DE102020202514A1 - Verfahren zum Ermitteln einer Zuverlässigkeit eines technischen Systems - Google Patents

Verfahren zum Ermitteln einer Zuverlässigkeit eines technischen Systems Download PDF

Info

Publication number
DE102020202514A1
DE102020202514A1 DE102020202514.2A DE102020202514A DE102020202514A1 DE 102020202514 A1 DE102020202514 A1 DE 102020202514A1 DE 102020202514 A DE102020202514 A DE 102020202514A DE 102020202514 A1 DE102020202514 A1 DE 102020202514A1
Authority
DE
Germany
Prior art keywords
technical system
events
technical
computer program
basic events
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020202514.2A
Other languages
English (en)
Inventor
Javier Bores
Peter Bakucz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102020202514.2A priority Critical patent/DE102020202514A1/de
Publication of DE102020202514A1 publication Critical patent/DE102020202514A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/008Reliability or availability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/02Computing arrangements based on specific mathematical models using fuzzy logic

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Computerimplementiertes Verfahren (100) zum Ermitteln der Zuverlässigkeit eines technischen Systems (200) in Echtzeit, insbesondere einer Software, einer Hardware oder eines eingebetteten Systems, wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten (ES1, ES2, INV1, INV2) umfasst, wobei mögliche Ausfallzustände einzelner Komponenten (ES1, ES2, INV1, INV2) des technischen Systems (200) als Basisereignisse (B1, B2, B3, B4) und ein unerwünschtes Ereignis als ein an einer Spitzes eines Fehlerbaum stehendes Top-Ereignis (TE) in einer Fehlerbaumanalyse des technischen Systems (200) repräsentiert werden, wobei jedes Basisereignis (B1, B2, B3, B4) eine Fuzzy-Zugehörigkeitsfunktion (ZF1, ZF2, ZF3, ZF4) umfasst, das Verfahren (100) umfassend die folgenden Schritte:Modellieren (110) von logischen Verknüpfungen zwischen den Basisereignissen (B1, B2, B3, B4), insbesondere unter Verwendung von programmierbaren und zeitabhängigen UND und/oder ODER Gattern (10, 12); Zeitliches Synchronisieren (120) der Basisereignisse (B1, B2, B3, B4), und Ermitteln (130) einer Fuzzy-Zugehörigkeitsfunktion des Top-Ereignisses (TE) des technischen Systems basierend auf den synchronisierten Basisereignissen (B1, B2, B3, B4.

Description

  • Stand der Technik
  • Die Offenbarung betrifft ein Verfahren zum Ermitteln der Zuverlässigkeit eines technischen Systems, insbesondere einer Software, einer Hardware oder eines eingebetteten Systems, wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten umfasst, wobei Ausfallzustände einzelner Komponenten des Systems als Basisereignisse und der Gesamtausfall des technischen Systems als Top-Ereignis in einer Fehlerbaumanalyse des technischen Systems repräsentiert werden.
  • Die Fehlerbaumanalyse (engl. Fault Tree Analysis, FTA) ist eine bekannte Methode zur Analyse der Fehlerlogik eines Systems und zur Berechnung der Gesamtzuverlässigkeit.
  • Im Rahmen der Fehlerbaumanalyse wird üblicherweise sogenannte negative Logik verwendet, d. h. der Fehlerbaum beschreibt eine Ausfallsfunktion, die bei dem Zustand logisch-1 einen Ausfall ausdrückt, bei logisch-0 liegt ein funktionsfähiges System vor. Da sich die Fehlerbaumanalyse der Booleschen Algebra bedient, kann sich das Gesamtsystem sowie Teilsysteme und einzelne Komponenten jeweils nur in den beiden Zuständen „funktionsfähig“ (logisch-0) oder „ausgefallen“ (logisch-1) befinden.
  • Die Fehlerbaumanalyse geht von einem einzigen unerwünschten Ereignis, aus, welches an der Spitze des Fehlerbaums steht, das sogenannte Top-Ereignis, welches beispielsweise den Gesamtausfall des Systems beschreibt und im Rahmen einer Gefahrenanalyse ermittelt wird.
  • Ausgehend von diesem Top-Ereignis wird der Fehlerbaum in einer Top-down Analyse bis zu den einzelnen Ausfallzuständen der Komponenten erstellt. Bei komplexeren Systemen erfolgt die Unterteilung in Subsysteme, welche analog weiter unterteilt werden, bis das komplette System in Form von nicht mehr weiter unterteilbaren Minimalschnitten in Form von Basisereignissen abgebildet ist. Die Ausfallkombinationen im Fehlerbaum werden mit der booleschen Algebra und deren Symbolen, insbesondere dem UND und ODER, logisch verknüpft.
  • Im einfachsten Fall werden Komponenten eines Systems, welche in ihrer Funktionsfähigkeit voneinander abhängen, durch die logische ODER-Funktion verknüpft. In diesem Fall führt bereits der Ausfall einer Komponente zu einem Ausfall des gesamten Systems. Komponenten, die sich wechselseitig in der Funktion ersetzen können (Redundanz), werden durch die UND-Funktion im Fehlerbaum verknüpft.
  • Die Fehlerbaumanalyse basiert auf sequentiellem Lösen eines booleschen Gleichungssatzes, mit diskrete Eingangswahrscheinlichkeiten als Basisereignis und diskrete Ausgangswahrscheinlichkeiten als Top-Ereignis. Die Anwendung dieses Ansatzes kann mitunter nachteilig bei der Analyse von redundanten Systemen sein. In der konventionellen Fehlerbaumanalyse werden die Ausfallwahrscheinlichkeiten als exakter Wert, d.h. als einzelner Schätzwert oder fester Wert, betrachtet. Es kann jedoch mitunter schwierig sein, eine exakte Ausfallrate der Komponenten abzuschätzen, wenn beispielsweise keine ausreichenden Daten oder vage Charakteristika der Ereignisse vorliegen. Dies kann insbesondere in der Entwurfsphase von entscheidender Bedeutung sein, wenn die Details der Komponenten möglicherweise noch nicht feststehen und somit eine genaue Ausfallrate nicht bekannt ist.
  • Offenbarung der Erfindung
  • Die Offenbarung betrifft ein computerimplementiertes Verfahren zum Ermitteln der Zuverlässigkeit eines technischen Systems in Echtzeit, insbesondere einer Software, einer Hardware oder eines eingebetteten Systems, wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten umfasst, wobei mögliche Ausfallzustände einzelner Komponenten des technischen Systems als Basisereignisse und ein unerwünschtes Ereignis als ein an einer Spitzes eines Fehlerbaum stehendes Top-Ereignis in einer Fehlerbaumanalyse des technischen Systems repräsentiert werden, wobei jedes Basisereignis eine Fuzzy-Zugehörigkeitsfunktion umfasst, das Verfahren umfassend die folgenden Schritte:
    • Modellieren von logischen Verknüpfungen zwischen den Basisereignissen, insbesondere unter Verwendungen von programmierbaren und zeitabhängigen UND und/oder ODER Gattern;
    • Zeitliches Synchronisieren der Basisereignisse, und
    • Ermitteln einer Fuzzy-Zugehörigkeitsfunktion des Top-Ereignisses des technischen Systems basierend auf den synchronisierten Basisereignissen.
  • Es wird also vorgeschlagen, die Basisereignisse zeitlich zu synchronisieren und so eine Zeitabhängigkeit der Basisereignisse zu berücksichtigen, und die Fuzzy-Zugehörigkeitsfunktion des Top-Ereignisses des technischen Systems basierend auf den synchronisierten Basisereignissen in Echtzeit zu ermitteln. Aus der Fuzzy-Zugehörigkeitsfunktion kann dann eine Eintrittswahrscheinlichkeit des Top-Ereignisse abgeleitet werden.
  • Mit einem programmierbaren Gatter können insbesondere arithmetische Operationen wie zum Beispiel Addition, Multiplikation, realisiert werden. Zeitabhängig bedeutet in diesem Zusammenhang, dass das Gatter zu unterschiedlichen Zeitpunkten bzw. Zeitdauern unterschiedliche Funktionen annehmen kann. Insbesondere kann an Gatter zu einem Zeitpunkt eine UND Funktion annehmen und zu einem weiteren Zeitpunkt eine ODER Funktion annehmen.
  • Vorteilhafterweise kann dies unter Verwendung eines adäquaten parallelen Lösers, engl. parallel solver, zum Lösen von Differentialgleichungssystemen erfolgen.
  • Durch die Fuzzy-Zugehörigkeitsfunktion der Basisereignisse kann insbesondere eine Unschärfe des Auftretens der Basisereignisse graduell über numerische Werte zwischen 0 und 1 angegeben werden. Die Werte der Fuzzy-Zugehörigkeitsfunktion können sich dabei zeitabhängig ändern.
  • Dies spielt dahingehend eine Rolle, als dass es unzureichende Daten oft schwierig machen, die Wahrscheinlichkeit objektiv zu bestimmen. Daher werden menschliche Beurteilungen durch linguistische Variablen unerlässlich. Um die die Wahrscheinlichkeit von Ereignissen zu beschreiben werden beispielsweise linguistische Ausdrücke wie „sehr niedrig, niedrig, hoch und ziemlich hoch“ verwendet. Diagnostische Verfahren basieren beispielsweise auf beobachteten analytischen, heuristischen Symptomen und dem heuristischen Wissen über den Prozess. Darunter fallen beispielsweise Beobachtungen, die beispielsweise durch Inspektion durch das Betriebspersonal in verschiedenen Formen, z.B. durch akustische Geräusche, gewonnen werden, wie zum Beispiel Schwingungen oder optische Eindrücke wie Farben oder Rauch. Häufig treten jedoch vage Symptome auf, die sich meist nur in Form von qualitativen Maßen oder linguistischen Variablen wie „wenig“, „mittel“ oder „viel“ ausdrücken lassen. Tatsächlich können herkömmliche mathematische Verfahren aufgrund ihrer Vagheit nicht effizient mit natürlichen sprachlichen Ausdrücken umgehen.
  • Das offenbarte Verfahren überwindet die Einschränkungen der konventionellen Fehlerbaumanalyse durch ein Anwenden der Fuzzy-Logik.
  • Das technische System umfasst redundante Komponenten. Die Redundanz zwischen wenigstens zwei Basisereignissen wird dann durch ein UND-Gatter oder ein ODER-Gatter modelliert.
  • Gemäß einer Ausführungsform kann es sich als vorteilhaft erweisen, wenn das zeitliche Synchronisieren basierend auf einer numerischen Methode gemäß dem Runge-Kutta-Schema erfolgt. Runge-Kutta-Methoden sind mehrstufige numerische Methoden zum Lösen von Differentialgleichungen. Herkömmliche Runge-Kutta-Methoden sind statisch und damit nicht echtzeittauglich.
  • Zum parallelen Lösen von Differentialgleichungen in Echtzeit erweist es sich daher als vorteilhaft die Runge-Kutta-Methode zu modifizieren. Vorteilhafterweise kann die Anzahl der Stufen dynamisch variiert werden. Weiter kann die Runge-Kutta-Methode durch eine dynamische Anpassung beschleunigt werden.
  • Die dynamische Anpassung der Runge-Kutta-Methode kann insbesondere unter Verwendung eines dynamischen Filters, insbesondere FxLMS Filters, realisiert werden. Durch die vorstehend beschriebene Anpassung kann die modifizierte Runge-Kutta-Methode insbesondere für Echtzeit Embedded Systeme verwendet werden.
  • Gemäß einer Ausführungsform kann es sich als vorteilhaft erweisen, wenn die Fuzzy-Zugehörigkeitsfunktionen der Basisereignisse als zeitabhängige Fuzzy-Zugehörigkeitsfunktionen, insbesondere Dreiecks- oder Trapez-Zugehörigkeitsfunktionen, modelliert werden.
  • Gemäß einer Ausführungsform umfasst das Verfahren weiter das Ermitteln der Basisereignisse für das technische System. Beim Ermitteln der Basisereignisse kann vorteilhafterweise ein jeweiliges Basisereignis durch Anwenden der Fuzzy-Logik durch Begriffe wie Ähnlichkeit, Unsicherheit, Präferenz und linguistische Variablen modelliert werden. Dabei werden die Begriffe als geeignete numerische Werte dargestellt.
  • Gemäß einer Ausführungsform umfasst wenigstens eine erste und eine zweite redundante Komponente des technischen Systems eine Missionszeit, und das Verfahren umfasst weiter ein Überwachen der Missionszeit der ersten und der zweiten redundanten Komponente. Unter einer Missionszeit wird dabei eine vorgegebene Zeitdauer verstanden, zu der eine jeweilige Komponente ihre Funktion erfüllen soll. Die Missionszeiten von redundanten Komponenten können dabei unterschiedlich sein. Beispielsweise kann die erste Komponente eine längere Missionszeit aufweisen als die zweite redundante Komponente. Üblicherweise wird die erste Komponente mit der längeren Missionszeit in einem Normalbetrieb des technischen Systems verwendet. Die zweite Komponente mit der kürzeren Missionszeit wird beispielsweise verwendet, wenn ein Fehler und/oder ein Ausfallzustand der ersten Komponente detektiert wird. Auf diese Weise kann das technische Systems trotz des Ausfalls einer Komponente weiter im Normalbetrieb betrieben werden. Daher erweist es sich als vorteilhaft, das Verfahren zum Ermitteln der Zuverlässigkeit durch die Überwachen der Missionszeiten zu ergänzen.
  • Das Überwachen der Missionszeiten kann insbesondere durch Programmieren der UND-und/oder ODER Gatter implementiert werden.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf eine Vorrichtung, umfassend wenigstens eine Recheneinrichtung, wobei die Recheneinrichtung zum Ausführen eines Verfahrens gemäß den Ausführungsformen ausgebildet ist. Vorteilhafterweise ist die Vorrichtung in das zu überwachende technische System integriert, sodass das Verfahren in Echtzeit eingebettet in der Laufzeitumgebung des technischen Systems ausgeführt werden kann.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein Computerprogramm, wobei das Computerprogramm computerlesbare Instruktionen umfasst bei deren Ausführung durch einen Computer ein Verfahren gemäß den Ausführungsformen ausgeführt wird.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein Computerprogrammprodukt, wobei das Computerprogrammprodukt ein computerlesbares Speichermedium umfasst, auf dem das Computerprogramm gemäß den Ausführungsformen gespeichert ist.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf eine Verwendung eines Verfahrens gemäß den Ausführungsformen und/oder einer Vorrichtung gemäß den Ausführungsformen und/oder eines Computerprogramms gemäß den Ausführungsformen und/oder eines Computerprogrammprodukts gemäß den Ausführungsformen zum Testen eines technischen Systems, insbesondere einer Software, einer Hardware oder eines eingebetteten Systems auf sicherheitsrelevante Anforderungen, durch Ermitteln einer Zuverlässigkeit des technischen Systems, wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten umfasst, wobei Ausfallzustände einzelner Komponenten des Systems als Basisereignisse und der Gesamtausfall des technischen Systems als Top-Ereignis in einer Fehlerbaumanalyse des technischen Systems repräsentiert werden
  • Bei bevorzugten Ausführungsformen ist das technische System ein technisches System eines Kraftfahrzeugs, insbesondere ein Antriebsstrang eines Kraftfahrzeugs, insbesondere eines Elektrofahrzeugs. Bei den Komponenten des technischen Systems handelt es sich im Falle des Antriebsstrangs beispielsweise um Energiespeicher, insbesondere eine Batterie, Batteriemanagementsysteme, Inverter, Elektromotoren. In vielen technischen System sind diese Komponenten aus Anforderungen an Funktionalität, Sicherheit, Schutz und Zuverlässigkeit redundant ausgeführt.
  • Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in den Figuren der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in der Zeichnung.
  • In der Zeichnung zeigt:
    • 1 eine schematische Ansicht eines Fehlerbaums gemäß dem Stand der Technik
    • 2 eine schematische Darstellung von Schritten eines Verfahrens gemäß einer Ausführungsform in einem Flussdiagramm;
    • 3 eine schematische Darstellung eines Verfahrens gemäß einer Ausführungsform in einem Blockdiagramm;
    • 4 eine schematische Ansicht eines technischen Systems, und
    • 5 eine schematische Darstellung einer Vorrichtung zur Ausführung eines Verfahrens gemäß den Ausführungsformen.
  • 1 zeigt in schematischer vereinfachter Darstellung einen konventionellen Fehlerbaum FB' eines technischen Systems. Der Fehlerbaum FB' umfasst beispielshaft fünf Basisereignisse B1', B2', B3', B4' und B5' deren Eintreten zu einem Eintreten eines Top-Ereignis TE' führen kann. Die Basisereignisse B1' und B2' sind gemäß der dargestellten Ausführungsform mit einem logischen UND-Gatter 10' verknüpft. Basisereignisse B4' und B5' sind mit einem logischen ODER-Gatter 12' verknüpft. Ferner sind die beiden Basisereignisse B4' und B5' mit dem Basisereignis B3' ebenfalls mit einem logischen ODER-Gatter 12' verknüpft. Die Basisereignisse B1', B2', B3', B4' und B5' repräsentieren Ausfallzustände einzelner Komponenten des technischen Systems, das Top-Ereignis TE' repräsentiert beispielsweise den Gesamtausfall des technischen Systems.
  • Die konventionelle Fehlerbaumanalyse basiert auf sequentiellem Lösen eines booleschen Gleichungssatzes, mit diskrete Eingangswahrscheinlichkeiten als Basisereignisse und diskrete Ausgangswahrscheinlichkeiten als Top-Ereignis. Die Anwendung dieses Ansatzes kann mitunter nachteilig bei der Analyse von redundanten Systemen sein. Beispielsweise können bei dem konventionellen Ansatz Probleme in der parallelen Auswertung von zeitabhängigen Basisereignissen auftreten.
  • Dieser Nachteil kann mit einem Verfahren 100 gemäß in den 2 und 3 dargestellten Ausführungsformen überwunden werden.
  • 2 ist eine schematische Darstellung von Schritten des Verfahrens 100 in einem Flussdiagramm.
  • 3 ist eine schematische Darstellung des Verfahrens 100 gemäß einer Ausführungsform in einem Blockdiagramm.
  • Das Verfahren 100 gemäß den Ausführungsformen wird angewendet zum Ermitteln einer Zuverlässigkeit eines technischen Systems, insbesondere einer Software, einer Hardware oder eines eingebetteten Systems, wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten umfasst. Ausfallzustände der einzelnen Komponenten des technischen Systems werden als Basisereignisse und der Gesamtausfall des technischen Systems wird als Top-Ereignis in einer Fehlerbaumanalyse des technischen Systems repräsentiert. Die in 3 schematisch dargestellte Ausführungsform umfasst die Basisereignisse B1, B2, B3 und B4 und das Top-Ereignis TE. Die Basisereignisse B1 und B2, sowie die Basisereignisse B3 und B4 sind jeweils durch ein logisches ODER-Gatter 12 verknüpft. Zur Modellierung der Redundanz zwischen den Basisereignissen B1, B2 und B3, B4 sind diese weiter durch ein logisches UND-Gatter 10 miteinander verknüpft. Jedes Basisereignis B1, B2, B3, B4 umfasst eine Fuzzy-Zugehörigkeitsfunktion ZF1, ZF2, ZF3, ZF4.
  • Das Verfahren 100 umfasst die folgenden Schritte:
    • In einem Schritt 100 werden logischen Verknüpfungen zwischen den Basisereignissen B1, B2, B3 und B4, insbesondere unter Verwendungen von programmierbaren und zeitabhängigen UND und/oder ODER Gattern 10, 12 modelliert.
  • In einem Schritt 120 werden die Basisereignisse B1, B2, B3, B4 zeitlich synchronisiert.
  • In einem Schritt 130 wird eine Fuzzy-Zugehörigkeitsfunktion des Top-Ereignisses TE basierend auf den synchronisierten Basisereignissen B1, B2, B3, B4 ermittelt. Die Eintrittswahrscheinlichkeit des Top-Ereignisse TE kann dann von der Fuzzy-Zugehörigkeitsfunktion abgeleitet werden.
  • Gemäß der dargestellten Ausführungsform wird eine Redundanz zwischen wenigstens zwei Basisereignissen B1, B2 und B3, B4 durch das UND-Gatter 10 modelliert.
  • Gemäß der dargestellten Ausführungsform erfolgt das zeitliche Synchronisieren basierend auf einer numerischen Methode gemäß dem Runge-Kutta-Schema.
  • Gemäß der dargestellten Ausführungsform umfasst das Verfahren 100 einen Schritt 140 zum Modellieren der Fuzzy-Zugehörigkeitsfunktionen der Basisereignisse B1, B2, B3, B4 durch eine zeitabhängige Fuzzy-Zugehörigkeitsfunktion ZF1, ZF2, ZF3, ZF4, insbesondere eine Dreiecks- oder Trapez-Zugehörigkeitsfunktion ZF1, ZF2, ZF3, ZF4. Die Werte der Fuzzy-Zugehörigkeitsfunktion können sich dabei zeitabhängig ändern.
  • Gemäß der dargestellten Ausführungsform umfasst das Verfahren 100 weiter einen Schritt 150 zum Ermitteln der Basisereignisse B1, B2, B3, B4 für das technische System.
  • Gemäß der dargestellten Ausführungsform umfasst das Verfahren 100 weiter einen Schritt 160 zum Überwachen von Missionszeiten von redundanten Komponenten des technischen Systems 200. Dieser Schritt wird nachstehend unter Bezugnahme auf 4 erläutert.
  • 4 zeigt eine schematische Ansicht eines technischen Systems 200 bei dem das Verfahren 100 gemäß den Ausführungsformen angewendet werden kann.
  • Das technische System 200 ist beispielhaft ein technisches System eines Kraftfahrzeugs, beispielsweise der Antriebsstrang eines Kraftfahrzeugs, insbesondere eines Elektrofahrzeugs.
  • Bei den Komponenten des technischen System 200 handelt es beispielhaft um zwei Energiespeicher ES1 und ES2, insbesondere Batterien und um zwei Inverter INV1 und INV2 sowie einen Elektromotor EM. Gemäß der dargestellten Ausführungsform sind die Komponenten ES1, ES2 und INV1 und INV1, beispielweise um Anforderungen an Funktionalität, Sicherheit, Schutz und Zuverlässigkeit zu erfüllen, redundant ausgeführt.
  • Damit ergibt sich der durch die gestrichelte Linie in 4 dargestellte Redundanzpfad RP.
  • Jede der Komponenten umfasst eine Ausfallwahrscheinlichkeit. Diese wird durch das vorstehende beschriebene Verfahren durch die Fuzzy-Zugehörigkeitsfunktion ZF1, ZF2, ZF3, ZF der Basisereignisse B1, B2, B3, B4 repräsentiert.
  • Weiter können die Komponenten des technischen Systems 200 eine Missionszeit umfassen. Gemäß einer Ausführungsform umfasst wenigstens eine erste und eine zweite redundante Komponente des technischen Systems eine Missionszeit. Unter einer Missionszeit wird dabei eine vorgegebene Zeitdauer verstanden, zu der eine jeweilige Komponente ihre Funktion erfüllen soll. Die Missionszeiten von redundanten Komponenten können dabei unterschiedlich sein. Beispielsweise kann der Energiespeicher ES1 eine längere Missionszeit aufweisen als der Energiespeicher ES2. Üblicherweise wird der erste Energiespeicher ES1 mit der längeren Missionszeit in einem Normalbetrieb des technischen Systems 200 verwendet. Der zweite Energiespeicher ES2 mit der kürzeren Missionszeit wird beispielsweise verwendet, wenn ein Fehler und/oder ein Ausfallzustand des ersten Energiespeichers detektiert wird. Auf diese Weise kann das technische Systems trotz des Ausfalls einer Komponente weiter im Normalbetrieb betrieben werden. Daher erweist es sich als vorteilhaft, das Verfahren 100 zum Ermitteln der Zuverlässigkeit durch die Überwachen der Missionszeiten zu ergänzen, vgl. Schritt 160 in 2.
  • 5 zeigt in schematischer Darstellung einer Vorrichtung 300 zur Ausführung eines Verfahrens 100 gemäß den Ausführungsformen.
  • Die Vorrichtung 300 weist eine Recheneinrichtung 310 auf, der beispielsweise eine Speichereinrichtung 320 zugeordnet sein kann, insbesondere zur zumindest zeitweisen Speicherung wenigstens eines Computerprogramms und/oder von Daten, insbesondere mittels der Recheneinrichtung 310 zu verarbeitenden Daten. Weiter bevorzugt kann in der Speichereinrichtung 320 ein Computerprogramm PRG1 abgelegt sein zur zumindest zeitweisen Steuerung eines Betriebs der Vorrichtung 300, insbesondere zur Ausführung des Verfahrens 100 gemäß den Ausführungsformen.
  • Bei der Recheneinrichtung 310 handelt es sich beispielsweise um einen Mikroprozessor. Die Speichereinrichtung 320 umfasst wenigstens eines der folgenden Elemente: einen flüchtigen Speicher, insbesondere Arbeitsspeicher (RAM), einen nichtflüchtigen Speicher, insbesondere Flash-Speicher.
  • Vorteilhafterweise ist die Vorrichtung 300 in das zu überwachende technische System 200 integriert, sodass das Verfahren 100 in Echtzeit eingebettet in der Laufzeitumgebung des technischen Systems 200 ausgeführt werden kann.

Claims (11)

  1. Computerimplementiertes Verfahren (100) zum Ermitteln der Zuverlässigkeit eines technischen Systems (200) in Echtzeit, insbesondere einer Software, einer Hardware oder eines eingebetteten Systems, wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten (ES1, ES2, INV1, INV2) umfasst, wobei mögliche Ausfallzustände einzelner Komponenten (ES1, ES2, INV1, INV2) des technischen Systems (200) als Basisereignisse (B1, B2, B3, B4) und ein unerwünschtes Ereignis als ein an einer Spitzes eines Fehlerbaum stehendes Top-Ereignis (TE) in einer Fehlerbaumanalyse des technischen Systems (200) repräsentiert werden, wobei jedes Basisereignis (B1, B2, B3, B4) eine Fuzzy-Zugehörigkeitsfunktion (ZF1, ZF2, ZF3, ZF4) umfasst, das Verfahren (100) umfassend die folgenden Schritte: Modellieren (110) von logischen Verknüpfungen zwischen den Basisereignissen (B1, B2, B3, B4), insbesondere unter Verwendung von programmierbaren und zeitabhängigen UND und/oder ODER Gattern (10, 12); Zeitliches Synchronisieren (120) der Basisereignisse (B1, B2, B3, B4), und Ermitteln (130) einer Fuzzy-Zugehörigkeitsfunktion des Top-Ereignisses (TE) des technischen Systems basierend auf den synchronisierten Basisereignissen (B1, B2, B3, B4).
  2. Verfahren (100) nach Anspruch 1, wobei eine Redundanz zwischen wenigstens zwei Basisereignissen (B1, B2; B3, B4) durch ein UND-Gatter (10) oder ein ODER-Gatter (12) modelliert wird.
  3. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei das zeitliche Synchronisieren (120) basierend auf einer numerischen Methode gemäß dem Runge-Kutta-Schema erfolgt.
  4. Verfahren (100) nach Anspruch 3, wobei die numerische Methode gemäß dem Runge-Kutta-Schema unter Verwendung eines dynamischen Filters, insbesondere eines FxLMS, Filtered Least mean squared, Filters, dynamisch angepasst wird.
  5. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei die Fuzzy-Zugehörigkeitsfunktionen (ZF1, ZF2, ZF3, ZF4) der Basisereignisse (B1, B2, B3, B4) als zeitabhängige Fuzzy-Zugehörigkeitsfunktionen (ZF1, ZF2, ZF3, ZF4), insbesondere Dreiecks- oder Trapez-Zugehörigkeitsfunktionen (ZF1, ZF2, ZF3, ZF4), modelliert werden (140).
  6. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei das Verfahren (100) weiter umfasst: Ermitteln (150) der Basisereignisse für das technische System.
  7. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei wenigstens eine erste und eine zweite redundante Komponente des technischen Systems (200) eine Missionszeit umfasst, und das Verfahren (100) weiter umfasst: Überwachen der Missionszeiten der ersten und der zweiten redundanten Komponente.
  8. Vorrichtung (300), umfassend wenigstens eine Recheneinrichtung (210), wobei die Recheneinrichtung (210) zum Ausführen eines Verfahrens (100) nach einem der Ansprüche 1 bis 7 ausgebildet ist.
  9. Computerprogramm (PRG1), wobei das Computerprogramm computerlesbare Instruktionen umfasst bei deren Ausführung durch einen Computer ein Verfahren (100) nach einem der Ansprüche 1 bis 7 ausgeführt wird.
  10. Computerprogrammprodukt, wobei das Computerprogrammprodukt ein computerlesbares Speichermedium umfasst, auf dem das Computerprogramm (PRG1) nach Anspruch 9 gespeichert ist.
  11. Verwendung eines Verfahrens (100) nach einem der Ansprüche 1 bis 7 und/oder einer Vorrichtung (300) nach Anspruch 8 und/oder eines Computerprogramms nach Anspruch 9 und/oder eines Computerprogrammprodukts nach Anspruch 10 zum Testen eines technischen Systems (200), insbesondere einer Software, einer Hardware oder eines eingebetteten Systems, auf sicherheitsrelevante Anforderungen, durch Ermitteln einer Zuverlässigkeit des technischen Systems (200), wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten (ES1, ES2, INV1, INV2) umfasst, wobei Ausfallzustände einzelner Komponenten (ES1, ES2, INV1, INV2) des technischen Systems (200) als Basisereignisse (B1, B2, B3, B4) und der Gesamtausfall des technischen Systems (200) als Top-Ereignis (TE) in einer Fehlerbaumanalyse des technischen Systems (200) repräsentiert werden.
DE102020202514.2A 2020-02-27 2020-02-27 Verfahren zum Ermitteln einer Zuverlässigkeit eines technischen Systems Pending DE102020202514A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020202514.2A DE102020202514A1 (de) 2020-02-27 2020-02-27 Verfahren zum Ermitteln einer Zuverlässigkeit eines technischen Systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020202514.2A DE102020202514A1 (de) 2020-02-27 2020-02-27 Verfahren zum Ermitteln einer Zuverlässigkeit eines technischen Systems

Publications (1)

Publication Number Publication Date
DE102020202514A1 true DE102020202514A1 (de) 2021-09-02

Family

ID=77271350

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020202514.2A Pending DE102020202514A1 (de) 2020-02-27 2020-02-27 Verfahren zum Ermitteln einer Zuverlässigkeit eines technischen Systems

Country Status (1)

Country Link
DE (1) DE102020202514A1 (de)

Similar Documents

Publication Publication Date Title
EP1020815A2 (de) Vorrichtung und Verfahren zur automatischen Diagnose eines technischen Systems mit effizienter Wiederverwendung von Informationen
DE102004024262A1 (de) Wissensbasiertes Diagnosesystem für ein komplexes technisches System mit zwei getrennten Wissensbasen zur Verarbeitung technischer Systemdaten und zur Verarbeitung von Kundenbeanstandungen
DE60131474T2 (de) Wartungsmeldung auf Basis der Fahrparameter eines Aufzugs
WO1998040796A1 (de) Verfahren zur rechnergestützten fehleranalyse von sensoren und/oder aktoren in einem technischen system
EP3876061A1 (de) Verfahren zur validierung und auswahl auf maschinellem lernen basierender modelle zur zustandsüberwachung einer maschine
EP3876060A1 (de) Verfahren und recheneinheit zur ursachenanalyse eines anomalen zustandes einer maschine
DE102018209108A1 (de) Schnelle Fehleranalyse für technische Vorrichtungen mit maschinellem Lernen
DE102020202514A1 (de) Verfahren zum Ermitteln einer Zuverlässigkeit eines technischen Systems
WO2020249169A1 (de) Verfahren zum sicherstellen und aufrechterhalten der funktion eines sicherheitskritischen gesamtsystems
DE102020206325A1 (de) Computerimplementiertes Verfahren zum Testen eines technischen Systems
EP3617912A1 (de) Verfahren und vorrichtung zum rechnergestützten generieren einer komponente für ein technisches system
EP3779619B1 (de) Verfahren und vorrichtung zur bestimmung emergenter risiken eines technischen systems
EP2712429A1 (de) Ansteuerung eines technischen systems
DE102020211710A1 (de) Verfahren, Vorrichtung und Computerprogramm zum Testen eines technischen Systems anhand eines Modells
DE102020201600A1 (de) Verfahren zum Ermitteln von Prioritäten von Basisereignissen in einer Fehlerbaumanalyse eines technischen Systems
WO2021089499A1 (de) Verfahren und system zum prüfen einer automatisierten fahrfunktion durch reinforcement-learning
EP3907574A1 (de) Verfahren zur generierung von einer erklärung zu einer vorgenommenen entscheidung eines fertigungssteuerungssystems
DE102008004219A1 (de) Verfahren zum Behandeln mindestens eines Fehlers innerhalb eines Systems
DE102014105109A1 (de) Verfahren und Vorrichtung zum Erzeugen und Abarbeiten von Testfällen
AT522186B1 (de) Computerimplementiertes Verfahren zur rechnergestützten Erzeugung eines ausführbaren Steuerungsprogramms zur Steuerung und/oder Regelung eines technischen Prozesses
WO1999038024A1 (de) Verfahren zur computergestützten optimierung von prüfspezifikationen und minimierung von prüfsoftware
EP3770709B1 (de) Verfahren zum betrieb einer automatisierten technischen anlage
EP2756361A1 (de) Ansteuerung einer maschine
DE10228142B4 (de) System zur Sicherung von Softwarekomponenten und/oder Computerprogrammen
DE102019214162A1 (de) Verfahren und Vorrichtung zum Simulieren eines Steuergerätes