DE102005013286B3 - Verfahren zur Erfassung von Fehlerursachen und deren transiente Auswirkungen auf ein technisches System - Google Patents

Verfahren zur Erfassung von Fehlerursachen und deren transiente Auswirkungen auf ein technisches System Download PDF

Info

Publication number
DE102005013286B3
DE102005013286B3 DE200510013286 DE102005013286A DE102005013286B3 DE 102005013286 B3 DE102005013286 B3 DE 102005013286B3 DE 200510013286 DE200510013286 DE 200510013286 DE 102005013286 A DE102005013286 A DE 102005013286A DE 102005013286 B3 DE102005013286 B3 DE 102005013286B3
Authority
DE
Germany
Prior art keywords
combination
component
components
topology
detecting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE200510013286
Other languages
English (en)
Inventor
Petra Dr. Ehlers
Wolfram Dr. Klein
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200510013286 priority Critical patent/DE102005013286B3/de
Priority to PCT/EP2006/050375 priority patent/WO2006100135A1/de
Application granted granted Critical
Publication of DE102005013286B3 publication Critical patent/DE102005013286B3/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/261Functional testing by simulating additional hardware, e.g. fault simulation

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zur Erfassung von Fehlerursachen und deren simulative Auswirkungen auf das Erreichen eines Betriebsparameterschwellenwertes als ein Topereignis T eines technischen Systems. DOLLAR A Das Verfahren umfasst die Schritte Erstellen eines Simulationsmodells des technischen Systems, Erfassen jeder möglichen Komponentenkombination, Erfassen jeder möglichen Fehlverhaltenkombination für jede Komponentenkombination, Reduktion aller möglichen Fehlverhaltenkombinationen mittels geeigneter Verfahren, mittels transienter Simulation erfolgendes Erfassen jeder das Topereignis T bewirkenden Fehlverhaltenkombination für jede Komponentenkombination und Erzeugen der zum Topereignis T zugehörigen Minimal Cuts.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zur Erfassung von Fehlerursachen und deren transiente Auswirkungen auf ein Topereignis eines technischen Systems.
  • Modernes Qualitätsmanagement verlangt das Erkennen und falls möglich die Reduktion von Risiken bereits in der Entwicklungsphase. Das Erkennen von Risiken gliedert sich herkömmlicher Weise in zwei Teilaspekte. Zum einen in das Erkennen möglicher Fehler bzw. Fehlerursachen und zum anderen in die Bestimmung der statischen Auswirkungen einer Fehlerursache auf ein technisches System. Für diese beiden Teilaspekte existieren herkömmliche Standardlösungsverfahren. Das Erkennen der Fehlerursachen erfolgt im Rahmen einer Schwachstellenanalyse, deren gewonnene Daten zur Erstellung eines Fehlerbaums genutzt werden können. Die, insbesondere anhand eines Fehlerbaums, gewonnenen Informationen können genutzt werden, um zum Beispiel Wartungspläne mit dem Ziel der Zuverlässigkeitssteigerung aufzustellen. Die gewonnenen Informationen werden herkömmlicher Weise lediglich manuell in einen Fehlerbaum eingespeist. Die Risikoerkennung beruhend auf dem Erkennen bzw. Modellieren von Fehlern bzw. Fehlerursachen in Verbindung mit der simulativen Überprüfung von Auswirkungen dieser Fehler bzw. Fehlerursachen auf ein technisches System, insbesondere auf ein Topereignis des technischen Systems, wurde bisher lediglich für einige wenige ausgesuchte Fälle von Hand (manuell) und lediglich für den statischen Fall durchgeführt.
  • Die US 6,223,143 B1 offenbart ein System zur quantitativen Risikobewertung. Dieses System erzeugt ein Risikomodell eines Systems, für das das Versagensrisiko bewertet wird. Das System analysiert danach das Risiko des Systems entsprechend dem Risikomodell. Das Risikobewertungssystem führt eine Sensiti vitätsanalyse des Risikomodells mittels Veränderung von fundamentalen Bestandteilen und Quantifikationen, die in das Risikomodell eingebaut sind. Danach erfolgt ein erneutes Analysieren des Systemrisikos unter Verwendung der Abänderungen. Im Einzelnen wird das Risikomodell erzeugt mittels Aufbauen einer Hierarchie, Erzeugen einer Ausführungszeitlinie, Quantifizierung von Versagens-Betriebsarten und Erzeugen, Ausgeben von Ereignisabfolgen-Diagrammen.
  • Die WO 00/73903 A2 offenbart ein Verfahren und eine Anordnung zur Ermittlung eines Fehlerbaums eines technischen Systems, ein Computerprogramm-Erzeugnis und computerlesbares Speichermedium. Dabei werden die Fehler mit einer Fehlerbeschreibung beschrieben, die Daten umfasst, die mittels einer Ausfalleffekt-Analyse bestimmt worden sind. Die Fehlerbeschreibung wird mit Informationen hinsichtlich der Abhängigkeit möglicher Fehler und deren Auftrittshäufigkeit erweitert. Aus der erweiterten Fehlerbeschreibung wird für ein vorgegebenes Fehlereignis der Fehlerbaum und die Auftrittshäufigkeit des Fehlerereignisses ermittelt.
  • Die US 6,535,227 B1 offenbart ein System und ein Verfahren zur Bewertung des Sicherheitszustands eines Netzwerkes unter Verwendung einer grafischen Benutzeroberfläche. Eine grafische Benutzeroberfläche ist auf einem Computerbildschirm abgebildet und wird zur Bestimmung des Verletzlichkeitszustands eines Netzwerkes bestimmt. Ein Systementwurfsfenster zeigt Netzwerkpunkte einer Netzwerkkarte an, die repräsentativ für verschiedene Netzwerkelemente, die innerhalb des Netzwerkes enthalten sind, sind.
  • Die US 6, 556, 954 B1 offenbart ein Verfahren und eine Vorrichtung zur Bestimmung eines Fehlers in einem technischen System. Das technische System wird mittels eines impliziten stochastischen differentiellen Gleichungssystems beschrieben. Eine angenäherte Lösung des Systems wird derart bestimmt, dass ein diskreter Annäherungsprozess realisiert wird.
  • Herkömmliche Verfahren sind damit kompliziert, zeitaufwändig, fehleranfällig und erfassen lediglich statische Auswirkungen von Fehlern bzw. Fehlerursachen.
    •
  • Es ist Aufgabe der vorliegenden Erfindung, für ein gegebenes Topereignis den zugehörigen Fehlerbaum aus einem vorhandenen Simulationsmodell einfach, insbesondere automatisch, zu generieren. Aufgabe der vorliegenden Erfindung ist es insbesondere, die Anzahl der möglichen Fehler bzw. Fehlverhaltenkombinationen zu reduzieren. Hierbei soll insbesondere das transiente Verhalten (Definition vgl. unten) eines technischen Systems beziehungsweise einer Anlage in Kombination mit dem strukturellen Aufbau der Anlage (Topologie) relativ zum Topereignis untersucht werden. Dieses ist speziell für große, komplexe technische Systeme oder Anlagen interessant, die nur noch schwer zu überblicken sind, bzw. für die die Erstellung eines entsprechenden Fehlerbaums einen großen, insbesondere manuellen Aufwand bedeutet. Technische Systeme können beispielsweise Kraftwerke, Transportmittel oder Kommunikationsmittel usw. sein.
  • Die Aufgabe wird durch ein Verfahren gemäß dem Hauptanspruch und durch eine Vorrichtung gemäß dem Nebenanspruch gelöst. Weitere vorteilhafte Ausgestaltungen finden sich in den Unteransprüchen.
  • „Transient" bedeutet in diesem Zusammenhang „instationär" oder „dynamisch" im Gegensatz zu „statisch" und bezieht sich dabei ausschließlich auf die zugrunde liegende Simulation. Im Fehlerbaum werden zeitliche Gesichtpunkte nicht betrachtet, d.h. ein transienter Ausfall wird unabhängig von seinem zeitlichen Auftreten betrachtet. Ein „Topereignis" beziehungsweise das zu untersuchende „Topereignis" des technischen Systems muss in einer formalen, funktionalen Darstellung vorliegen. Beispiele für derartige Darstellungen sind "Füllstand Tank 4711 < 1m", das heißt das Topereignis impliziert einen zu niederen Füllstand in einem Tank, oder "Druck_Rohr_EingangPumpe > 30bar", das heißt das Topereignis impliziert einen zu hohen Druck in diesem Rohr. Das Topereignis wird in einer Diskussion erarbeitet, priorisiert und formalisiert. Die Integration dieses Topereignisses in die Simu lation erfolgt insbesondere durch einen Simulationsexperten. „Fehlerursachen" können als Fehler oder Fehlverhalten von Komponenten des technischen Systems angesehen werden. Mehrere wirksame Fehler können in Form von „Fehlverhaltenkombinationen" erfasst werden. Das Erfassen von Kombinationen erfolgt insbesondere mittels Auflistungen von Fehlerursachen und Fehlerauswirkungen. Ein Fehlverhalten beziehungsweise eine Fehlverhaltenkombination „erfüllt" ein Topereignis, wenn die Fehlerursache zum Auftreten des Topereignisses führt.
  • Es werden beide im Einleitungsteil beschriebenen Teilaspekte des Erkennens möglicher Fehlerursachen und des Bestimmens der dynamischen Auswirkungen einer Fehlerursache zu einem Verfahren kombiniert und die durch ein erstelltes Simulationsmodell vorhandenen Informationen zur Topologie sowie die durch eine transiente Simulation erfassten Auswirkungen und Wechselwirkungen möglicher Fehlerursachen genutzt. Die dynamischen Auswirkungen einzelner Fehlerursachen werden mittels transienter Simulation bestimmt. Bei der transienten Simulation einer Anlage oder eines technischen Systems liegt dieser simulierte Prozess in einer strukturierten und modularen Form, insbesondere als Simulationsmodell, vor. Neben der transienten Simulation kann diese Form in der Regel sehr detaillierte Informationen zur Definition bzw. Injektion von möglichen Fehlern bereitstellen. Durch die transiente Simulation kann die Ausbreitung von Fehlerszenarien im Gesamtsystem beobachtet werden. Durch systematische, insbesondere automatische, Injektionen möglicher Fehlerzustände und deren Kombination werden Fehler ausgelöst, und deren Wechselwirkungen auf das Topereignis erkannt und die Fehlzustände des Systems in Bezug auf das Topereignis in Form von Minimal Cuts bzw. eines Fehlerbaums ausgegeben. Mit diesen, insbesondere automatisch, generierten Minimal Cuts können Fehlerbäume generiert und Sicherheitsnachweise geführt und zuverlässigkeitsbasierte Auswertungen zum Beispiel für Wartungsplanaufstellungen vorgenommen werden. Das Verfahren zielt dabei auf die Analyse von dynamisch vorliegender Information, berücksichtigt also das dyna mische Verhalten eines Systems im Gegensatz zum Beispiel zur Fehlerbaumgenerierung aus statisch vorliegenden Schaltplänen. Die Generierung basiert auf simulativ erzeugten Daten und ist somit unabhängig von spezifisch ausgeprägten, möglicherweise inkonsistenten realen Daten zum Beispiel für Diagnosewerkzeuge. Vorteile des Verfahrens sind das Auswerten des dynamischen Verhaltens der simulierten Anlage bzw. Systems sowie die Möglichkeit des automatischen Generierens des Fehlerbaums. Es erfolgt eine Nutzung von Redundanzen in der Topologie als funktionale Redundanzen des technischen Systems.
  • Zur Bedeutung des Begriffs „Minimal Cuts" wird auf nachstehende Definition aus der Graphentheorie hingewiesen. Es sei S ein Cut (Ausschnitt, Schnitt) eines einfachen verbundenen Graphen G. Falls S keine richtige Untermenge aufweist, die ein weiterer Ausschnitt ist, so heißt S ein minimaler Ausschnitt von G.
  • Gemäß einer vorteilhaften Ausgestaltung erfolgt das Erstellen des Simulationsmodells mit den Schritten Erstellen einer Topologie bestehend aus einzelnen Komponenten und den Beziehungen zwischen diesen Komponenten, Festlegen des funktionalen Verhaltens jeder Komponente in Form eines parametrisierbaren Simulationsmodells, Festlegen von relevanten Fehlverhalten pro Komponente im Simulationsmodell, Festlegen und Integrieren des Topereignisses in die Topologie.
  • Gemäß einer vorteilhaften Ausgestaltung erfolgt ein Aktivieren von Fehlverhalten jeweils einzeln von außen. Auf diese Weise können systematische und insbesondere automatische Injektionen möglicher Fehlerzustände und deren Kombination ausgeführt werden. Fehlerursachen und deren dynamische Wechselwirkungen und Auswirkungen können auf einfache Weise erkannt werden.
  • Gemäß einer vorteilhaften Ausgestaltung erfolgt ein Erfassen jeder möglichen Komponentenkombination mittels Erfassen jedes Fehlverhaltens der einzelnen Komponente, jeder Zweierkombination, jeder Dreierkombination und jeder weiteren Fehlverhaltenskombination. Das Erfassen kann jeweils durch ein Auflisten der Kombinationen ausgeführt werden. Diese Arten des Erfassens gelten ebenso für das Erfassen der Fehlverhaltenkombinationen.
  • Gemäß einer besonders vorteilhaften Ausgestaltung wird nach dem Erfassen(Auflisten) jeder Komponentenkombinationen und vor dem Erfassen (Auflisten) jeder Fehlverhaltenkombinationen jeder Komponentenkombination die Anzahl der Komponentenkombinationen reduziert. Die Reduzierung soll sich dabei auf für das Topereignis unwesentliche Kombinationen erstrecken. Damit wird ein automatisches Ausführen des Verfahrens wirksam vereinfacht.
  • Gemäß einer vorteilhaften Ausgestaltung erfolgt das Reduzieren mittels Auswerten von Direktflusswerten, von Topologiezweignummern und/oder von parallelen Topologiezweigen.
  • Gemäß einer vorteilhaften Ausgestaltung erfolgt ein Erfassen von Kombinationen mittels Listen. Dies betrifft Komponentenkombinationen und Fehlverhaltenkombinationen. Listen sind einfach zu erzeugen und sind übersichtlich. Andere Darstellungsformen sind aber ebenso möglich.
  • Gemäß einer vorteilhaften Ausgestaltung erfolgt ein Erfassen der das Topereignis erfüllenden, aktuellen Fehlverhaltenkombination der aktuellen Komponentenkombination, mittels einer Ergebnisliste. Anhand logischen Auswertens dieser Ergebnisliste erfolgt ein Erzeugen der Minimal Cuts, und daraus kann ein Fehlerbaum abgeleitet werden.
  • Gemäß einer vorteilhaften Ausgestaltung werden die Verfahren automatisch ausgeführt und es erfolgt ein automatisches Erzeugen der Minimal Cuts. Dies wird insbesondere durch die wirksame Reduzierung der Anzahl der Komponentenkombinationen vereinfacht. Mit einem automatisch generierten Fehlerbaum können Sicherheitsnachweise geführt und zuverlässigkeitsbasierte Auswertungen zum Beispiel für Wartungsplanaufstellungen vorgenommen werden.
  • Gemäß einer vorteilhaften Ausgestaltung führt eine Vorrichtung ein Verfahren nach einem oder mehreren der vorangehenden Ausführungsarten aus. Die Vorrichtung weist insbesondere eine Recheneinheit, einen Speicher, eine Eingabe- und eine Ausgabeeinheit auf.
    •
  • Die vorliegende Erfindung wird anhand von Ausführungsbeispielen in Verbindung mit den Figuren näher beschrieben. Es zeigen:
  • 1 ein Blockdiagramm eines Ausführungsbeispiels eines erfindungsgemäßen Verfahrens;
  • 2 ein Ausführungsbeispiel eines Simulationsmodells mit einem Topereignis;
  • 3 ein Ausführungsbeispiel zur Berechnung der Direktflusswerte von Komponenten;
  • 4 ein Ausführungsbeispiel zur Berechnung der Topologiezweignummern von Komponenten;
  • 5a ein Ausführungsbeispiel für parallele Topologiezweige;
  • 5b ein Ausführungsbeispiel für hierarchische Topologiezweige;
  • 5c ein weiteres Ausführungsbeispiel für hierarchische Topologiezweige.
  • 1 zeigt ein Blockdiagramm eines Ausführungsbeispiels eines erfindungsgemäßen Verfahrens. Das Verfahren gliedert sich dabei in drei Hauptschritte:
    • a) Der Ausgangspunkt für das Verfahren ist eine komponentenorientierte transiente Simulation. Das zu untersuchende reale System ist als eine Simulation bestehend aus einer Topologie mit einzelnen Komponenten und den Beziehungen zwischen den Komponenten zu erstellen. 2 zeigt dazu ein Ausführungsbeispiel eines Simulationsmodells mit einem Topereignis T. Es ist eine vereinfachte Topologie eines Simulationsmodells für ein Postverteilzentrum dargestellt. Das Topereignis T lautet: „10% der Briefe nach der vorangehenden Komponente sind älter als 0,5 Tage". Das funktionale Verhalten der einzelnen Komponenten ist hierfür in Form eines parametrierbaren Simulationsmodells zu definieren und zu implementieren. Zusätzlich sind für alle Komponenten relevante simulativ modellierte Fehlverhalten zu realisieren, die einzeln insbesondere von außen aktiviert werden können. Die Arten des Verhaltens ergeben sich zum Beispiel aus einer Schwachstellenanalyse. Für dieses so modellierte System könnte man nun eine bzw. mehrere simulative Auswertungen starten, zum Beispiel mit unterschiedlichen Parametern bzw. unterschiedlich aktiviertem Fehlverhalten einzelner Komponenten. Redundanzen in der Topologie sollen dabei funktionalen Redundanzen des realen Systems entsprechen. Mit Bezug auf den zu generierenden Fehlerbaum ist das interessierende bzw. zu untersuchende Topereignis T in Form einer formalen, funktionalen Darstellung zu definieren und an der entsprechenden Position in der Topologie zu integrieren. Es wird dazu auf die 2 bzw. auf die vorstehende Bemerkung zu „Topereignis" in der Beschreibungseinleitung verwiesen.
    • b) Um die Auswirkungen der einzelnen Fehlverhalten bzw. Fehlerverhaltenskombinationen der Komponenten auf das Topereignis T untersuchen zu können, wird in einem zweiten Schritt eine Liste L aller möglichen Kombinationen von Komponenten aufgestellt und diese anschließend nach angegebenen Verfahren reduziert:
    • 1) Erstelle eine Liste L aller möglichen Kombinationen der in der Topologie vorkommenden Komponenten, eine Liste also bestehend zunächst aus den Komponenten selbst und ihrer Fehlverhalten ("K1", "K2", ...), aus allen Zweierkombinationen der Komponenten und ihrer Fehlverhalten ("K1 und K2", "K3 und K7", ...) aus allen Dreierkombinationen und ihrer Fehlverhalten ("K1 und K2 und K3"; "K3 und K5 und K7", ...).
    • 2) Reduziere die Anzahl der Kombinationen in dieser Liste L durch die folgenden 3 Verfahren:
    • i. Durch die Auswertung der Direkteinflusswerte (siehe Bemerkung 1);
    • ii. Durch die Auswertung der Topologiezweignummer (siehe Bemerkung 2);
    • iii. Durch die Auswertung von parallelen Topologiezweigen (siehe Bemerkung 3);
    • 3) Die Liste L mit der reduzierten Anzahl von Komponentenkombinationen sei Startpunkt für den nächsten Schritt.
    • c) Für diejenigen Kombinationen von Komponenten, die nun noch in der reduzierten Liste L stehen, werden jeweils einer bzw. mehrere Simulationsläufe gestartet: Hierbei werden für die aktuelle Kombination von Komponenten jeweils alle möglichen Kombinationen der pro Komponente realisierten Fehlverhalten aktiviert, hierfür jeweils ein Simulationslauf gestartet und die Auswirkung auf das Topereignis T überprüft. Ist das Topereignis T erfüllt für die aktuelle Kombination aus Komponenten und Fehlverhalten, so leistet diese Kombination einen Beitrag zu dem zu generierenden Fehlerbaum, anderenfalls nicht. Wenn das Topereignis T erfüllt ist, so wird die aktuelle Kombination aus Komponenten und aktivierten Fehler in eine Ergebnisliste eingetragen. Es folgt ein Generieren einer graphischen Fehlerbaumdarstellung aus der Ergebnisliste mittels einer logischen Auswertung.
  • 1 zeigt ein schematisches Ablaufdiagramm zur automatischen Fehlerbaumgenerierung. 1 zeigt den Schritt S1 des Erstellens einer Simulation mittels Erzeugen einer Topologie, Bestimmen von Komponenten, Erfassen der Beziehungen zwischen Komponenten, Fehlverhalten pro Komponente und das Einfügen eines Topereignis T. Schritt S1 folgt der Schritt S2, bei dem eine Liste aller Kombinationen von Komponenten erzeugt wird, und zwar mittels Erstellen einer Startliste und Reduzieren dieser Liste durch Berechnen von Direkteinflusswerten und Topologiezweignummern sowie durch Auswerten paralleler Topologiezweige. Mit einem nachfolgenden Schritt S3 wird die Simulation gestartet, wobei die Liste reduzierter Komponenten betrachtet wird. Es erfolgt ein Betrachten aller möglichen Kombinationen der Fehlverhalten der aktuellen Komponentenkombination, wobei jeweils hierfür die Simulation gestartet und geprüft wird, ob das Topereignis T erfüllt ist.
  • 2 zeigt ein Ausführungsbeispiel eines Simulationsmodells mit einem Topereignis T. 2 zeigt eine schematische Darstellung einer möglichen Topologie eines simulierten Postverteilzentrums mit einer Möglichkeit eines eingefügten Topereignisses T. Dabei ist eine erste Komponente K1 ein Generator von Poststücken, eine zweite Komponenten K2 dient der Vorsortierung von Poststücken, eine Komponente K3 ist ein Transportband für Briefe, eine Komponente K4 ist ein Transportband für Pakete, eine Komponenten K5 ist eine Sortierstation für Briefe, eine Komponenten K6 ist eine Sortierstation für Pakete, eine Komponente K7 ist ein Transportband für Briefe, eine Komponenten K8 ist ein Transportband für Pakete, eine Komponente K9 ist eine Verpackstation für Briefe und eine Komponente K10 ist eine Verpackstation für Pakete. Ein Topereignis T ergibt sich aus der Fragestellung, ob 10% der Briefe nach Komponente 7 später als 0,5 Tage sind.
  • 3 zeigt ein Ausführungsbeispiel zur Berechnung der Direkteinflusswerte (DEW) von Komponenten. Anhand von sieben Komponenten K1 bis K7 werden in Verbindung mit einem Topereignis T Direkteinflusswerte ermittelt.
  • Bemerkung 1: Berechnung des Direkteinflusswertes
  • Um den Einfluss von Einzelfehlern bzw. Fehlerkombinationen auf das Topereignis T zu überprüfen, wird das folgende Verfahren für eine Strukturuntersuchung vorgeschlagen:
    • 1. Ausgangspunkt ist das Topereignis T: Dem Topereignis T wird der numerische Wert "1" ("DirektEinflussWert") zugeordnet. Dieses schickt seinen DirektEinflussWert zunächst entgegen der Flussrichtung an alle direkten Nachbarkomponenten.
    • 2. Rekursion: Entgegen der Flussrichtung werden alle benachbarten Komponenten sukzessive durchgegangen, folgende Berechnungen werden pro Komponente durchgeführt:
    • a) Die für eine Komponente pro Ausgang empfangenen DirektEinflussWerte werden aufaddiert und ergeben den neuen DirektEinflussWert der Komponente, der entsprechend der Eingänge modifiziert weitergeschickt wird. Es wird auf die nachstehenden Ausführungen verwiesen.
    • b) Der entsprechend der Ausgänge berechnete DirektEinflussWert wird durch die Anzahl der Eingänge der Komponente dividiert, dieser neue DirektEinflussWert wird über alle Eingänge an die entgegen der Flussrichtung direkt benachbarten Komponenten gesendet.
    • c) Gehe zu (2), bis das Ende aller Topologiezweige erreicht ist.
    • 3. In einem zweiten Schritt müssen ausgehend vom Topereignis T alle in Flussrichtung liegenden Komponenten entsprechend dem eben angegebenen Schema analysiert werden. "Eingang" ist dabei mit "Ausgang" zu vertauschen.
    • 4. Ergebnis: Es kann eine Untersuchung auf Ausschluss von Komponentenkombinationen aus der Liste L bezüglich dieses DirektEinflussWertes erfolgen:
    • a) Listeneinträge bestehend aus nur einer Komponente mit einem DirektEinflussWert < 1 können aus der Liste L eliminiert werden: Für sie ist keine Einzelfalluntersuchung notwendig.
  • Hierdurch können maximal n Elemente aus der Liste L entfernt werden.
    • b) Listeneinträge bestehend aus nur einer Komponente mit einem DirektEinflussWert ≥ 1 müssen alleine in einer Einzelfalluntersuchung untersucht werden: diese haben eine direkte Verbindung zum Topereignis T.
  • Wenn das Fehlverhalten dieser Komponente auf das Topereignis T durchschlägt, können aus der Liste L aller Komponentenkombinationen diejenigen Elemente entfernt werden, in der die Nummer der eben untersuchten Komponente vorhanden ist. Dies kann zu einer deutlichen Reduktion der Anzahl der Elemente in der Liste L führen.
    • c) Listeneinträge bestehend aus einer Komponentenkombination, die in Summe einen DirektEinflussWert < 1 hat, können aus der Liste eliminiert werden: Für diese ist keine weitere Untersuchung notwendig.
  • Dies führt zu einer deutlichen Reduktion der Anzahl der Elemente aus der Liste L.
    • d) Listeneinträge bestehend aus einer Komponentenkombination, die in Summe einen DirektEinflussWert ≥ 1 hat, müssen mit den im Anschluss genannten Verfahren näher untersucht werden: Topologiezweignummer, hierarchische Topologiezweige.
  • Bemerkung 1a): Der DirektEinflussWert ist einer Komponente, nicht einem Topologiezweig zugeordnet.
  • Bemerkung 1b): Ist das Topereignis T für eine Teilanlage des Gesamtsystems definiert, kann es bei der Berechnung des DirektEinflussWerts bei einer T-Stück Komponente zu nicht definierten DirektEinflussWerten bzw. zu einem DirektEinflussWert > 1 kommen.
  • Bemerkung 1c): Der DirektEinflussWert ist unabhängig von der Anzahl der pro Komponente definierten Fehlertypen. Wenn die oben genannte Analyse ergeben hat, dass ein Simulationslauf notwendig ist, muss dieser für alle Fehlertypen und/oder Kombinationen von Fehlertypen durchgeführt werden.
  • Bemerkung 1d): In der Liste aller Komponentenkombinationen stehen jetzt nur noch
    • – Kombinationen von mehreren Komponenten (keine Einzelkomponenten mehr),
    • – die in Summe einen DirektEinflussWert ≥ 1 haben.
    • – Kombinationen von mehreren Komponenten (keine Einzelkomponenten mehr),
    • – die in Summe einen DirektEinflussWert ≥ 1 haben.
  • 4 zeigt ein Ausführungsbeispiel zur Berechnung der Topologiezweignummern von Komponenten. Mit Bezug auf 1 wird die Berechnung der Topologiezweignummern (TZN) in 4 dargestellt. Zum Beispiel haben Komponenten K1 bis K3 unterschiedliche Topologiezweignummern und die Summe ihrer Direkteinflusswerte (DEW) ist 1.
  • Bemerkung 2: Berechnung von Topologiezweignummern
  • Jeder Zweig innerhalb einer Topologie bestehend aus mehreren seriellen Komponenten wird als "Topologiezweig" definiert. Ein konkreter Topologiezweig wird am Rande entweder von Sammler/Verteilern bzw. von Komponenten mit mehreren Ein- bzw. Ausgängen begrenzt. Jedem Topologiezweig wird durch das folgende Vorgehen eine „Topologiezweignummer" zugewiesen:
    • 1. Ausgangspunkt ist das Topereignis T: hier erhält ein globaler Zähler „Topologiezweignummer" den numerischen Wert "1". Entsprechend den Eingängen des Topereignisses T, das heißt entgegen der Flussrichtung, wird jedem mit dem Eingang verbundenen Topologiezweig eine „Topologiezweignummer" gegeben. Der globale Wert „Topologiezweignummer" wird hierbei immer um den Wert "1" erhöht. Dieser Wert „Topologiezweignummer" ist gültig innerhalb des aktuellen seriellen Topologiezweiges bis zum nächsten Sammler/Verteiler oder bis zu der nächsten Komponente mit mehreren Ein- bzw. Ausgängen.
    • 2. Rekursion: Entgegen der Flussrichtung werden alle benachbarten Komponenten sukzessive durchgegangen.
    • a) Innerhalb eines Topologiezweiges wird dabei die bestehende Topologiezweignummer weitergegeben;
    • b) bei Sammler/Verteiler bzw. Komponenten mit mehreren Ein-/Ausgängen wird der globale Zähler der Topologiezweignummer für diesen Ein-/Ausgang um jeweils den Wert "1" erhöht und weitergegeben.
    • c) Gehe zu (2), bis das Ende aller Topologiezweige („kein Eingang") erreicht ist.
    • 3. In einem zweiten Schritt müssen ausgehend vom Topereignis T alle in Flussrichtung liegenden Komponenten entsprechend dem eben angegebenen Schema analysiert werden. "Eingang" ist dabei mit "Ausgang" zu vertauschen.
    • 4. Ergebnis: Eine Untersuchung auf weiteren Ausschluss von Komponentenkombinationen aus der Liste L bezüglich dieser Topologiezweignummer:
    • a) Listeneinträge bestehend aus einer Komponentenkombination, bei der alle Komponenten dieselbe Topologiezweignummer haben, also auf einem Topologiezweig liegen, können aus der Liste eliminiert werden: Für diese ist keine weitere Untersuchung notwendig.
  • Dies führt zu einer weiteren Reduktion der Anzahl der Elemente aus der Liste L.
  • Bemerkung 2a): Die Nummer eines Topologiezweiges ist einer Komponente, nicht einem Topologiezweig zugeordnet.
  • Bemerkung 2b): Innerhalb eines Topologiezweiges ändern sich die DirektEinflussWerte der Komponenten nicht.
  • Bemerkung 2c): Trotzdem müssen in einem Topologiezweig alle (seriellen) Komponenten bezüglich ihres Fehlverhaltens bzw. Auswirkungen auf das Topereignis T untersucht werden, auch müssen alle Kombinationen von Fehlerzuständen der Komponenten innerhalb eines Topologiezweiges untersucht werden. Es reicht nicht aus, von der Wirkung des Fehlverhaltens einer Komponente auf das Topereignis T auf die Wirkung der benachbarten Komponenten im selben Topologiezweig zu schließen. Auch kann der Teilausfall von zwei benachbarten Komponenten zum Totalausfall hinsichtlich des Topereignis T führen.
  • Bemerkung 3: Berechnung von Parallelen Topologiezweigen Nachstehend wird die Berechnung von Parallelen Topologiezweigen beschrieben.
  • Parallele Topologiezweige:
  • Komponenten liegen auf zueinander parallelen Topologiezweigen, wenn sie unterschiedliche Topologiezweignummern besitzen und, in Flussrichtung, der Ausgangspunkt ihrer Topologiezweige ein gemeinsamer Verteiler bzw. das Ende der Topologiezweige ein gemeinsamer Sammler bzw. eine Komponente mit mehreren Ein- und Ausgängen ist.
  • Beispiel: in 5a) liegen die Komponenten K1, K2 und K3 auf parallelen Topologiezweigen.
  • Hierarchisch gegliederte parallele Topologiezweige:
    Parallele Topologiezweige, von denen sich ein Zweig wiederum in parallele Topologiezweige aufsplittert, heißen zueinander hierarchisch parallel.
  • Beispiel: In der 5b)/5c) werden zwei unterschiedliche Szenarien für parallele hierarchische Topologiezweige (PTZ) mit den entsprechenden DirektEinflussWerten der Komponenten (DEW) gezeigt.
  • Die oben genannte Definition der parallelen Topologiezweige macht nur Sinn, wenn zueinander parallele Zweige in der Topologie echten Redundanzen im Materialfluss entsprechen.
  • Nachstehend wird ein Verfahren zur Berechnung der Werte von parallelen Topologiezweigen (PTZ) beschrieben:
    • 1. Ordne dem Topereignis T den PTZ-Wert "1" zu;
    • 2. Ordne sukzessive allen Komponenten entgegen der Flussrichtung die folgenden PTZ-Wert zu:
    • a) Besitzt die Komponente mehrere Eingänge, multipliziere den PTZ-Wert der aktuellen Komponente mit dem Faktor "10".
    • i. Ordne sukzessive allen Vorgänger-Komponenten dieser Komponente den jeweils pro Eingang um "1" erhöhten Wert 10·PTZ+1 zu;
    • ii. Beispiel (aus 5c)): Komponente K1 hat den Wert PTZ=11 und zwei Eingänge von Komponente K6 bzw. K7. Daraus folgt K6 und K7 enthalten dadurch die Werte PTZ=111 bzw. PTZ=112;
    • b) Besitzt die Komponente nur einen Eingang, so ordne dieser einzigen Vorgänger-Komponente denselben PTZ-Wert wie der aktuellen Komponente zu;
    • c) Besitzt die Komponente mehrere Ausgänge, so speichere zunächst alle empfangenen PTZ(i)-Werte der Nachfolge-Komponenten "i" in einer Liste:
    • i. Berechne für jenen PTZ(i)-Wert dieser Liste den neuen Wert PTZneu (i) =PTZalt (i) div 10 (Integerdivision) .
    • ii. Ordne der aktuellen Komponente den kleinsten dieser neuen PTZ-Werte zu: min(i)PTZneu(i);
    • iii. Beispiel (aus 5c)): Komponente K12 hat drei Ausgänge zu den Komponenten K8 (PTZK8=1111), K11 (PTZK11=1112) und K10(PTZK10)=112). Das Minimum der Werte (PTZ(i) div 10) ist 11, der hiermit K12 als neuem PTZ-Wert PTZK12=11 zugeordnet wird.
    • 3. In einem zweiten Schritt müssen ausgehend vom Topereignis T alle in Flussrichtung liegenden Komponenten entsprechend dem eben angegebenen Schema analysiert werden. "Eingang" ist dabei mit "Ausgang" zu vertauschen.
    • 4. Ergebnis: Eine Untersuchung auf weiteren Ausschluss von Komponentenkombinationen aus der Liste L bezüglich dieser parallelen bzw. hierarchischen Topologiezweige:
    • a) Listeneinträge bestehend aus einer Komponentenkombination, bei der alle Komponenten nur auf einem (hierarchischen) parallelen Topologiezweig liegen (siehe unten), können aus der Liste eliminiert werden. Für diese ist keine weitere Untersuchung notwendig.
    • b) Verfahren zur Überprüfung, ob alle Komponenten eines Listeneintrags auf einem (hierarchischen) parallelen Topologiezweigen liegen: Zi sei die Anzahl der Ziffern des parallelen Topologiezweigwertes PTWi von Komponente Ki:
    • 1. Ist der Wert Zi identisch für alle Komponenten Ki der Komponentenkombination des aktuellen Listeneintrages sowie ebenfalls (PTWi div 10) identisch für alle Komponenten, so kann dieser Listeneintrag eliminiert werden: Alle Komponenten Ki des aktuellen Listeneintrages liegen auf einem parallelen Topologiezweig.
    • 2. Sind die Werte Zi unterschiedlich, so
    • a) berechne des Minimum der Anzahl der Ziffern: Zmin = min(Zi) über alle Komponenten Ki des aktuellen Listeneintrags;
    • b) Betrachte jeweils nur die ersten Zmin Stellen aller Werte PTWi für alle Komponenten Ki des aktuellen Listeneintrags. Sind diese identisch für alle Komponenten, so kann dieser Listeneintrag eliminiert werden.
  • Insgesamt führt diese Untersuchung der parallelen Topologiezweigwerte zu einer weiteren Reduktion der Anzahl der Elemente aus der Liste L.

Claims (10)

  1. Verfahren zur Erfassung von Fehlerursachen und deren simulativen Auswirkungen auf das Erreichen eines Betriebsparameterschwellenwertes, als Eintreten eines Topereignisses (T), eines technischen Systems, mit den Schritten – Erstellen eines Simulationsmodells des technischen Systems; – Erfassen jeder möglichen Komponentenkombination; – Erfassen jeder möglichen Fehlverhaltenkombination für jede Komponentenkombination; – Erfassen jeder das Erreichen des Betriebsparameterschwellenwertes bewirkenden Fehlverhaltenkombination für jede Komponentenkombination, – Erzeugen mindestens eines Fehlerbaums, dadurch gekennzeichnet, dass das Erfassen jeder das Erreichen eines Betriebsparameterschwellenwertes bewirkenden Fehlverhaltenkombination für jede Komponentenkombination mittels transienter Simulation erfolgt.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Erstellen des Simulationsmodells die Schritte aufweist: – Erstellen einer Topologie bestehend aus einzelnen Komponenten und den Beziehungen zwischen diesen Komponenten; – Festlegen des funktionalen Verhaltens jeder Komponente in Form eines parametrisierbaren Simulationsmodells; – Festlegen von relevanten Fehlverhalten pro Komponente im Simulationsmodell; – Festlegen und Integrieren des Auftretens des Betriebsparameterschwellenwertes in die Topologie.
  3. Verfahren nach Anspruch 2, gekennzeichnet durch jeweils einzeln von außen erfolgendes Aktivieren von Fehlverhalten.
  4. Verfahren nach einem oder mehreren der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass Erfassen jeder möglichen Komponentenkombination mittels Erfassen jeder einzelnen Komponente, jeder Zweierkombination, jeder Dreierkombination und jeder weiteren Komponentenkombination erfolgt.
  5. Verfahren nach einem oder mehreren der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass nach dem Erfassen jeder Komponentenkombinationen und vor dem Erfassen jeder Fehlverhaltenkombinationen jeder Komponentenkombination die Anzahl der Komponentenkombinationen reduziert wird.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass das Reduzieren mittels Auswerten von Direkteinflusswerten und/oder von Topologiezweignummern und/oder von parallelen Topologiezweigen erfolgt.
  7. Verfahren nach einem oder mehreren der vorangehenden Ansprüche 1 bis 6, gekennzeichnet durch Erfassen von Kombinationen mittels Listen (L).
  8. Verfahren nach einem oder mehreren der vorangehenden Ansprüche 1 bis 7, gekennzeichnet durch – Erfassen der das Erreichen des Betriebsparameterschwellenwertes bewirkenden, aktuellen Fehlverhaltenkombination der aktuellen Komponentenkombination, mittels einer Ergebnisliste, und – anhand logischen Auswertens der Ergebnisliste erfolgendes Erzeugen des Fehlerbaumes.
  9. Verfahren nach einem oder mehreren der vorangehenden Ansprüche 1 bis 8, gekennzeichnet durch automatisches Erzeugen des Fehlerbaums.
  10. Vorrichtung zur Ausführung eines Verfahrens nach einem oder mehreren der vorangehenden Ansprüche 1 bis 9, gekennzeichnet durch eine Recheneinheit, einen Speicher, eine Eingabe- und eine Ausgabeeinheit.
DE200510013286 2005-03-22 2005-03-22 Verfahren zur Erfassung von Fehlerursachen und deren transiente Auswirkungen auf ein technisches System Expired - Fee Related DE102005013286B3 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE200510013286 DE102005013286B3 (de) 2005-03-22 2005-03-22 Verfahren zur Erfassung von Fehlerursachen und deren transiente Auswirkungen auf ein technisches System
PCT/EP2006/050375 WO2006100135A1 (de) 2005-03-22 2006-01-23 Verfahren zur erfassung von fehlerursachen und deren transiente auswirkungen auf ein technisches system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510013286 DE102005013286B3 (de) 2005-03-22 2005-03-22 Verfahren zur Erfassung von Fehlerursachen und deren transiente Auswirkungen auf ein technisches System

Publications (1)

Publication Number Publication Date
DE102005013286B3 true DE102005013286B3 (de) 2006-09-14

Family

ID=36498721

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510013286 Expired - Fee Related DE102005013286B3 (de) 2005-03-22 2005-03-22 Verfahren zur Erfassung von Fehlerursachen und deren transiente Auswirkungen auf ein technisches System

Country Status (2)

Country Link
DE (1) DE102005013286B3 (de)
WO (1) WO2006100135A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109165267A (zh) * 2018-09-13 2019-01-08 国网技术学院 一种电力通信传输故障排查作业实训系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000073903A2 (de) * 1999-06-02 2000-12-07 Siemens Aktiengesellschaft Verfahren und anordnung zur ermittlung eines fehlerbaums eines technischen systems, computerprogramm-erzeugnis und computerlesbares speichermedium
US6223143B1 (en) * 1998-08-31 2001-04-24 The United States Government As Represented By The Administrator Of The National Aeronautics And Space Administration Quantitative risk assessment system (QRAS)
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
US6556954B1 (en) * 1998-03-18 2003-04-29 Siemens Aktiengesellschaft Method and device for determining a fault in a technical system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5561762A (en) * 1995-06-06 1996-10-01 Union Switch & Signal Inc. Malicious fault list generation method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6556954B1 (en) * 1998-03-18 2003-04-29 Siemens Aktiengesellschaft Method and device for determining a fault in a technical system
US6223143B1 (en) * 1998-08-31 2001-04-24 The United States Government As Represented By The Administrator Of The National Aeronautics And Space Administration Quantitative risk assessment system (QRAS)
WO2000073903A2 (de) * 1999-06-02 2000-12-07 Siemens Aktiengesellschaft Verfahren und anordnung zur ermittlung eines fehlerbaums eines technischen systems, computerprogramm-erzeugnis und computerlesbares speichermedium
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface

Also Published As

Publication number Publication date
WO2006100135A1 (de) 2006-09-28

Similar Documents

Publication Publication Date Title
EP1307816A1 (de) System zur ermittlung von fehlerursachen
DE102005027378B3 (de) Dynamische Priorisierung von Prüfschritten in der Werkstattdiagnose
EP1751637A1 (de) Wissensbasiertes diagnosesystem für ein komplexes technisches system mit zwei getrennten wissensbasen zur verarbeitung technischer systemdaten und zur verarbeitung von kundenbeanstandungen
EP2069920A1 (de) Verfahren zur rechnergestützten bewertung von softwarequellcode
EP2186003A2 (de) Verfahren und vorrichtung zur ermittlung einer eintrittswahrscheinlichkeit
DE202020104075U1 (de) Software-Inspektionsplattform zur Echtzeitanzeige des Inspektionsfortschritts
DE102011086352A1 (de) Verfahren und Diagnosesystem zur Unterstützung der geführten Fehlersuche in technischen Systemen
DE112021003677T5 (de) Automatisierte unterstützte schaltkreisvalidierung
DE102005013286B3 (de) Verfahren zur Erfassung von Fehlerursachen und deren transiente Auswirkungen auf ein technisches System
EP3770766A1 (de) Verfahren zum testen eines systems
WO2005109196A1 (de) Verfahren zur bestimmung von verklemmungen in nebenläufigen prozessen
EP3961334B1 (de) Verfahren zur modellierung eines komponentenfehlerbaums für eine elektrische schaltung
EP3757698A1 (de) Verfahren und vorrichtung zur bewertung und auswahl von signal-vergleichsmetriken
DE102008004219A1 (de) Verfahren zum Behandeln mindestens eines Fehlers innerhalb eines Systems
DE102007026226A1 (de) Verfahren zur quantitativen Beurteilung von Änderungen in einem Software-System und deren Auswirkungen
EP3779619A1 (de) Emergente risiken eines technischen systems
Song et al. Methodisches Entwickeln von Anforderungen in der Produktentwicklung
DE102017213764A1 (de) Vorrichtung zur Zuverlässigkeitsanalyse eines mechatronischen Systems
Kim Global Sensitivity Analysis of Life Cycle Assessment
EP3173928A1 (de) Verfahren und vorrichtung zum überprüfen eines komponentenfehlerbaums
EP4092535A1 (de) Verfahren zum testen von steuergeräten
Schieferdecker et al. Advanced Software Engineering
DE102019209541A1 (de) Verfahren und Vorrichtung zum Erfüllen einer Entwicklungsaufgabe
DE102022202697A1 (de) Verfahren zum Bereitstellen einer Blockchain
DE102022117470A1 (de) Verfahren zum Charakterisieren von Testergebnissen

Legal Events

Date Code Title Description
8100 Publication of the examined application without publication of unexamined application
8364 No opposition during term of opposition
R084 Declaration of willingness to license
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20141001