DE102018203374A1 - Fehlerbaumanalyse für technische Systeme - Google Patents

Fehlerbaumanalyse für technische Systeme Download PDF

Info

Publication number
DE102018203374A1
DE102018203374A1 DE102018203374.9A DE102018203374A DE102018203374A1 DE 102018203374 A1 DE102018203374 A1 DE 102018203374A1 DE 102018203374 A DE102018203374 A DE 102018203374A DE 102018203374 A1 DE102018203374 A1 DE 102018203374A1
Authority
DE
Germany
Prior art keywords
tree
self
functional units
similar
probability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018203374.9A
Other languages
English (en)
Inventor
Peter Bakucz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102018203374.9A priority Critical patent/DE102018203374A1/de
Priority to US16/294,291 priority patent/US10942797B2/en
Priority to CN201910171687.8A priority patent/CN110245373A/zh
Publication of DE102018203374A1 publication Critical patent/DE102018203374A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • G05B23/0245Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
    • G05B23/0248Causal models, e.g. fault tree; digraphs; qualitative physics
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B17/00Systems involving the use of models or simulators of said systems
    • G05B17/02Systems involving the use of models or simulators of said systems electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2257Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using expert systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data

Abstract

Verfahren (100) zur Fehlerbaumanalyse eines technischen Systems (1), welches eine Vielzahl von Funktionseinheiten (11-15) umfasst, wobei das technische System (1) als baumartige logische Verknüpfung (2) von verursachenden Ereignissen (21-27) modelliert wird (120), die in einem unerwünschten Ereignis (28) kulminieren können, und wobei die verursachenden Ereignisse (21-27) Fehlfunktionen (11a-15a) einzelner Funktionseinheiten (11-15) umfassen, wobei eine baumartige logische Verknüpfung (2a) mit einer selbstähnlichen Struktur gewählt wird (110).
Zugehöriges Computerprogramm.
Umgebungserfassungssystem (1a) und/oder Steuersystem (1b) für ein zumindest teilweise automatisiert fahrendes Fahrzeug, umfassend eine Vielzahl von Funktionseinheiten (11-15) mit wechselseitigen Abhängigkeiten, die die Funktionseinheiten in einer baumartigen Struktur (2, 2a) verknüpfen dergestalt, dass ein unerwünschtes Ereignis (28) auftritt, wenn eine logische Verknüpfung verursachender Ereignisse (21-27) wahr ist, wobei die verursachenden Ereignisse (21-27) Fehlfunktionen (11a-15a) einzelner Funktionseinheiten (11-15) umfassen, wobei die baumartige Struktur (2a) selbstähnlich ist.

Description

  • Die vorliegende Erfindung betrifft die Fehlerbaumanalyse zur Beurteilung der Gesamt-Zuverlässigkeit von technischen Systemen, die aus einer Vielzahl von Funktionseinheiten zusammengesetzt sind.
  • Stand der Technik
  • Bei technischen Systemen, deren Fehlfunktion zu schwerwiegenden Sach- oder Personenschäden führen kann, ist es häufig notwendig, die Zuverlässigkeit vor der Aufnahme des Betriebes quantitativ zu beurteilen. Beispiele für derartige Systeme sind Umgebungserfassungssysteme oder Steuersysteme für zumindest teilweise automatisiert fahrende Fahrzeuge.
  • Ein standardisiertes Verfahren zur Beurteilung der Gesamt-Zuverlässigkeit eines Systems, das aus einer Vielzahl von Funktionseinheiten zusammengesetzt ist, ist die Fehlerbaumanalyse (Fault Tree Analysis, FTA). Für die Zwecke dieser Analyse wird das technische System als baumartige logische Verknüpfung von verursachenden Ereignissen modelliert, die in einem unerwünschten Ereignis („Systemversagen“) kulminieren können. „Baumartig“ bedeutet, dass beispielsweise das Systemversagen eintritt, wenn eine bestimmte logische Verknüpfung von Ereignissen wahr ist, wobei diese Ereignisse wiederum logische Verknüpfungen untergeordneter Ereignisse sein können. Die verursachenden Ereignisse umfassen Fehlfunktionen einzelner Funktionseinheiten.
  • Die besagte baumartige Modellierung von Wirkzusammenhängen wird beispielsweise in der DE 10 2008 040 461 A1 eingesetzt, um bei einer Funktionsstörung des Fahrzeugs die tatsächlich defekte Komponente zu diagnostizieren. Gemäß der DE 103 619 31 A1 wird eine solche Modellierung eingesetzt, um im Fahrbetrieb auftretende Fehler einzelner Funktionseinheiten mit den noch intakten Funktionseinheiten zumindest teilweise zu kompensieren.
  • Offenbarung der Erfindung
  • Im Rahmen der Erfindung wurde ein Verfahren zur Fehlerbaumanalyse eines technischen Systems entwickelt. Das technische System umfasst eine Vielzahl von Funktionseinheiten. Das technische System wird als baumartige logische Verknüpfung (Fehlerbaum) von verursachenden Ereignissen modelliert, die in einem unerwünschten Ereignis kulminieren können. Dabei umfasst der Begriff des „unerwünschten Ereignisses“ nicht nur ein Systemversagen, sondern ganz allgemein jede Nichterfüllung eines vorgegebenen Key Performance Indicators.
  • Die verursachenden Ereignisse umfassen Fehlfunktionen einzelner Funktionseinheiten. Dabei können die Funktionseinheiten beispielsweise Sensoren, Aktoren, Softwarekomponenten und/oder Algorithmen umfassen. Als Funktionseinheit kommt jedoch auch beispielsweise ein Bediener in Betracht, der durch eine Fehlbedienung eine Fehlfunktion einer technischen Funktionseinheit verursacht. Die verursachenden Ereignisse können aber auch beispielsweise das Vorliegen bestimmter Betriebsbedingungen umfassen.
  • In der baumartigen logischen Verknüpfung kann ein verursachendes Ereignis insbesondere eine beliebige logische Verknüpfung untergeordneter Ereignisse sein. Sind beispielsweise in einem elektronischen Stabilitätsprogramm (ESP) zur Erfassung eines Messwerts fünf redundante Sensoren vorhanden, so kann das Ereignis „Messwert nicht oder fehlerhaft erfasst“ dann eintreten, wenn an mindestens drei der Sensoren das Ereignis „Sensor fehlerhaft“ auftritt. Wenn zum Ereignis „Messwert nicht oder fehlerhaft erfasst“ noch weitere Störungen hinzutreten, kann das Ereignis „ESP außer Funktion“ auftreten. Dieses Ereignis kann wiederum in Verbindung mit dem Ereignis „Querbeschleunigung oberhalb eines Schwellwerts“ zum letztendlichen unerwünschten Ereignis „Fahrzeug kippt um“ führen.
  • Die logische Verknüpfung der verursachenden Ereignisse kann mit beliebigen logischen Operatoren erfolgen, also beispielsweise AND, OR, XOR, NOR, NAND und NOT.
  • Die Ereignisse, insbesondere die möglichen Fehlfunktionen, können in der baumartigen logischen Verknüpfung insbesondere mit ihren jeweiligen Eintrittswahrscheinlichkeiten hinterlegt sein.
  • Es wird eine baumartige logische Verknüpfung mit einer selbstähnlichen Struktur gewählt.
  • „Selbstähnlich“ bedeutet in diesem Zusammenhang, dass die Struktur ein fraktaler Graph ist, d.h., dass sich ein und dieselbe Grundstruktur auf mehreren Größenskalen ähnlich wiederholt. Ein fraktaler Graph lässt sich beispielsweise generieren, indem bei der Fortsetzung von einer bisherigen Ordnung n-1 zur nächsten Ordnung n in dem Graphen der bisherigen Ordnung n jeder Knoten durch die Struktur der Ordnung 1 ersetzt wird. Hauptunterschied zu einem Fraktal im engeren Sinne ist, dass die Wiederholung nicht ins Unendliche fortgesetzt ist, sondern nur bis zu einer endlichen Ordnung n. Dies ist dem Umstand geschuldet, dass es in dem technischen System nur eine endliche Anzahl Funktionseinheiten gibt.
  • Es wurde erkannt, dass die Wahl einer selbstähnlichen Struktur für die baumartige logische Verknüpfung die Ermittlung der Wahrscheinlichkeit eines unerwünschten Ereignisses drastisch vereinfacht wird.
  • Die baumartige logische Verknüpfung ist beispielsweise in Anwendungen für das zumindest teilweise automatisierte Fahren ein gerichteter Graph, der extrem viele verursachende Ereignisse als Knoten enthält. Wenn die baumartige logische Verknüpfung nicht unmittelbar als Graph gegeben ist, sondern als Baum, so gibt es einen hierzu korrespondierenden Graphen. Dieser lässt sich beispielsweise gemäß (M. F. Chamow, „Directed graph techniques for the analysis of fault trees“, IEEE Transaction on Reliability Vol R-27, No.1, April 1978) oder (H. P. Alesso et al., „Beyond Fault Tress to Fault Graphs“, Lawrence Livermore National Laboratory Report, 1984) ermitteln.
  • In der baumartigen logischen Verknüpfung hängt die Wahrscheinlichkeit eines unerwünschten Ereignisses von den Wahrscheinlichkeiten aller verursachenden Ereignisse ab, insbesondere von jeder einzelnen Wahrscheinlichkeit, mit der eine Funktionseinheit in dem System eine Fehlfunktion aufweist. Zur Auswertung werden also neben vergleichsweise viel Rechenzeit auch sehr viele Daten benötigt; die genannten Einzel-Wahrscheinlichkeiten können sich durchaus auf mehr als 100 MB summieren.
  • Hinzu kommt, dass die Auswertung meistens nicht nur einmal durchgeführt, sondern vielfach wiederholt wird. In der konkreten Anwendung umfasst die Vorgabe häufig eine höchstzulässige Wahrscheinlichkeit eines unerwünschten Ereignisses. Wenn die Auswertung für das konkrete System ergibt, dass die Anforderung nicht erfüllt ist, dann ist das System entsprechend zu modifizieren. Beispielsweise kann ein preisgünstiges Bauteil mit hoher Wahrscheinlichkeit einer Fehlfunktion gegen ein höherwertiges, zuverlässigeres Bauteil getauscht werden. Ebenso kann beispielsweise ein Prozess so modifiziert werden, dass er auf eine geringere Anzahl von Funktionseinheiten zurückgreift, so dass weniger Einzelfehler auf das Gesamtergebnis des Prozesses durchschlagen können. Die Auswirkungen dieser Maßnahmen auf die letztendliche Wahrscheinlichkeit des unerwünschten Ereignisses sind jedoch zunächst undurchsichtig. Um zu prüfen, ob die Wahrscheinlichkeit des unerwünschten Ereignisses nunmehr der Anforderung entspricht, muss die komplette Auswertung erneut ablaufen.
  • Hat die baumartige logische Verknüpfung aller Einzel-Wahrscheinlichkeiten zur Gesamt-Wahrscheinlichkeit des unerwünschten Ereignisses hingegen eine selbstähnliche Struktur, so kann aus dem Verhalten der selbstähnlich wiederholten Einheit auf das Verhalten des Systems als Ganzes zurückgeschlossen werden, so wie die komplette Struktur eines Kristalls bekannt ist, wenn dessen Elementarzelle bekannt ist. Statistische Aussagen über die besagte Gesamt-Wahrscheinlichkeit lassen sich somit deutlich schneller und mit deutlich weniger Daten gewinnen. Dementsprechend ist bei jeder Modifikation des Systems viel schneller ersichtlich, ob diese zum gewünschten Erfolg in Bezug auf die Gesamt-Wahrscheinlichkeit führt.
  • In selbstähnlichen Strukturen sind eine Größe s einer Struktureinheit und die Anzahl N der zur vollständigen Überdeckung eines vorgegebenen Raumgebiets erforderlichen Kopien dieser Struktureinheit typischerweise über ein Potenzgesetz, wie etwa N=sd, miteinander verknüpft, wobei d die Hausdorff-Dimension der Struktur genannt wird und weder 1 noch 2 beträgt.
  • Existierende baumartige logische Verknüpfungen (Fehlerbäume) für technische Systeme sind typischerweise nicht selbstähnlich. Um in den Genuss der für eine selbstähnliche Struktur wesentlich vereinfachten Auswertung zu kommen, zugleich jedoch das bisher erworbene Wissen über die Verknüpfung weiter nutzen zu können, wird vorteilhaft eine nicht selbstähnliche baumartige logische Verknüpfung in eine selbstähnliche umgewandelt.
  • Die selbstähnliche baumartige logische Verknüpfung kann vorteilhaft beispielsweise aus einem vorgegebenen Katalog, und/oder aus einem parametrisierten Ansatz, dahingehend ausgewählt werden, dass sie eine größtmögliche Ähnlichkeit zu der vorgegebenen, nicht selbstähnlichen baumartigen logischen Verknüpfung aufweist. In den Katalog, bzw. in den parametrisierten Ansatz, lassen sich dann weitere Randbedingungen für die selbstähnliche baumartige logische Verknüpfung einbringen. Die Ähnlichkeit kann beispielsweise mit einem Abstandsmaß gemessen werden, das auf dem Raum der baumartigen logischen Verknüpfungen erklärt ist.
  • Wenngleich es vorteilhaft ist, eine bestehende nicht selbstähnliche baumartige logische Verknüpfung in eine selbstähnliche umzuwandeln, so ist dies nicht zwingend erforderlich. Wird beispielsweise das technische System erstmals mit der Methode der Fehlerbaumanalyse untersucht, so kann etwa eine „leere“ selbstähnliche baumartige Struktur erzeugt werden, und ihre Knoten können dann den verursachenden Ereignissen zugeordnet werden. Es ist dann lediglich sicherzustellen, dass an jeder Stelle genügend Knoten zur Verfügung stehen, um die Wirkzusammenhänge vollständig abbilden zu können, d.h., jedes verursachende Ereignis muss seinen Platz haben.
  • In einer weiteren besonders vorteilhaften Ausgestaltung werden die Zustände aller Funktionseinheiten zu einem Zustandsvektor x zusammengefasst, dessen zeitliche Änderung durch Anwendung der zu der selbstähnlichen baumartigen Verknüpfung gehörenden Laplace-Matrix L sowie durch einen additiven Rauschterm w gegeben ist.
  • Die Laplace-Matrix L eines Graphen ist definiert als L:=D-A. Darin ist D die Gradmatrix, d.h., eine Diagonalmatrix, deren Einträge die Grade der einzelnen Knoten sind. A ist die Adjazenzmatrix, die angibt, welche Knoten des Graphen durch eine Kante verbunden sind.
  • Für den Zustandsvektor x ergibt sich dann die Differentialgleichung d x d t = L x + w .
    Figure DE102018203374A1_0001
  • Hierin ist w ein Vektor, der die gleiche Länge wie x hat und dessen Komponenten als weißes Rauschen um Null herum schwanken. Insbesondere kann die statistische Verteilung von w abbilden, inwieweit eine jede Funktionseinheit des technischen Systems in deterministischer Weise das tut, was sie soll, oder eben nicht.
  • Ohne den Rauschterm w würde auf Grund der Selbstähnlichkeit der Zustandsvektor x asymptotisch gegen einen Konsens konvergieren, der dem Mittelwert der anfänglichen Zustände entspricht. Mit dem Rauschterm w fluktuieren die Komponenten des Zustandsvektors x um die Mittelwerte der aktuellen Zustände. Diese Fluktuation wird durch die Kohärenz des Netzwerks aufgefangen.
  • Die Verlässlichkeit H des Systems, welche ein Maß für die Wahrscheinlichkeit des unerwünschten Ereignisses ist, kann nun vorteilhaft als mittlere Varianz der Fluktuationen der N Komponenten des Zustandsvektors x ermittelt werden: H : = 1 N i = 1 N lim t E { x i ( t ) 1 N j = 1 N x j ( t ) } .
    Figure DE102018203374A1_0002
  • Hierin ist in der Matrix E die logische Verknüpfung der Elemente im Zustandsvektor x enthalten.
  • Das technische System kann beispielsweise ein Umgebungserfassungssystem und/oder Steuersystem eines zumindest teilweise automatisiert fahrenden Fahrzeugs sein. Die Funktionseinheiten können dann beispielsweise Sensoren, Aktoren, Softwarekomponenten und/oder Algorithmen umfassen. In derartigen Systemen bietet die Auswertung der Wahrscheinlichkeit eines unerwünschten Ereignisses mittels einer baumartigen logischen Verknüpfung mit selbstähnlicher Struktur den besonderen Vorteil, dass sie als Online-Kontrolle auf dem Fahrzeug durchgeführt werden kann.
  • Viele Funktionseinheiten an Bord des Fahrzeugs werden ständig durch eine On-Board-Diagnose überwacht. Der Ausfall einer oder mehrerer Funktionseinheiten wird in der Regel mit Kontrollleuchten angezeigt und/oder in einen Fehlerspeicher geschrieben. Hingegen ist es nicht immer einsichtig, ob die Behebung des Problems aus Sicherheitsgründen unverzüglich erfolgen muss oder aber aufgeschoben werden kann. Es kann nun beispielsweise in Reaktion darauf, dass die On-Board-Diagnose eine Fehlfunktion feststellt, in der selbstähnlichen baumartigen logischen Verknüpfung die Wahrscheinlichkeit einer Fehlfunktion der betroffenen Funktionseinheit je nach Schweregrad der Störung modifiziert werden. Bei völligem Ausfall kann diese Wahrscheinlichkeit beispielsweise auf 1 gesetzt werden. Anschließend kann die Wahrscheinlichkeit des unerwünschten Ereignisses aktualisiert werden.
  • Wenn die Wahrscheinlichkeit des unerwünschten Ereignisses ein vorgegebenes Kriterium erfüllt, kann eine geeignete Maßnahme ergriffen werden. Das Kriterium kann insbesondere das Überschreiten oder Unterschreiten eines Schwellwerts umfassen. Als Maßnahme kann beispielsweise eine vom Fahrer wahrnehmbare akustische und/oder optische Warneinrichtung aktiviert werden. Es kann auch das System ganz oder teilweise deaktiviert werden, und/oder der Fahrer des Fahrzeugs kann aufgefordert werden, die manuelle Kontrolle zu übernehmen. Das Fahrzeug kann auch aus dem öffentlichen Verkehrsraum entfernt und außer Betrieb gesetzt werden, eventuell nach einer in Zeit oder Kilometern festgesetzten Karenzzeit.
  • Die drastische Vereinfachung, die die selbstähnliche Struktur der baumartigen Verknüpfung verursachender Ereignisse mit der letztendlichen Wahrscheinlichkeit des unerwünschten Ereignisses mit sich bringt, ermöglicht es also, mit der beschränkten Verarbeitungskapazität an Bord des Fahrzeugs eine Auswertung vorzunehmen, die bislang größeren Rechnern außerhalb des Fahrzeugs vorbehalten war und auch länger dauerte. Wenn nun auf diese Weise eine verlässliche Aussage erhalten werden kann, inwieweit sich auf Grund des Ausfalls die Wahrscheinlichkeit des unerwünschten Ereignisses geändert hat, so ist dies insbesondere dann vorteilhaft, wenn mehrere unterschiedliche Funktionseinheiten gleichzeitig ausfallen. Während jeder dieser Ausfälle für sich genommen unkritisch sein mag, kann die Kombination von Ausfällen die Wahrscheinlichkeit des unerwünschten Ereignisses möglicherweise deutlich erhöhen. Die möglichen Kombinationen sind so zahlreich, dass sie sich gar nicht vorab durchspielen lassen.
  • Statt auf eine tatsächlich festgestellte Fehlfunktion einer Funktionseinheit zu reagieren, kann alternativ oder auch in Kombination mindestens eine Wahrscheinlichkeit einer Fehlfunktion mindestens einer Funktionseinheit mit zunehmendem Alter, und/oder mit zunehmendem Gebrauch, der Funktionseinheit inkrementiert und die Wahrscheinlichkeit des unerwünschten Ereignisses neu ausgewertet werden. So kann beispielsweise die gleichzeitige starke Abnutzung zweier Bremsen, die beim Ausfall nur einer Bremse füreinander einspringen könnten, zur Folge haben, dass nach dem Ausfall der ersten Bremse die zweite sofort überlastet wird und ebenfalls ausfällt. Die Wahrscheinlichkeit eines Systemversagens der Bremsen insgesamt wird also durch die gleichzeitige Abnutzung überproportional erhöht. Hierauf kann wie oben beschrieben reagiert werden.
  • Auch kann beispielsweise eine Fehlfunktion in einem Fahrdynamiksystem, die durch gut gewartete Stoßdämpfer normalerweise ausgeglichen werden kann, zu einem Ausbrechen des Fahrzeugs führen, wenn zugleich die Stoßdämpfer abgenutzt sind.
  • Das Verfahren kann ganz oder teilweise in Software implementiert sein und insbesondere als Update oder Upgrade für existierende Software auf einem Computer oder Steuergerät vertrieben werden. Insofern ist die Software ein eigenständig verkaufbares Produkt. Die Erfindung bezieht sich daher auch auf ein Computerprogramm mit maschinenlesbaren Anweisungen, die, wenn sie auf einem Computer, und/oder auf einem Steuergerät, ausgeführt werden, den Computer, und/oder das Steuergerät, dazu veranlassen, das Verfahren gemäß der Erfindung auszuführen. Ebenso bezieht sich die Erfindung auch auf einen maschinenlesbaren Datenträger oder ein Downloadprodukt mit dem Computerprogramm.
  • Nach dem zuvor Beschriebenen bezieht sich die Erfindung auch auf ein Umgebungserfassungssystem und/oder Steuersystem für ein zumindest teilweise automatisiert fahrendes Fahrzeug. Das System umfasst eine Vielzahl von Funktionseinheiten mit wechselseitigen Abhängigkeiten, die die Funktionseinheiten in einer baumartigen Struktur verknüpfen dergestalt, dass ein unerwünschtes Ereignis auftritt, wenn eine logische Verknüpfung verursachender Ereignisse wahr ist. Die verursachenden Ereignisse umfassen Fehlfunktionen einzelner Funktionseinheiten. Die baumartige Struktur ist selbstähnlich.
  • Wie zuvor erläutert, ist es durchaus möglich, das Verhalten eines per se nicht selbstähnlichen Systems im Fehlerfall an Hand einer Modellierung mittels einer selbstähnlichen baumartigen logischen Verknüpfung zu charakterisieren. Das Aufstellen einer solchen selbstähnlichen baumartigen Verknüpfung wird noch wesentlich vereinfacht, wenn bereits die physischen wechselseitigen Abhängigkeiten der Funktionseinheiten eine selbstähnliche Struktur bilden. Der Aufwand, bereits das physische System von vornherein selbstähnlich zu gestalten, wird also damit belohnt, dass sich die Zuverlässigkeit des Systems dann wesentlich einfacher und schneller beurteilen lässt. Insbesondere wird es vereinfacht, das System auf eine vorgegebene maximale Wahrscheinlichkeit eines unerwünschten Ereignisses hin auszulegen. Weiterhin wird, wie zuvor beschrieben, eine On-line-Kontrolle auch abhängig von erkannten Fehlfunktionen und Abnutzungen möglich.
  • Vorteilhaft ändert sich in der selbstähnlichen baumartigen Struktur von einer Generation zur nächsten sowohl die Längenskala als auch die Anzahl der Knoten jeweils um Faktoren, die aus einem vorgegebenen Katalog ausgewählt werden. In diesem Katalog kann beispielsweise das Know-How enthalten sein, welche selbstähnlichen baumartigen Strukturen für welche Typen technischer Systeme besonders geeignet sind.
  • Weitere, die Erfindung verbessernde Maßnahmen werden nachstehend gemeinsam mit der Beschreibung der bevorzugten Ausführungsbeispiele der Erfindung anhand von Figuren näher dargestellt.
  • Ausführungsbeispiele
  • Es zeigt:
    • 1 Beispielhafte baumartige logische Verknüpfung 2 von Ereignissen 21-27, die durch ein beispielhaftes technisches System 1 getrieben werden, zu einem möglichen unerwünschten Ereignis 28;
    • 2 Selbstähnliche Version 2a der in 1 gezeigten baumartigen logischen Verknüpfung 2;
    • 3 Ausführungsbeispiel des Verfahrens 100;
    • 4 Chaotisches Abhängigkeitsdiagramm einer beispielhaften nicht selbstähnlichen baumartigen logischen Verknüpfung.
  • Nach 1 umfasst das beispielhaft gezeichnete technische System 1, bei dem es sich insbesondere um ein Umgebungserfassungssystem 1a oder um ein Steuersystem 1b eines zumindest teilweise automatisiert fahrenden Fahrzeugs handeln kann, fünf Funktionseinheiten 11-15. Gefragt ist nach der Wahrscheinlichkeit dafür, dass sich ein unerwünschtes Ereignis 28 einstellt, bzw. es wird angestrebt, diese Wahrscheinlichkeit unterhalb eines vorgegebenen Niveaus zu halten. Alle Wahrscheinlichkeiten sind in 1 mit dem Buchstaben p bezeichnet.
  • Wie durch das Symbol des UND-Gatters am unerwünschten Ereignis 28 angedeutet, kann dieses in dem in 1 angenommenen Szenario nur eintreten, wenn zwei Bedingungen gleichzeitig erfüllt sind: zum Einen muss ein Fehlerzustand 26 vorliegen, und zum Anderen muss sich das Fahrzeug in einem Betriebszustand 27 befinden, in dem sich dieser Fehlerzustand 26 auch auswirkt.
  • Wie durch das Symbol des ODER-Gatters am Fehlerzustand 26 angedeutet, kann der Fehlerzustand 26 durch eines oder mehrere der Ereignisse 21-25 zurückgehen, die ihrerseits durch Fehlfunktionen 11a-15a der Funktionseinheiten 11-15 des Systems 1 ausgelöst werden. Jedes dieser Ereignisse 21-25 hat eine Wahrscheinlichkeit von 10-4, also hat der Fehlerzustand 26 eine Wahrscheinlichkeit von 4,999*10-4.
  • Der ebenfalls durch das System 1 bedingte Betriebszustand 27 stellt für sich genommen keinen Fehler dar, entscheidet aber darüber, ob der Fehlerzustand 26 sich bis zum unerwünschten Ereignis 28 auswirkt. Tritt der Fehlerzustand 26 in einer Situation auf, in der der Betriebszustand 27 gerade nicht vorliegt, wird der Fehler also gleichsam „abgefangen“.
  • Der Betriebszustand 27 liegt im Mittel während 42,5 % der Betriebszeit vor; seine Wahrscheinlichkeit beträgt also 0,425. Hieraus und aus der Wahrscheinlichkeit des Fehlerzustandes 26 ergibt sich eine Wahrscheinlichkeit von 2,124*10-4 für das unerwünschte Ereignis 28.
  • Wenn diese Wahrscheinlichkeit für die Erfordernisse des Kunden zu groß ist, dann müssen Maßnahmen ergriffen werden, um bestimmte verursachende Ereignisse 21-27 unwahrscheinlicher zu machen. Die Wahrscheinlichkeit des Betriebszustandes 27 lässt sich am schwierigsten anpassen, da dieser Betriebszustand 27 Teil der beabsichtigen normalen Nutzung des Fahrzeugs ist. In Betracht kommt also, die Wahrscheinlichkeiten für die Fehlfunktionen 11a-15a der Funktionseinheiten 11-15 durch Austausch der Funktionseinheiten 11-15 gegen höherwertige Modelle zu verringern. Ebenso ist es möglich, das Zusammenspiel der Funktionseinheiten 11-15 dahingehend abzuändern, dass sich erst bei einer gleichzeitigen Fehlfunktion von mindestens zwei der Funktionseinheiten 11-15 ein Fehlerzustand 26 einstellt. Dadurch sinkt die Wahrscheinlichkeit des Fehlerzustandes 26 bereits auf 5*10-4*4*10-4=2*10-7.
  • Das in 1 gezeigte einfache Beispiel lässt sich noch intuitiv analysieren. Bei realen Systemen mit extrem vielen möglichen Ereignissen fällt ein sehr hoher Rechenaufwand an. Um diesen Aufwand überhaupt handhabbar zu machen, muss die baumartige logische Verknüpfung 2 in der Regel transformiert werden (etwa mit der Kohda-Henley-Inous Comprehensive-Methode oder der Yllera-Methode), um die Verknüpfung 2 in Module zu zerlegen und „minimal cut sets“ zu finden, in denen Redundanzen eliminiert sind.
  • 2 zeigt eine beispielhafte selbstähnliche Version 2a der in 1 gezeigten baumartigen logischen Verknüpfung 2. Die selbstähnliche baumartige logische Verknüpfung 2a wurde erzeugt, indem die in 2 gestrichelt eingezeichnete Einheit von Generation zu Generation in verkleinertem Maßstab auf jede Verbindungslinie zwischen Knoten kopiert wurde. Die verursachenden Ereignisse 21-27 und das unerwünschte Ereignis 28 sind in 2 beispielhaft eingezeichnet und belegen dort nur einen kleinen Teil der verfügbaren Knoten. In einem realen System sind deutlich mehr Knoten belegt.
  • Die Umwandlung der nicht selbstähnlichen baumartigen logischen Verknüpfung 2 in die selbstähnliche Version 2a ist nicht eindeutig. Es könnte also stattdessen auch eine andere selbstähnliche Struktur zum Einsatz kommen, solange es dort einen Bereich gibt, der die kaskadierten Wirkbeziehungen zwischen den verursachenden Ereignissen 21-27 und dem unerwünschten Ereignis 28 treffend abbildet.
  • 3 zeigt ein Ausführungsbeispiel des Verfahrens 100. Gemäß Schritt 105 wird ein Umgebungserfassungssystem 1a oder Steuersystem 1b als zu analysierendes technisches System 1 gewählt.
  • Um das System 1 für die Zwecke der Fehlerbaumanalyse modellieren zu können, wird in Schritt 110 eine hierfür geeignete selbstähnliche baumartige logische Verknüpfung derjenigen Ereignisse 21-27 ermittelt, die in einem unerwünschten Ereignis 28 kulminieren können.
  • Hierzu wird in 3 ein beispielhafter Weg aufgezeigt. Gemäß diesem Weg wird in Block 115 aus einem Katalog, bzw. aus einem parametrisierten Ansatz, diejenigen selbstähnliche baumartige logische Verknüpfung 2a ausgewählt, die eine größtmögliche Ähnlichkeit zu dem nicht selbstähnlichen Original 2 aufweist.
  • In Schritt 120 wird das System 1 mit Hilfe der selbstähnlichen baumartigen logischen Verknüpfung 2a modelliert. Hierzu werden gemäß Block 121 die Zustände aller Funktionseinheiten 11-15 zu einem Zustandsvektor x zusammengefasst. In Block 123 wird die mittlere Varianz der Fluktuationen von Komponenten dieses Zustandsvektors x als Maß für die Wahrscheinlichkeit des unerwünschten Ereignisses 28 ermittelt.
  • In dem in 3 gezeigten Beispiel speziell für die Anwendung in einem zumindest teilweise automatisiert fahrenden Fahrzeug wird die korrekte Funktion der Funktionseinheiten 11-15 im System 1 gemäß Block 130 fortwährend durch eine On-Board-Diagnose des Fahrzeugs überwacht. Wird eine Fehlfunktion 11a-15a festgestellt, so wird gemäß Block 135 die Wahrscheinlichkeit der Fehlfunktion 11a-15a in der selbstähnlichen baumartigen logischen Verknüpfung 2a entsprechend modifiziert. Alternativ oder auch in Kombination hierzu wird gemäß Block 140 die Wahrscheinlichkeit der Fehlfunktion 11a-15a mit zunehmendem Alter, und/oder mit zunehmendem Gebrauch, der jeweiligen Funktionseinheit 11-15 inkrementiert.
  • Nachdem die Wahrscheinlichkeiten für Fehlfunktionen 11a-15a von Funktionseinheiten 11-15 in der selbstähnlichen baumartigen logischen Verknüpfung 2a abgeändert wurden, wird in Schritt 150 die Wahrscheinlichkeit des unerwünschten Ereignisses 28 anhand der aktualisierten Verknüpfung 2a neu ausgewertet. Anschließend wird in Block 160 geprüft, ob die neu ausgewertete Wahrscheinlichkeit ein vorgegebenes Kriterium erfüllt.
  • Ist das Kriterium nicht erfüllt (Wahrheitswert 0 in Block 160), ist keine Aktion erforderlich.
  • Ist das Kriterium erfüllt (Wahrheitswert 1 in Block 160), kann, einzeln oder in Kombination, gemäß Block 162 der Fahrer mit einer Warneinrichtung gewarnt werden, gemäß Block 164 das System deaktiviert werden, gemäß Block 166 der Fahrer zur Übernahme der Kontrolle aufgefordert werden oder gemäß Block 168 das Fahrzeug aus dem öffentlichen Verkehrsraum entfernt und außer Betrieb gesetzt werden.
  • 4 illustriert noch einmal den Vorteil, den eine selbstähnliche baumartige logische Verknüpfung 2a bietet. In 4 sind die Abhängigkeiten zwischen als Punkte a-j eingezeichneten Ereignissen, die aus einer beispielhaften nicht selbstähnlichen Struktur der logischen Verknüpfung 2 zwischen den Ereignissen a-j resultieren, skizziert. Die Ereignisse a-j können beispielsweise das Versagen von Softwarekomponenten oder Algorithmen repräsentieren. Die chaotische Struktur der Abhängigkeiten hat zur Folge, dass eine Änderung an einer beliebigen Stelle im System eine unabsehbare Kaskade von Folgewirkungen auslöst. Um die Auswirkung der Änderung auf die Gesamt-Wahrscheinlichkeit eines unerwünschten Ereignisses 28 zu bestimmen, müssen alle diese Folgewirkungen berücksichtigt werden, was entsprechend viele Daten und viel Rechenkapazität erfordert. Derartige chaotische Zusammenhänge werden mit einer selbstähnlichen baumartigen logischen Verknüpfung 2a vermieden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102008040461 A1 [0004]
    • DE 10361931 A1 [0004]

Claims (11)

  1. Verfahren (100) zur Fehlerbaumanalyse eines technischen Systems (1), welches eine Vielzahl von Funktionseinheiten (11-15) umfasst, wobei das technische System (1) als baumartige logische Verknüpfung (2) von verursachenden Ereignissen (21-27) modelliert wird (120), die in einem unerwünschten Ereignis (28) kulminieren können, und wobei die verursachenden Ereignisse (21-27) Fehlfunktionen (11a-15a) einzelner Funktionseinheiten (11-15) umfassen, dadurch gekennzeichnet, dass eine baumartige logische Verknüpfung (2a) mit einer selbstähnlichen Struktur gewählt wird (110).
  2. Verfahren (100) nach Anspruch 1, dadurch gekennzeichnet, dass aus einem vorgegebenen Katalog, und/oder aus einem parametrisierten Ansatz, eine selbstähnliche baumartige logische Verknüpfung (2a) ermittelt wird (115), die eine größtmögliche Ähnlichkeit zu einer vorgegebenen, nicht selbstähnlichen baumartigen logischen Verknüpfung (2) aufweist.
  3. Verfahren (100) nach einem der Ansprüche 1 bis 2, dadurch gekennzeichnet, dass die Zustände aller Funktionseinheiten (11-15) zu einem Zustandsvektor x zusammengefasst werden (121), dessen zeitliche Änderung durch Anwendung der zu der selbstähnlichen baumartigen Verknüpfung (2a) gehörenden Laplace-Matrix L sowie durch einen additiven Rauschterm w gegeben ist.
  4. Verfahren (100) nach Anspruch 3, dadurch gekennzeichnet, dass die mittlere Varianz der Fluktuationen von Komponenten des Zustandsvektors x im stationären Zustand des technischen Systems (1) als Maß für die Wahrscheinlichkeit des unerwünschten Ereignisses (28) ermittelt wird (123).
  5. Verfahren (100) nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass ein Umgebungserfassungssystem (1a) und/oder Steuersystem (1b) eines zumindest teilweise automatisiert fahrenden Fahrzeugs als technisches System (1) gewählt wird (105), wobei die Funktionseinheiten (11-15) Sensoren, Aktoren, Softwarekomponenten und/oder Algorithmen umfassen.
  6. Verfahren (100) nach Anspruch 5, dadurch gekennzeichnet, dass in Antwort darauf, dass durch eine On-Board-Diagnose des Fahrzeugs eine Fehlfunktion (11a-15a) in mindestens einer Funktionseinheit (11-15) festgestellt wurde (130), in der selbstähnlichen baumartigen Verknüpfung (2a) die Wahrscheinlichkeit einer Fehlfunktion (11a-15a) der betroffenen Funktionseinheit (11-15) modifiziert (135) und die Wahrscheinlichkeit des unerwünschten Ereignisses (28) neu ausgewertet (150) wird.
  7. Verfahren (100) nach einem der Ansprüche 5 bis 6, dadurch gekennzeichnet, dass in der selbstähnlichen baumartigen Verknüpfung (2a) mindestens eine Wahrscheinlichkeit einer Fehlfunktion (11a-15a) mindestens einer Funktionseinheit (11-15) mit zunehmendem Alter, und/oder mit zunehmendem Gebrauch, der Funktionseinheit (11-15) inkrementiert (140) und die Wahrscheinlichkeit des unerwünschten Ereignisses (28) neu ausgewertet (150) wird.
  8. Verfahren (100) nach einem der Ansprüche 6 bis 7, dadurch gekennzeichnet, dass in Antwort darauf, dass die neu ausgewertete Wahrscheinlichkeit ein vorgegebenes Kriterium erfüllt (160), • eine vom Fahrer des Fahrzeugs wahrnehmbare akustische und/oder optische Warneinrichtung aktiviert wird (162), und/oder • das System (1) ganz oder teilweise deaktiviert wird (164), und/oder • der Fahrer des Fahrzeugs aufgefordert wird, die manuelle Kontrolle zu übernehmen (166), und/oder • das Fahrzeug aus dem öffentlichen Verkehrsraum entfernt und außer Betrieb gesetzt wird (168).
  9. Computerprogramm, enthaltend maschinenlesbare Anweisungen, die, wenn sie auf einem Computer, und/oder auf einem Steuergerät ausgeführt werden, den Computer, und/oder das Steuergerät, dazu veranlassen, ein Verfahren (100) nach einem der Ansprüche 1 bis 8 auszuführen.
  10. Umgebungserfassungssystem (1a) und/oder Steuersystem (1b) für ein zumindest teilweise automatisiert fahrendes Fahrzeug, umfassend eine Vielzahl von Funktionseinheiten (11-15) mit wechselseitigen Abhängigkeiten, die die Funktionseinheiten in einer baumartigen Struktur (2, 2a) verknüpfen dergestalt, dass ein unerwünschtes Ereignis (28) auftritt, wenn eine logische Verknüpfung verursachender Ereignisse (21-27) wahr ist, wobei die verursachenden Ereignisse (21-27) Fehlfunktionen (11a-15a) einzelner Funktionseinheiten (11-15) umfassen, dadurch gekennzeichnet, dass die baumartige Struktur (2a) selbstähnlich ist.
  11. Verfahren (100) nach einem der Ansprüche 1 bis 8, Computerprogramm nach Anspruch 9 oder System (1a, 1b) nach Anspruch 10, dadurch gekennzeichnet, dass sich in der selbstähnlichen baumartigen Struktur (2a) von einer Generation zur nächsten sowohl die Längenskala als auch die Anzahl der Knoten jeweils um Faktoren ändern, die aus einem vorgegebenen Katalog ausgewählt werden.
DE102018203374.9A 2018-03-07 2018-03-07 Fehlerbaumanalyse für technische Systeme Pending DE102018203374A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102018203374.9A DE102018203374A1 (de) 2018-03-07 2018-03-07 Fehlerbaumanalyse für technische Systeme
US16/294,291 US10942797B2 (en) 2018-03-07 2019-03-06 Fault tree analysis for technical systems
CN201910171687.8A CN110245373A (zh) 2018-03-07 2019-03-07 用于技术系统的故障树分析

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018203374.9A DE102018203374A1 (de) 2018-03-07 2018-03-07 Fehlerbaumanalyse für technische Systeme

Publications (1)

Publication Number Publication Date
DE102018203374A1 true DE102018203374A1 (de) 2019-09-12

Family

ID=67701674

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018203374.9A Pending DE102018203374A1 (de) 2018-03-07 2018-03-07 Fehlerbaumanalyse für technische Systeme

Country Status (3)

Country Link
US (1) US10942797B2 (de)
CN (1) CN110245373A (de)
DE (1) DE102018203374A1 (de)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021201977A1 (de) 2021-03-02 2022-09-08 Robert Bosch Gesellschaft mit beschränkter Haftung Fehlerbaumanalyse mit maschinellem Lernen
DE102021109470A1 (de) 2021-04-15 2022-10-20 Robert Bosch Gesellschaft mit beschränkter Haftung Bestimmung der Fuzzy-Zuverlässigkeit für redundante technische Systeme
DE102022203798A1 (de) 2022-04-14 2023-10-19 Robert Bosch Gesellschaft mit beschränkter Haftung Fuzzy-Fehlerbaumanalyse für Embedded-Systeme mit vermindertem Rechenaufwand
DE102022203907A1 (de) 2022-04-21 2023-10-26 Robert Bosch Gesellschaft mit beschränkter Haftung Fehlerbaumanalyse mit Abschätzung über die kritische Wahrscheinlichkeit
DE102022208080A1 (de) 2022-08-03 2024-02-08 Robert Bosch Gesellschaft mit beschränkter Haftung Bestimmen eines optimalen cut-sets von Basisereignissen in einem Fehlerbaum eines technischen Systems
DE102022207998A1 (de) 2022-08-02 2024-02-08 Robert Bosch Gesellschaft mit beschränkter Haftung Fuzzy-Fehlerbaumanalyse mit einem rekurrenten neuronalen Netzwerk
DE102022208166A1 (de) 2022-08-05 2024-02-08 Robert Bosch Gesellschaft mit beschränkter Haftung Training neuronaler Netzwerke für die Fehlerbaumanalyse mit verbesserter Konvergenz

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018188756A1 (en) * 2017-04-13 2018-10-18 Renesas Electronics Corporation Probabilistic metric for random hardware failure
CN110716819B (zh) * 2019-10-10 2020-11-20 江苏科技大学 一种基于AltaRica的系统故障树自动生成方法
CN111160583A (zh) * 2019-12-31 2020-05-15 联想(北京)有限公司 一种数据处理方法及装置
CN113320565A (zh) * 2020-02-28 2021-08-31 株洲中车时代电气股份有限公司 一种车载实时故障诊断方法及其装置
DE102022201853A1 (de) 2022-02-22 2023-08-24 Robert Bosch Gesellschaft mit beschränkter Haftung Erkennung kritischer Verkehrssituationen mit Petri-Netzen

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10361931A1 (de) 2003-02-19 2004-09-02 Robert Bosch Gmbh Fehlertolerante Fahrstabilitätsregelung
DE102008040461A1 (de) 2008-07-16 2010-01-21 Robert Bosch Gmbh Verfahren zum Bestimmen fehlerhafter Komponenten in einem System

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6063617A (ja) 1983-09-17 1985-04-12 Tsubakimoto Chain Co 無人走行車の走行制御方法
DE19532484B4 (de) 1995-02-03 2005-08-25 Robert Bosch Gmbh Startvorrichtung zum Starten einer Brennkraftmaschine
DE102008009900B4 (de) 2008-02-19 2010-12-02 Fendt, Günter Verfahren und Vorrichtung zum Steuern einer Fahrzeugbremse
CN102090029A (zh) * 2008-05-12 2011-06-08 爱立信电话股份有限公司 在通信网络中重新路由业务
US20130166188A1 (en) * 2011-12-21 2013-06-27 Microsoft Corporation Determine Spatiotemporal Causal Interactions In Data
CN102722722B (zh) * 2012-05-25 2014-02-19 清华大学 基于逻辑推理和故障辨识的混合故障检测诊断方法
DE102014210485A1 (de) * 2014-06-03 2015-12-03 Robert Bosch Gmbh Verfahren und Vorrichtung zum Überwachen eines eine zumindest teilautomatisierte Fahrfunktion bereitstellendes System eines Fahrzeugs
CN104573386A (zh) * 2015-01-26 2015-04-29 国网四川省电力公司电力科学研究院 一种利用贝叶斯模型进行系统评估检测的方法
DE102015220449A1 (de) 2015-10-20 2017-04-20 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betreiben wenigstens eines teil- oder hochautomatisierten Fahrzeugs
CN106021036B (zh) * 2016-05-26 2019-10-18 工业和信息化部电子第五研究所 可重构系统故障分析方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10361931A1 (de) 2003-02-19 2004-09-02 Robert Bosch Gmbh Fehlertolerante Fahrstabilitätsregelung
DE102008040461A1 (de) 2008-07-16 2010-01-21 Robert Bosch Gmbh Verfahren zum Bestimmen fehlerhafter Komponenten in einem System

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021201977A1 (de) 2021-03-02 2022-09-08 Robert Bosch Gesellschaft mit beschränkter Haftung Fehlerbaumanalyse mit maschinellem Lernen
DE102021109470A1 (de) 2021-04-15 2022-10-20 Robert Bosch Gesellschaft mit beschränkter Haftung Bestimmung der Fuzzy-Zuverlässigkeit für redundante technische Systeme
DE102022203798A1 (de) 2022-04-14 2023-10-19 Robert Bosch Gesellschaft mit beschränkter Haftung Fuzzy-Fehlerbaumanalyse für Embedded-Systeme mit vermindertem Rechenaufwand
DE102022203907A1 (de) 2022-04-21 2023-10-26 Robert Bosch Gesellschaft mit beschränkter Haftung Fehlerbaumanalyse mit Abschätzung über die kritische Wahrscheinlichkeit
DE102022207998A1 (de) 2022-08-02 2024-02-08 Robert Bosch Gesellschaft mit beschränkter Haftung Fuzzy-Fehlerbaumanalyse mit einem rekurrenten neuronalen Netzwerk
DE102022208080A1 (de) 2022-08-03 2024-02-08 Robert Bosch Gesellschaft mit beschränkter Haftung Bestimmen eines optimalen cut-sets von Basisereignissen in einem Fehlerbaum eines technischen Systems
DE102022208166A1 (de) 2022-08-05 2024-02-08 Robert Bosch Gesellschaft mit beschränkter Haftung Training neuronaler Netzwerke für die Fehlerbaumanalyse mit verbesserter Konvergenz

Also Published As

Publication number Publication date
US10942797B2 (en) 2021-03-09
US20190278647A1 (en) 2019-09-12
CN110245373A (zh) 2019-09-17

Similar Documents

Publication Publication Date Title
DE102018203374A1 (de) Fehlerbaumanalyse für technische Systeme
EP1192543B1 (de) Verfahren und anordnung zur ermittlung eines fehlerbaums eines technischen systems, computerprogramm-erzeugnis und computerlesbares speichermedium dafür
WO2005111752A1 (de) Wissensbasiertes diagnosesystem für ein komplexes technisches system mit zwei getrennten wissensbasen zur verarbeitung technischer systemdaten und zur verarbeitung von kundenbeanstandungen
DE112018002176T5 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE102005015664A1 (de) Diagnosesystem zur Bestimmung einer gewichteten Liste möglicherweise fehlerhafter Komponenten aus Fahrzeugdaten und Kundenangaben
EP2927819B1 (de) Verfahren zur automatischen verarbeitung einer anzahl von protokolldateien eines automatisierungssystems
DE102009030774A1 (de) Verfahren zur rechnergestützten Erfassung von Fehlern beim Ablauf von einem oder mehreren softwarebasierten Programmen in einem System aus Komponenten
DE102019124018A1 (de) Verfahren zum Optimieren von Tests von Regelsystemen für automatisierte Fahrdynamiksysteme
DE102017204745A1 (de) Architektur und Vorrichtung für eine fortschrittliche Arbitration in integrierten Steuerungen
WO2008095518A1 (de) Anwendung einer verteilten diagnosearchitektur in autosar
DE102018209108A1 (de) Schnelle Fehleranalyse für technische Vorrichtungen mit maschinellem Lernen
DE102021126726A1 (de) Verteiltes system und datenübertragungsverfahren
DE102020204714A1 (de) Verfahren und Vorrichtung zum Prüfen der Kompatibilität zwischen einer Anwendungssoftware und einer mobilen Arbeitsmaschine
DE102018117509A1 (de) Verfahren, Vorrichtung, Computerprogramm und Computerprogrammprodukt zum Überwachen einer Wirkkette eines Wirknetzes eines Fahrzeuges
DE102021207872A1 (de) Kompositionelle verifikation von eingebetteten softwaresystemen
DE102017201804A1 (de) Verfahren zum Erfassen von Daten, Verfahren zum Aktualisieren eines Szenarienkatalogs, Vorrichtung, Computerprogramm und maschinenlesbares Speichermedium
DE102020206327A1 (de) Verfahren und Vorrichtung zum Prüfen eines technischen Systems
DE102009053751B4 (de) Verfahren zum Diagnostizieren eines Fehlers an einem Kraftfahrzeug
DE112019007286T5 (de) Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem
DE102019219730A1 (de) Verfahren und Vorrichtung zur modellbasierten Analyse
EP1717651B1 (de) Verfahren und Vorrichtung zum Auswerten von Ereignissen aus dem Betrieb eines Fahrzeuges
DE102018217728A1 (de) Verfahren und Vorrichtung zum Schätzen von mindestens einer Leistungskennzahl eines Systems
DE102022107338B3 (de) Verfahren zum Testen von automatisierten Fahrzeugfunktionen
DE102021111724B4 (de) Verfahren und Computerprogramm zum Evaluieren eines Softwarestands eines Fahrerassistenzsystems
DE102022203798A1 (de) Fuzzy-Fehlerbaumanalyse für Embedded-Systeme mit vermindertem Rechenaufwand

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0017500000

Ipc: G06F0030000000

R163 Identified publications notified