识别每个功能、组件、输入接口和输出接口所包含的故障状态;步骤3、根据选定层级的功能、组件、输入接口和输出接口在功能实现时的数据链路次序,建立该层级内的故障状态的因果关系。步骤4、根据功能模型中的层级关系,将各层级的功能贯穿起来,完成层级之间的故障状态的因果关系搭建,故障模型搭建结束。
Description
技术领域
本发明涉及安全关键系统的设计技术领域,具体涉及安全关键系统功能建模过程中的故障融合方法,该技术所适用的系统模型不限于SysML,UML,AADL等系统建模语言。
背景技术
模型驱动的系统设计在航空领域的发展始于21世纪初,随着系统设计的日趋复杂,系统所承担的功能综合化和多样化,基于模型的系统工程方法由于能够层次化、结构化的对复杂系统进行清晰的描述在系统设计领域得到了广泛的应用。十多年来也取得了较快的发展,欧洲与美国的一些航空企业及研究机构在这一领域的研究处于领先地位,如空客A320飞机的液压系统在研制过程级已经采用了基于模型的系统设计方法。通过建模工具按照系统开发的层级关系,对系统功能的组成以及实现机制进行描述,能够成为基于模型系统设计过程中必不可少的一个环节。
然而,系统功能的建模过程主要关注的内容是系统功能到不同层级的系统物理组件的分解、交联以及功能和物理组件之间的信息接口关系。对于航空电子系统、核电操控系统以及轨道交通系统等安全关键系统设计而言,除了需要保证正常的功能实现以及信息传输,更为重要的的是针对系统各层级的功能以及组件在各种故障状态开展相应的容错设计,从而达到失效-安全的设计目标。
因此,针对安全关键系统的功能建模设计上,仅仅从其实现的功能的机制、组成以及接口关联关系上对系统功能进行建模是远远不够的。功能建模除了需要包含各个层级系统功能以及物理组件正常条件下功能的运行状态模型,同时也需要相应的包含异常状态即故障模型,从而支持支持系统的容错设计和失效-安全设计。
发明内容
为了解决当前安全关键系统的设计建模过程对系统功能以及组件的故障描述问题,以支持安全关键系统的容错设计验证、失效安全设计以及安全性分析,本发明提供了一种安全关键系统的功能模型和故障模型的融合方法,基于功能模型的层级关系、功能信息传输路径以及所包含的组件,对系统各个层级的功能和组件的故障状态建立故障模型清单,进一步构建各层级的功能之间、各个组件之间的故障模式之间的因果传递关系,最终将故障模型融入到系统模型中。
安全关键系统的功能模型与故障模型的融合方法如下:
步骤1、识别功能模型中的层级关系,各层级所实现的功能和各功能所用到的组件、输入接口和输出接口;
步骤2、识别每个功能、组件、输入接口和输出接口所包含的故障状态;
步骤3、根据选定层级的功能、组件、输入接口和输出接口在功能实现时的数据链路次序,建立该层级内的故障状态的因果关系。
步骤4、根据功能模型中的层级关系,将各层级的功能贯穿起来,完成层级之间的故障状态的因果关系搭建,故障模型搭建结束。
通过上述的过程步骤,将安全关键系统的功能模型建模过程所用到的功能、组件、接口的故障状态,按照故障的传递关系的方式,融入了系统功能设计模型。基于融合了故障模型后的安全关键系统的功能模型,即可开展功能失效路径的验证、故障定位和安全性分析,从而保证安全关键系统的所有异常状态以及对应的故障影响都进行了识别和开展了相应的容错设计。
下面对融合方法的基本原理进行更为详细的介绍。
通用的功能模型建模过程中主要是将系统的组成内容,映射为系统建模元素,主要涵盖的内容如下。
系统组成 | 建模方式 | 数学模型表达方式 |
功能 | 类图实例 | F |
输入关系 | 输入接口 | I |
输出关系 | 输出接口 | O |
设备或者组件 | 实例 | C |
关联关系 | 功能关联或者数据传递指向箭头 | D |
则系统功能的组织过程通过数学模型的表达方式可以归纳为:
则对于组件Cj,j=1,2,3,....,n而言,所包含的输入接口可以表示为Ijk,k=1,2,3,....,n,所包含的输出接口可以表示为Ojl,l=1,2,3,....,n。输入接口、输出接口以及组件都存在异常的状态,这里称之为故障。因此,针对输入接口、输出接口以及组件识别对应的故障状态,这些状态形成了故障状态集合,通过数学模型的表达方式可以归纳为:
其中,表示组件Cj自身的故障状态集合,表示组件Cj的输入接口的故障状态集合Ijk,表示组件Cj输出接口Ojl的故障状态集合。
对于系统中的组件Cj,如表达式(1)所示,在给定输入的条件下Ijk,得到特定的输出Ojl。因此,在故障因果关系传递上,可以表示为:
对于不同层级的功能而言,下一层级组件的输出最终支撑上一层的功能。因此,上一层级的功能与下一层级的输出之间的关键在因果关系传递上,分为两种情况:
当层级之间是备份关系时,二个组件的输出接口的故障状态集合同时出现故障状态时,才会导致Fr功能出现失效,因此可以表示为,
当层级之间是协同关系时,二个组件的输出接口输出故障状态集合和任一一个出现故障状态时,就会导致Fr功能出现失效,因此可以表示为,
通过以上的逻辑表达过程,对安全关键系统系统建模过程中各个层级的功能、组件以及接口进行故障状态建模,并搭建搭建不同层级组件的故障状态的因果传递关系,从而完成整个系统建模与故障模型的融合。
附图说明
图1层次化安全关键系统系统设计建模过程示例图
图2功能、接口、组件的因果组建流程示意图。
图3为本发明实施所构建的故障模型的示例图。
图4不同层级的系统的因果组建流程。
具体实施方式
为了更好的理解本发明,下面结合附图对本发明的技术方案做进一步的描述。
图1为安全关键系统的功能建模过程示意图。当前系统设计建模过程采用的是一种层次化的建模方式。通过这种方式,可以将复杂系统的设计逐步简化为针对每一层的建模设计过程。在针对每一层次的设计上,只需要关注本层次的系统设备和接口之间的关系。随着层次的不断深入,最终完成整个系统从系统功能到设备组件层级的建模,从而保证系统建模的正确性。
图2为本发明技术实施的总体过程。根据安全关键系统的功能模型,识别系统的设备以及各个层级的组件。基于功能、组件(或设备)的特性,构建每个功能、组件(或设备)的故障状态集合。选择功能的故障状态,依据下一层级的输出接口的故障状态与功能的故障状态的关系搭建因果传递关系。基于组件(或设备)的输出接口、输入接口以及组件(或设备)自身的故障状态的关系搭建三者的进过传递关系,从而完成从系统功能到设备或组件的故障状态的故障模型建模。
图3为本发明系统建模与故障模型的融合以及故障因果关系构建过程示例。在系统模型中,组件之间的关联方式是通过接口进行的。因此,输出接口的状态取决于组件自身以及组件的输入接口的内容的状态。首先,分别识别组件、输入接口和输出接口,如图中3中所示组件Cn所对应的输入接口分别为In1,In2,In3,组件Cn所对应的输出接口分别为On1,On2,On3,组件以及输入接口和输出接口所对应的状态包括正常状态和故障状态,组件Cn的状态清单如表1所示,输入接口的状态清单如表2所示,输出接口的状态清单如表3所示。
表1
表2
表3
基于表1中组件自身的故障状态和表2数据接口的故障状态集,构建的函数方式为:
图4为故障模型的融合流程图。基于已有的安全关键系统的功能模型,系统的功能、组件及组件的输入接口和输出接口都在模型中得到了定义。系统的功能模型与故障模型的融合过程如以下步骤所示:
步骤1.选择所需要构建故障模型的系统功能,并且识别出该功能所具有的故障状态。
步骤2.选取该系统功能的某一个故障状态作为因果追溯关系的结果。
步骤3.判断该功能的故障状态是否包含了其他组件的输出接口?如果否,则转入步骤12;如果是,则转入步骤4.
步骤4.识别出该组件输出接口的故障状态集合。
步骤5.判断该组件输出接口的故障状态集合中的故障状态是否导致选定功能(或者其他组件的输入接口)的失效状态?如果否,则转入步骤12;如果是,则转入步骤6。
步骤6.将该组件的输出接口故障状态指向选定功能的失效状态。
步骤7.判断该输出接口是否包含组件以及输入接口?如果否,则转入步骤12;如果是,则转入步骤8。
步骤8.判断识别组件以及输入接口的故障状态。
步骤9.判断组件以及输入接口的故障状态是否倒是输出接口的故障状态?如果否,则转入步骤12;如果是,则转入步骤10。
步骤10.将组件以及输入接口的故障状态指向输出接口的故障状态。
步骤11.判断输入接口是否包含其他组件的输出接口?如果是,则转入步骤4;如果否,则转入步骤12。
步骤12.针对该功能故障状态的故障模型搭建完成。
步骤13.判断该功能是否包含其他的故障状态。如果是,则转入步骤2,如果否,则转入步骤14。
步骤14.针对该功能的故障模型搭建完成。
步骤15.判断该系统模型是否包含其他功能?如果是,则转入步骤1,重复该步骤的后续过程;如果否,则转入步骤16。
步骤16.安全关键系统的故障模型搭建结束。
Claims (3)
1.一种安全关键系统的功能模型与故障模型的融合方法,包含以下方法:
步骤1、识别功能模型中的层级关系,各层级所实现的功能和各功能所用到的组件、输入接口和输出接口;
步骤2、识别每个功能、组件、输入接口和输出接口所包含的故障状态;
步骤3、根据选定层级的功能、组件、输入接口和输出接口在功能实现时的数据链路次序,建立该层级内的故障状态的因果关系。
步骤4、根据功能模型中的层级关系,将各层级的功能贯穿起来,完成层级之间的故障状态的因果关系搭建,故障模型搭建结束。
2.根据权利要求1所述的一种安全关键系统的功能模型与故障模型的融合方法,其特征在于所述层级内的故障状态的因果关系为:
<mrow>
<msub>
<mi>S</mi>
<msub>
<mi>C</mi>
<mi>j</mi>
</msub>
</msub>
<mo>&cup;</mo>
<msub>
<mi>S</mi>
<msub>
<mi>I</mi>
<mrow>
<mi>j</mi>
<mi>k</mi>
</mrow>
</msub>
</msub>
<mo>=</mo>
<msub>
<mi>S</mi>
<msub>
<mi>O</mi>
<mrow>
<mi>j</mi>
<mi>l</mi>
</mrow>
</msub>
</msub>
</mrow>
其中,为组件Cj的故障状态集合,为组件Cj的输入接口Ijk的故障状态集合,为组件Cj的输出接口Ojl的故障状态集合。
3.根据权利要求1所述的一种安全关键系统的功能模型与故障模型的融合方法,其特征在于所述层级之间的故障状态的因果关系为:
当层级之间是备份关系时:
<mrow>
<msub>
<mi>S</mi>
<msub>
<mi>O</mi>
<mrow>
<mi>j</mi>
<mi>l</mi>
</mrow>
</msub>
</msub>
<mo>&cap;</mo>
<msub>
<mi>S</mi>
<msub>
<mi>O</mi>
<mrow>
<mi>j</mi>
<mi>t</mi>
</mrow>
</msub>
</msub>
<mo>=</mo>
<msub>
<mi>S</mi>
<msub>
<mi>F</mi>
<mi>r</mi>
</msub>
</msub>
<mo>,</mo>
<mi>r</mi>
<mo>=</mo>
<mn>1</mn>
<mo>,</mo>
<mn>2</mn>
<mo>,</mo>
<mn>3</mn>
<mo>,</mo>
<mn>...</mn>
<mo>,</mo>
<mi>n</mi>
</mrow>
当层级之间是协同关系时
<mrow>
<msub>
<mi>S</mi>
<msub>
<mi>O</mi>
<mrow>
<mi>j</mi>
<mi>l</mi>
</mrow>
</msub>
</msub>
<mo>&cup;</mo>
<msub>
<mi>S</mi>
<msub>
<mi>O</mi>
<mrow>
<mi>j</mi>
<mi>t</mi>
</mrow>
</msub>
</msub>
<mo>=</mo>
<msub>
<mi>S</mi>
<msub>
<mi>F</mi>
<mi>r</mi>
</msub>
</msub>
<mo>,</mo>
<mi>r</mi>
<mo>=</mo>
<mn>1</mn>
<mo>,</mo>
<mn>2</mn>
<mo>,</mo>
<mn>3</mn>
<mo>,</mo>
<mn>...</mn>
<mo>,</mo>
<mi>n</mi>
</mrow>
其中,和分别为二个层级的输出接口的故障状态集合,为功能模型的故障状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710862152.6A CN107633139A (zh) | 2017-09-21 | 2017-09-21 | 一种安全关键系统的功能模型与故障模型的融合方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710862152.6A CN107633139A (zh) | 2017-09-21 | 2017-09-21 | 一种安全关键系统的功能模型与故障模型的融合方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107633139A true CN107633139A (zh) | 2018-01-26 |
Family
ID=61102132
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710862152.6A Pending CN107633139A (zh) | 2017-09-21 | 2017-09-21 | 一种安全关键系统的功能模型与故障模型的融合方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107633139A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112417168A (zh) * | 2020-11-20 | 2021-02-26 | 中车信息技术有限公司 | 一种面向复杂工业设备物理机理知识的通用表征方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103853889A (zh) * | 2014-03-12 | 2014-06-11 | 南京航空航天大学 | 一种基于键合图的电力电子系统故障诊断方法 |
CN105159670A (zh) * | 2015-08-24 | 2015-12-16 | 中国航空无线电电子研究所 | 一种通用座舱显示控制系统软件开发框架 |
WO2016137874A1 (en) * | 2015-02-23 | 2016-09-01 | Honeywell International Inc. | System and method to construct diagnostic dependence model |
CN106354642A (zh) * | 2016-08-29 | 2017-01-25 | 中国航空工业集团公司西安飞机设计研究所 | 一种机载中央维护系统软件测试方法及系统 |
-
2017
- 2017-09-21 CN CN201710862152.6A patent/CN107633139A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103853889A (zh) * | 2014-03-12 | 2014-06-11 | 南京航空航天大学 | 一种基于键合图的电力电子系统故障诊断方法 |
WO2016137874A1 (en) * | 2015-02-23 | 2016-09-01 | Honeywell International Inc. | System and method to construct diagnostic dependence model |
CN105159670A (zh) * | 2015-08-24 | 2015-12-16 | 中国航空无线电电子研究所 | 一种通用座舱显示控制系统软件开发框架 |
CN106354642A (zh) * | 2016-08-29 | 2017-01-25 | 中国航空工业集团公司西安飞机设计研究所 | 一种机载中央维护系统软件测试方法及系统 |
Non-Patent Citations (1)
Title |
---|
周元辉 等: "基于模型的系统安全性分析方法研究", 《2016第五届民用飞机航电系统国际论坛论文集》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112417168A (zh) * | 2020-11-20 | 2021-02-26 | 中车信息技术有限公司 | 一种面向复杂工业设备物理机理知识的通用表征方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20170236234A1 (en) | Risk management method and system for a land transporation system | |
CN100515843C (zh) | 为基于火车站的重要计算机设备产生逻辑控制单元的方法和设备 | |
CN105302112A (zh) | Icni系统智能故障诊断系统 | |
CN109407518B (zh) | 家庭服务机器人运行状态自主认知方法及系统 | |
CN104678764A (zh) | 基于解析重构信号的飞控系统传感器混合余度方法 | |
Shu et al. | A simplified Markov-based approach for safety integrity level verification | |
CN105938502A (zh) | 面向AltaRica模型的系统安全性设计验证方法 | |
CN110386153B (zh) | 基于系统理论危害分析的车道保持辅助系统安全分析方法 | |
Chopra et al. | Reliability measures of two dissimilar units parallel system using Gumbel-Hougaard family copula | |
CN104503434A (zh) | 一种基于故障征兆主动推送的故障诊断方法 | |
CN106407580B (zh) | 基于脚本的规则检测遥控闭锁方法 | |
CN107450517A (zh) | 一种随机离散事件系统安全可诊断性确定方法及系统 | |
CN111178404A (zh) | 考虑路径依赖效应的人机交互系统任务可靠性建模方法 | |
CN106339553B (zh) | 一种空间飞行器的重构飞行控制方法及系统 | |
Mader et al. | A computer-aided approach to preliminary hazard analysis for automotive embedded systems | |
CN107633139A (zh) | 一种安全关键系统的功能模型与故障模型的融合方法 | |
CN105005697A (zh) | 一种对修复有时间约束的系统动态故障树分析方法 | |
CN102902852A (zh) | 一种汽车ecu诊断软件模型的自动生成系统及方法 | |
CN104601384B (zh) | 一种智能变电站通信系统可靠性灵敏度分析方法及系统 | |
Guha et al. | Formal verification of safety-critical systems: a case-study in airbag system design | |
Li et al. | Safety analysis of software requirements: model and process | |
Kim et al. | A systematic approach to analysing errors of commission from diagnosis failure in accident progression | |
Gao et al. | A dynamic fault tree based CBTC onboard ATP system safety analysis method | |
Ozerov et al. | Safety model construction for a complex automatic transportation system | |
CN115933485A (zh) | 基于控制结构层次划分的安全攸关系统控制方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180126 |