CN116802578A - 用于解决多组件系统的自动故障树分析中的闭合环路的计算机实现方法和设备 - Google Patents

用于解决多组件系统的自动故障树分析中的闭合环路的计算机实现方法和设备 Download PDF

Info

Publication number
CN116802578A
CN116802578A CN202280011168.5A CN202280011168A CN116802578A CN 116802578 A CN116802578 A CN 116802578A CN 202280011168 A CN202280011168 A CN 202280011168A CN 116802578 A CN116802578 A CN 116802578A
Authority
CN
China
Prior art keywords
boolean
fault tree
fault
elements
loop
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280011168.5A
Other languages
English (en)
Inventor
J·梅努
F·蒙特龙
A·H·萨勒赫
M·泽勒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Industry Software NV
Original Assignee
Siemens Industry Software NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Industry Software NV filed Critical Siemens Industry Software NV
Publication of CN116802578A publication Critical patent/CN116802578A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • G05B23/0245Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
    • G05B23/0248Causal models, e.g. fault tree; digraphs; qualitative physics
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0275Fault isolation and identification, e.g. classify fault; estimate cause or root of failure
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

本发明涉及一种用于解决多组件系统的自动故障树分析中的闭合环路(7)的计算机实现方法(M),所述方法(M)包括以下步骤:a.使用故障树(1)对所述多组件系统进行建模(M1),所述故障树(1)包括与所述多组件系统的组件相关联的元件(4)以及在所述元件(4)之间的与所述组件之间的功能依赖性相关联的互连(2);b.从所述故障树(1)的输出元件(4a)经由所述互连(2)朝向所述故障树(1)的一个或多个输入元件(4b)回溯(M2)故障传播路径(11);c.针对所有故障传播路径(11),通过标识相应故障传播路径(11)的下游元件(4d)——所述下游元件(4d)具有其输出值对所述故障传播路径(11)的上游元件(4c)的输出值的依赖性——来检查(M3)相应故障传播路径(11)是否包含闭合环路(7);d.将每个这种下游元件(4d)的对应于环路互连(ψi)的输入值设置(M4)为布尔“真”;e.标识(M5)任何独立于所述输入元件(4b)的具体值而不具有布尔“真”作为输出值的布尔“与”门(3a);切断(M5)去往相应下游元件(4d)与相应上游元件(4c)之间的任何所标识的布尔“与”门(3a)的任何布尔“真”输入;以及f.将每个相应下游元件(4d)的对应于所述环路互连(ψi)的输入值设置(M6)为布尔“假”。此外,本发明涉及对应的设备。

Description

用于解决多组件系统的自动故障树分析中的闭合环路的计算 机实现方法和设备
本发明涉及一种用于解决多组件系统的自动故障树分析中的闭合环路(closedloop)的计算机实现方法。本发明进一步涉及一种包括被配置成执行这种方法的处理器的设备。
技术领域
本发明涉及。此外,本发明涉及对应的计算单元和对应的计算机程序产品。
背景技术
在嵌入式系统的许多应用领域(诸如航空航天、铁路、医疗保健、汽车和工业自动化)中,安全性关键系统的重要性持续增长。因此,随着增长的系统复杂性,对于安全性保障以及其效力(effort)的需求正在增加,以便保证这些应用领域中的高质量要求。安全性保障的目的是确保系统不会导致可能伤害人员或危害环境的危险情形。在安全性关键系统的应用领域中,安全性保障借助于标准来定义,该标准参见例如国际电工委员会(IEC)61508,“Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems”,1998。
传统上,在安全性方面的系统评估基于自下而上的安全性分析方法,诸如故障模式和影响分析(FMEA),参见IEC 60812,“Analysis Techniques for System Reliability-Procedure for Failure Mode and Effects Analysis(FMEA)”,1991。替代地,根据参考实现方式的系统评估基于自上而下的方法,诸如故障树分析(FTA),参见例如Vesely等人的“Fault Tree Handbook”,US Nuclear Regulatory Commission,1981。通过这种技术,有可能标识系统故障状态、它们的原因、以及对系统安全性的冲击下的影响。
系统的架构通常包含环路。环路的示例是闭环控制器(RID)。闭环控制指代如下过程:在该过程中,物理变量(例如环境温度)将被带到特定值,同时针对扰动被稳定化。基于测量物理变量的可观察指示而获得的反馈被用于设置影响物理变量的致动器的操作。控制器是获取实际值并且根据设置点与实际值之间的差来导出控制信号的组件。然后,控制器激活补偿该控制偏差的最终控制元件,例如加热器。
由于故障传播模型通常使用布尔逻辑,例如以驱动故障树(FT),因此(闭合)环路或环形闭合是有问题的。因为布尔逻辑一般而言不能够包含环路,所以存在用于预防(prevent)这种模型中的环路的技术,例如,如等人的“StreamliningArchitectures for Integrated Safety Analysis Using Design Structure Matrices(DSMS)”,Safety and Reliability:Methodology and Applications,2014中所描述的。对于其中故障传播模型被自动地组成的应用,例如,当架构被生成时,这种预防性技术无法帮助。这种环路通常不能够被预防,这是由于它们仅仅是在从故障传播模型的现有部分和现有组件组成系统期间发展出来的。因此,需要一种能够应对使用布尔逻辑的故障传播模型中的环路的技术。
在Yang等人的“Analytic Method to Break Logical Loops Automatically inPSA”,Reliability Engineering&System Safety,56(2):101-105,1997中,作者以分析的方法(analytically)自动中断(break)环路。他们使用布尔方程的自上而下的扩展(expansion),直到他们通过寻址(address)合取(conjunction)中的相同结构元件两次而检测到环路。然后,在认为基本事件的较大乘法(multiplication)导致了总体可靠性的较小部分的情况下,从方程中移除该项。结果可能变得不精确且乐观(optimistic),并且故障随着检测到的环路的数量而增长。
在Cuenot等人的“Proposal for extension of meta-model for error failureand propagation analysis”,Safe Automotive Software Architecture(SAFE),anITEA2 project,2013中,从故障传播模型中移除环路,但是该工作仅解决了仅具有一个入口和一个出口点的一维环路。因此,不可能中断或者仅可能在有限的程度上中断具有去往其他环路中的多个入口和出口点的多维的任意环路。
在Vaurio等人的“A Recursive Method for Breaking Complex Logic Loops inBoolean System Models”,Reliability Engineering&System Safety,92(10):1473-1475,2007中,作者使用自上而下的方法以递归地通过所有现有环路来扩展布尔公式。在其中进一步展开(unroll)的环路不再改变布尔方程的割集的步骤之后,他们停止该递归。假定这是针对该算法的终止的有效准则,这是由于割集的数量是有限的。没有证据表明展开将不会在两个解之间交替。而且,割集的数量呈指数增长,并且该算法也是如此,该算法应当以O(nn)而增长。
另一种方法可以在Lim等人的“Systematic Treatment of Circular Logics ina Fault Tree Analysis”,Nuclear Engineering and Design,245(Supplement C):172-179,2012中找到,其中系统的初始条件被调查以处理循环逻辑(circular logic)。循环逻辑的初始条件是其中环路被闭合的点。如果下一个门具有“运行失败”或“启动失败”类型,则循环逻辑被不同地处理。这些条件指示支持系统是否处于待机并且需要被启动以实现其功能,或者系统是否正在运行且未能执行其操作。该知识对于使环路闭合的故障树逻辑的所有门都是需要的,以使用算法来自动处理循环逻辑。这限制了使从自动生成的故障树中移除循环逻辑的过程完全自动化的能力。
针对该背景,对于分析安全性关键系统的先进技术的需求是存在的。特别地,对于标识和解决故障树中的环路的先进技术的需求是存在的。
因此,本发明的目的是提供一种用于以高效和可靠的方式解决多组件系统的自动故障树分析中的闭合环路的计算机实现方法。
发明内容
该问题根据本发明的一个方面通过一种用于解决多组件系统的自动故障树分析中的闭合环路的计算机实现方法来解决,所述方法包括以下步骤:
a.使用故障树对所述多组件系统进行建模,所述故障树包括与所述多组件系统的组件相关联的元件以及在所述元件之间的与所述组件之间的功能依赖性相关联的互连;
b.从所述故障树的输出元件经由所述互连朝向所述故障树的一个或多个输入元件回溯(back-trace)故障传播路径;
c.针对所有故障传播路径,通过标识相应故障传播路径的下游元件——所述下游元件具有其输出值对所述故障传播路径的上游元件(4c)的输出值的依赖性——来检查相应故障传播路径是否包含闭合环路;
d.将每个这种下游元件的对应于环路互连的输入值设置为布尔“真”;
e.标识任何独立于输入元件的具体值而不具有布尔“真”作为输出值的布尔“与”门;
切断(cut off)去往相应下游元件与相应上游元件之间的这些所标识的布尔“与”门的任何布尔“真”输入;以及
f.将每个相应下游元件的对应于所述环路互连的输入值设置为布尔“假”。
本发明的一个想法是:通过遵循受定点迭代启发的方法,即通过计算可以以x=f(x)形式编写的方程的解的方法,来提供一种解决闭合环路的方法。给定这种在具有实值的实数上定义的函数,并且给定f的域中的起始点x0,可以示出序列xn+1=f(xn),n=0,1,2…在特定情况下针对x=f(x)的解x而收敛。在当前情况下,将基础的布尔逻辑考虑在内,仅两个值对于变量来说是可能的,即布尔“真”和“假”。故障树或故障树内的故障传播路径可以被视为某种形式的方程或耦合方程组。本发明现在将布尔“真”视为去往其中已经发现了闭合环路的所有故障传播路径的起始值,这种闭合环路是通过从输出到一个或多个输入迭代地遍历故障树而找到的。基于此,故障树的某些属性被评估,并且故障树以特定的方式被修正,以移除故障树中存在的任何闭合环路。随后,布尔“假”作为第二起始值被插入,以使得剩余的故障树是可分析的。
参考所附的附图中描绘的示例性实施例,根据本发明的方法的具体细节将在下面进一步变得更加清楚。简而言之,简单的故障树可能已经通过简单地将任何环路互连设置为布尔“真”而被解决。
在出现重言式(tautology)——这意味着故障树的输出元件独立于输入元件的值而给出布尔“真”——的情况下,环路互连必须在随后的步骤中被设置为布尔“假”,这然后可以使得故障树是可分析的,即没有任何剩余的环路。
然而,对于特定的复杂故障树,可能出现问题,这使得有必要标识任何独立于输入元件的具体值而不具有布尔“真”作为输出值的布尔“与”门。这些输入——即,去往任何布尔“与”门的布尔“真”输入——被切断。在下一个步骤中将任何环路互连设置为布尔“假”于是使得任何故障树是可分析的,这意味着剩余的故障树不再包含环路,并且因此可以被表达为和/或扩展成确定性的(definite)布尔表达式。
根据本发明的方法得到了用于故障树分析的下限。这意味着故障树分析的结果要么等于要么大于故障树的精确结果。
优点是:定义了下限以及加之上限的组合使得能够清楚判断安全性要求是否在大多数情况下被满足。
与常规方法相比,根据本发明的解决方案非常有效。本发明的方法特别地以线性复杂度O(n)为特征,并且因此比迄今为止已知的任何方法都快得多。所述方法可以使得能够实现对技术产品和/或系统关于可靠性、可用性、可维护性和/或安全性(RAMS要求)的自动化优化。此外,这种RAMS要求可以针对进一步的技术系统属性(如例如效率等)的优化被考虑在内。本发明特别地提供了一种用于分析安全性关键系统的先进技术。
根据另一方面,通过在元件处将所述故障树迭代地扩展成布尔表达式,从而在布尔代数内表达所述故障树。
根据另一方面,所述故障树的闭合环路与所述多组件系统的闭环控制电路相关联。
本发明的进一步方面是一种设备,其包括被配置成执行上述方法的处理器。
附图说明
在以下详细描述中,参考以下各图进一步描述了本发明的目前优选的实施例:
图1示出了具有执行根据本发明的方法的处理器的设备,得到了用于故障树分析的下限。
图2-4示出了利用图1的设备来分析的故障树。
图5和6示出了根据替代实施例的故障树,得到了用于故障树分析的上限。
图7和8示出了根据一实施例的故障树,得到了用于故障树分析的下限。
图9和10示出了根据替代实施例的故障树,得到了用于故障树分析的上限。
图11和12示出了根据一实施例的故障树,得到了用于故障树分析的下限。
具体实施方式
尽管本文中图示和描述了特定实施例,但是本领域普通技术人员将领会,在不脱离本发明的范围的情况下,可以用各种替代和/或等同的实现方式来代替所示出和描述的特定实施例。一般地,本申请旨在覆盖本文中讨论的特定实施例的任何改编或变型。
在本文中,描述了用于可靠地且在计算上廉价地检测故障树(FT)中的闭合环路和/或环形闭合的技术。为此,从FT的输出朝向FT的一个或多个输入回溯多个故障传播路径。然后,针对每个故障传播路径,可以进行关于相应故障传播路径是否形成闭合环路的检查。然后,如果闭合环路被标识,则可以有可能采取适当的对策来减轻闭合环路对FT的可分析性的负面影响。
一般地,本文中描述的技术可以在各种种类和类型的安全性关键系统中找到应用。例如,本文中描述的技术可以在多组件系统(例如控制或致动器系统)中找到应用。这种控制或致动器系统可以为某些机器提供控制功能性或激活功能性。多组件安全性关键系统的一些元件可以实现为硬件,而一些组件可以替代地或附加地使用软件来实现。有可能的是,针对其采用这些技术的安全性关键系统包括提供用于致动或控制一个或多个机器的致动力或控制信号的输出。可以受益于本文中描述的技术的安全性关键系统的具体示例包括但不限于:电子电路,该电子电路包括有源和/或无源电子组件,诸如晶体管、线圈、电容器、电阻器等;用于诸如火车、乘用车或飞机之类的交通工具的传动系;装配线,包括传送带、机器人、可移动部件、控制区段、用于检查制成品的测试区段(后端测试);医学系统,诸如包括磁共振成像或计算机断层摄影的成像系统、粒子治疗系统;发电厂;等等。
作为一般规则,在本文中描述的各种示例中,可以使用不同种类和类型的FT。在本文中描述的技术中可以依赖的FT的示例实现方式包括组件FT(CFT)。为了简单起见,在下文中,在CFT的上下文中描述了各种示例,虽然一般地也可以采用FT。
例如,在Kaiser等人的“A new component concept for FTs”,Proceedings ofthe 8th Australian Workshop on Safety Critical Systems and Software,Volume33,pp.37-46,2003中描述了CFT。CFT为FT分析提供了基于模型和组件的方法,该方法支持模块化和组成性(compositional)安全性分析策略。CFT包括多个元件。所述元件与系统的组件相关联。CFT还包括元件之间的多个互连。所述互连与系统的组件之间的功能依赖性相关联。这种功能依赖性可以对力的流或控制信号的输入/输出进行建模。CFT可以对系统的错误行为进行建模。系统的错误行为可以通过CFT使用层级式分解的方法来建模。这里,系统的总体行为可以基于组件的个体行为来预测。换句话说,导致总体系统行为的因果链可以由组件的错误的因果链来建模。CFT可以包括相邻元件之间的布尔互连,以对错误遍及系统的传播进行建模。CFT可以使用图形对系统进行建模;这里,图形的节点可以对应于元件,并且图形的边可以对应于互连。
本文中描述的各种技术基于如下发现:如果使用布尔逻辑表达式对系统进行建模的CFT包括闭合环路和/或环形闭合,则它们可能会失灵(malfunction)。如果CFT的元件的输入值是从具有包括该输入值的相关联布尔逻辑表达式的输出中导出的,则闭合环路一般可能会存在。
图1示出了具有处理器6的设备10,处理器6执行根据本发明的用于解决多组件系统(未描绘)的自动故障树分析中的闭合环路的方法M。多组件系统可以是例如安全性关键系统等,该系统可以包括闭环控制器(PID)的闭环控制电路。PID可以例如被配置成在闭合控制环路的基础上控制多组件系统的组件。PID可以例如控制物理变量,如温度、压力、力等等。
将针对故障树1的一个特定示例参考图2至4来详细解释方法M。故障树1对多组件系统进行建模,并且包括与多组件系统的组件相关联的多个元件4以及在所述元件4之间的与所述组件之间的功能依赖性相关联的互连2。因此,方法M包括:在M1下,使用故障树1对多组件系统进行建模。故障树1包括一个输出元件4a和四个输入元件4b。每个元件4(标记为Xi,其中i=1...9)与门3或事件5中任一个相关联。在该特定示例中,存在三个布尔“或”门3b和两个布尔“与”门3a。此外,存在不同的基本事件b1、b2、g1、g2。如在图2中可以看到的,门X5和X6两者都具有源自故障树中上游的门的输入,即分别来自X3和X2。因此,这两个门X5和X6引起了故障树1内的环路,这使得自动地分析故障树1成为问题,这是因为由于该环路,没有有意义的布尔表达式可以被容易地指派给故障树1。
方法M进一步包括:在M2下,从故障树1的输出元件4a经由互连2朝向故障树1的输入元件4b回溯故障传播路径11。该回溯在图3中被图示,其中可以看到的是,故障树1基本上被分解成两个故障传播路径11,其中每个故障传播路径以一个闭合环路7为特征。或者,换句话说,故障树1“被展开”。在下文中,每个环路7到相应故障传播路径11的互连被标记为ψi。因此,图3中左侧的故障传播路径11具有一个闭合环路7,该闭合环路7在环路互连ψ1处将元件X6的一个输入与元件X2的输出连接。对应地,图3中右侧的故障传播路径11具有一个闭合环路7,该闭合环路7在环路互连ψ2处将元件X5的一个输入与元件X3的输出连接。
通过针对所有故障传播路径11来检查相应故障传播路径11是否包含具有其输出值对该故障传播路径11的上游元件4c的输出值的依赖性的下游元件4d,可以以一般的方式来标识这种引起环路的门。因此,方法M包括:在M3下,针对所有故障传播路径11,通过标识相应故障传播路径11的下游元件4d——该下游元件4d具有其输出值对该故障传播路径11的上游元件4c的输出值的依赖性——来检查相应故障传播路径11是否包含闭合环路7。
接下来,方法M移除故障树1中的这两个闭合环路7。为此,方法M包括:在M4下,将每个这种下游元件4d的对应于环路互连ψi的输入值设置为布尔“真”。或者,换句话说,此时在对应布尔表达式中出现(turn up)的有问题的元件由表达式ψi所替换。进一步地,该方法包括:在M5下,标识任何独立于输入元件4b的具体值而不具有布尔“真”作为输出的布尔“与”门3a。参考图4,可以看到的是,满足这些准则的两个“与”门4da可以被找到,并且因此,两个布尔“与”门4da被标识。
方法M进一步包括:在M5下,切断去往相应下游元件4d与上游元件4c之间剩余的所标识的布尔“与”门3a的任何布尔“真”输入。如图4中可以看到的,对于X6和X5两者,一个相应的输入被切断,即环路互连ψ1和ψ2(在图4中标示为被切断的互连8)。最后,方法M包括:在M6下,将每个相应下游元件4d的对应于环路互连ψi的输入值设置为布尔“假”。在该特定示例中,环路互连ψi无论如何都被切断,因此该方法步骤不具有结果(然而,参见图5至8中的示例)。如在图4中可以看到的,闭合环路7已经被移除,即,它们已经从故障传播路径11被切断。只有明确定义的布尔门3和基本事件bi、gi保留在故障树1中。因此,图2中的故障树1现在可以被评估,也就是说,它可以在元件4处被迭代地扩展成确定性的布尔表达式,其从输出元件4a经由互连2朝向输入元件4b行进,或者反之亦然。因此,故障树1可以表达为:
(b1∨(g1∧(g2∨b2)))∨(b2∨(g2∧(b1∨g1)))
根据本发明的方法可以用伪代码总结如下:
1.标识故障树内的所有环路(使用深度优先或深度优先搜索)。
2.通过移除引起环路的门与其前任者(predecessor)之间的连接来中断每个环路,并且添加代替的基本事件X。设置X=真。
3.针对所有环路:
针对环路内的每一个“与”门来检查是否“与”门=真(重言式),
i.如果“与”门=真,则什么都不做,
ii.如果“与”门不为真,则移除去往为真的其子代的所有连接,
iii.将所有代替的基本事件设置为假。
该方法可以用于确定用于故障树分析的下限。
由此,替代地,方法步骤M5可以被修改如下:
-检查M5任何独立于输入元件4b的具体值而具有布尔“真”作为输出值的布尔“与”门3a的步骤什么都不用做,
-用相应下游元件4d与相应上游元件4c之间的布尔“或”门3b,来替换M5任何独立于输入元件4b的具体值而具有布尔“真”作为输出值的布尔“与”门3a的步骤。
该替代方法步骤得到了用于故障树分析的上限,如在文档EP 579 074 A1中详细解释的那样。
上限和下限——相应地,两个界限——可以用于判断故障树分析结果。
这可以导致以下示例性用例:
1.根据图6和8,用于故障树分析的上限和下限是相等的,被标示为最小割集=A vB1 v B2 v C。由此,割集是组件故障的独特组合,该独特组合可能引起系统故障。具体地,如果当从割集中移除任何基本事件时,剩余的事件合起来(collectively)不再是割集,那么该割集被称为最小割集。因此,在这种情况下,根据图5和7的环路中断步骤导致了相同且又精确的结果。该结果可以与容许危险率(THR)进行比较,以判断要求是否被满足。
2.用于故障树分析的上限和下限是不同的。换句话说,在这种情况下,根据图9和11的环路中断导致了不同的结果或界限,用不同的最小割集来标示。所述最小割集分别在图10和12中示出。
在这种情况下,不同的子情况是可能的
a.上限低于THR,要求被满足,
b.下限低于THR,要求没有被满足,
c.THR在下限与上限之间。这意味着,要求是否被满足是不确定的(not sure)。因此,故障树可以被后处理。例如,如果环路可以通过改变对故障树的再加工(rework)来移除,则故障树由专家来审阅和/或检查或者被自动审阅和/或检查。环路的移除可以手动或自动地执行。此后,故障树分析必须被再次执行,并且下限和上限必须与THR进行比较。

Claims (4)

1.一种用于解决多组件系统的自动故障树分析中的闭合环路(7)的计算机实现方法(M),所述方法(M)包括以下步骤:
a.使用故障树(1)对所述多组件系统进行建模(M1),所述故障树(1)包括与所述多组件系统的组件相关联的元件(4)以及在所述元件(4)之间的与所述组件之间的功能依赖性相关联的互连(2);
b.从所述故障树(1)的输出元件(4a)经由所述互连(2)朝向所述故障树(1)的一个或多个输入元件(4b)回溯(M2)故障传播路径(11);
c.针对所有故障传播路径(11),通过标识相应故障传播路径(11)的下游元件(4d)——所述下游元件(4d)具有其输出值对所述故障传播路径(11)的上游元件(4c)的输出值的依赖性——来检查(M3)相应故障传播路径(11)是否包含闭合环路(7);
d.将每个这种下游元件(4d)的对应于环路互连(ψi)的输入值设置(M4)为布尔“真”;
e.标识(M5)任何独立于所述输入元件(4b)的具体值而不具有布尔“真”作为输出值的布尔“与”门(3a);
切断(M5)去往相应下游元件(4d)与相应上游元件(4c)之间的任何所标识的布尔“与”门(3a)的任何布尔“真”输入;以及
f.将每个相应下游元件(4d)的对应于所述环路互连(ψi)的输入值设置(M6)为布尔“假”。
2.根据权利要求1所述的方法(M),其中通过在元件(4)处将所述故障树(7)迭代地扩展成布尔表达式,从而在布尔代数内表达所述故障树(7)。
3.根据权利要求1或2所述的方法(M),其中所述故障树(1)的闭合环路(7)与所述多组件系统的闭环控制电路相关联。
4.一种设备(10),其包括被配置成执行根据权利要求1至3中的一项所述的方法(M)的处理器(6)。
CN202280011168.5A 2021-01-22 2022-01-13 用于解决多组件系统的自动故障树分析中的闭合环路的计算机实现方法和设备 Pending CN116802578A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP21152987.0 2021-01-22
EP21152987.0A EP4033319A1 (en) 2021-01-22 2021-01-22 Computer-implemented method and device for resolving closed loops in automatic fault tree analysis of a multi-component system
PCT/EP2022/050607 WO2022157062A1 (en) 2021-01-22 2022-01-13 Computer-implemented method and device for resolving closed loops in automatic fault tree analysis of a multi-component system

Publications (1)

Publication Number Publication Date
CN116802578A true CN116802578A (zh) 2023-09-22

Family

ID=74215708

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280011168.5A Pending CN116802578A (zh) 2021-01-22 2022-01-13 用于解决多组件系统的自动故障树分析中的闭合环路的计算机实现方法和设备

Country Status (4)

Country Link
US (1) US20240118686A1 (zh)
EP (2) EP4033319A1 (zh)
CN (1) CN116802578A (zh)
WO (1) WO2022157062A1 (zh)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4222092A1 (de) 1992-07-06 1994-01-13 Miele & Cie Backofen mit einem Kühlluftgebläse und/oder mit einem Heißluftgebläse
EP3579074B1 (en) * 2018-06-07 2021-01-06 Siemens Aktiengesellschaft Computer-implemented method and device for resolving closed loops in automatic fault tree analysis of a multi-component system

Also Published As

Publication number Publication date
US20240118686A1 (en) 2024-04-11
EP4033319A1 (en) 2022-07-27
WO2022157062A1 (en) 2022-07-28
EP4260152A1 (en) 2023-10-18

Similar Documents

Publication Publication Date Title
Bolbot et al. Vulnerabilities and safety assurance methods in Cyber-Physical Systems: A comprehensive review
Kloos et al. Risk-based testing of safety-critical embedded systems driven by fault tree analysis
KR101967327B1 (ko) 유휴 시스템 고장 상태들을 식별하기 위한 결함 트리들을 사용하는 안전 보장
EP3270249B1 (en) Method and apparatus for a computer-based generation of component fault trees
US11853048B2 (en) Control method and device that resolves closed loops in automatic fault tree analysis of a multi-component system
CN110134599B (zh) 一种系统体系结构错误行为验证方法及装置
EP3867719B1 (en) Computer-implemented method for generating a mixed-layer fault tree of a multi-component system combining different layers of abstraction
Johnson Improving automation software dependability: A role for formal methods?
US11144379B2 (en) Ring-closures in fault trees
Noll Safety, dependability and performance analysis of aerospace systems
Daskaya et al. Formal safety analysis in industrial practice
Medikonda et al. A framework for software safety in safety-critical systems
CN116802578A (zh) 用于解决多组件系统的自动故障树分析中的闭合环路的计算机实现方法和设备
Gomes et al. Constructive model-based analysis for safety assessment
Belland et al. Using fault trees to analyze safety-instrumented systems
Jablonski et al. A Case Study in the Formal Modeling of Safe and Secure Manufacturing Automation
Ravikumar et al. A Survey on different software safety hazard analysis and techniques in safety critical systems
EP3969974B1 (en) Ring-closures in fault trees and normalized representation
Takahashi et al. A Safety Analysis Method for Control Software in Coordination with FMEA and FTA. Information 2021, 12, 79
Nagy et al. Simulation-based Safety Assessment of High-level Reliability Models
Gautham Multilevel Runtime Verification for Safety and Security Critical Cyber Physical Systems from a Model Based Engineering Perspective
Rashid et al. Formal Verification and Validation of IoT-based Railway Gate Controlling System at Level Crossing
Tierno Automatic Design Space Exploration of Fault-tolerant Embedded Systems Architectures
Singh et al. Unified Functional Safety Framework for advance multi-domain SoCs combining ISO 26262 & IEC61508
Brockmeyer Using modechart modules for testing formal specifications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination