-
Stand der Technik
-
Die Offenbarung betrifft ein Verfahren zum Ermitteln der Zuverlässigkeit eines technischen Systems, insbesondere einer Software, einer Hardware oder eines eingebetteten Systems, wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten umfasst, wobei Ausfallzustände einzelner Komponenten des Systems als Basisereignisse und der Gesamtausfall des technischen Systems als Top-Ereignis in einer Fehlerbaumanalyse des technischen Systems repräsentiert werden.
-
Die Fehlerbaumanalyse (engl. Fault Tree Analysis, FTA) ist eine bekannte Methode zur Analyse der Fehlerlogik eines Systems und zur Berechnung der Gesamtzuverlässigkeit.
-
Im Rahmen der Fehlerbaumanalyse wird üblicherweise sogenannte negative Logik verwendet, d. h. der Fehlerbaum beschreibt eine Ausfallsfunktion, die bei dem Zustand logisch-1 einen Ausfall ausdrückt, bei logisch-0 liegt ein funktionsfähiges System vor. Da sich die Fehlerbaumanalyse der Booleschen Algebra bedient, kann sich das Gesamtsystem sowie Teilsysteme und einzelne Komponenten jeweils nur in den beiden Zuständen „funktionsfähig“ (logisch-0) oder „ausgefallen“ (logisch-1) befinden.
-
Die Fehlerbaumanalyse geht von einem einzigen unerwünschten Ereignis, aus, welches an der Spitze des Fehlerbaums steht, das sogenannte Top-Ereignis, welches beispielsweise den Gesamtausfall des Systems beschreibt und im Rahmen einer Gefahrenanalyse ermittelt wird.
-
Ausgehend von diesem Top-Ereignis wird der Fehlerbaum in einer Top-down Analyse bis zu den einzelnen Ausfallzuständen der Komponenten erstellt. Bei komplexeren Systemen erfolgt die Unterteilung in Subsysteme, welche analog weiter unterteilt werden, bis das komplette System in Form von nicht mehr weiter unterteilbaren Minimalschnitten in Form von Basisereignissen abgebildet ist. Die Ausfallkombinationen im Fehlerbaum werden mit der booleschen Algebra und deren Symbolen, insbesondere dem UND und ODER, logisch verknüpft.
-
Im einfachsten Fall werden Komponenten eines Systems, welche in ihrer Funktionsfähigkeit voneinander abhängen, durch die logische ODER-Funktion verknüpft. In diesem Fall führt bereits der Ausfall einer Komponente zu einem Ausfall des gesamten Systems. Komponenten, die sich wechselseitig in der Funktion ersetzen können (Redundanz), werden durch die UND-Funktion im Fehlerbaum verknüpft.
-
Die Fehlerbaumanalyse basiert auf sequentiellem Lösen eines booleschen Gleichungssatzes, mit diskrete Eingangswahrscheinlichkeiten als Basisereignis und diskrete Ausgangswahrscheinlichkeiten als Top-Ereignis. Die Anwendung dieses Ansatzes kann mitunter nachteilig bei der Analyse von redundanten Systemen sein. In der konventionellen Fehlerbaumanalyse werden die Ausfallwahrscheinlichkeiten als exakter Wert, d.h. als einzelner Schätzwert oder fester Wert, betrachtet. Es kann jedoch mitunter schwierig sein, eine exakte Ausfallrate der Komponenten abzuschätzen, wenn beispielsweise keine ausreichenden Daten oder vage Charakteristika der Ereignisse vorliegen. Dies kann insbesondere in der Entwurfsphase von entscheidender Bedeutung sein, wenn die Details der Komponenten möglicherweise noch nicht feststehen und somit eine genaue Ausfallrate nicht bekannt ist.
-
Offenbarung der Erfindung
-
Die Offenbarung betrifft ein computerimplementiertes Verfahren zum Ermitteln der Zuverlässigkeit eines technischen Systems in Echtzeit, insbesondere einer Software, einer Hardware oder eines eingebetteten Systems, wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten umfasst, wobei mögliche Ausfallzustände einzelner Komponenten des technischen Systems als Basisereignisse und ein unerwünschtes Ereignis als ein an einer Spitzes eines Fehlerbaum stehendes Top-Ereignis in einer Fehlerbaumanalyse des technischen Systems repräsentiert werden, wobei jedes Basisereignis eine Fuzzy-Zugehörigkeitsfunktion umfasst, das Verfahren umfassend die folgenden Schritte:
- Modellieren von logischen Verknüpfungen zwischen den Basisereignissen, insbesondere unter Verwendungen von programmierbaren und zeitabhängigen UND und/oder ODER Gattern;
- Zeitliches Synchronisieren der Basisereignisse, und
- Ermitteln einer Fuzzy-Zugehörigkeitsfunktion des Top-Ereignisses des technischen Systems basierend auf den synchronisierten Basisereignissen.
-
Es wird also vorgeschlagen, die Basisereignisse zeitlich zu synchronisieren und so eine Zeitabhängigkeit der Basisereignisse zu berücksichtigen, und die Fuzzy-Zugehörigkeitsfunktion des Top-Ereignisses des technischen Systems basierend auf den synchronisierten Basisereignissen in Echtzeit zu ermitteln. Aus der Fuzzy-Zugehörigkeitsfunktion kann dann eine Eintrittswahrscheinlichkeit des Top-Ereignisse abgeleitet werden.
-
Mit einem programmierbaren Gatter können insbesondere arithmetische Operationen wie zum Beispiel Addition, Multiplikation, realisiert werden. Zeitabhängig bedeutet in diesem Zusammenhang, dass das Gatter zu unterschiedlichen Zeitpunkten bzw. Zeitdauern unterschiedliche Funktionen annehmen kann. Insbesondere kann an Gatter zu einem Zeitpunkt eine UND Funktion annehmen und zu einem weiteren Zeitpunkt eine ODER Funktion annehmen.
-
Vorteilhafterweise kann dies unter Verwendung eines adäquaten parallelen Lösers, engl. parallel solver, zum Lösen von Differentialgleichungssystemen erfolgen.
-
Durch die Fuzzy-Zugehörigkeitsfunktion der Basisereignisse kann insbesondere eine Unschärfe des Auftretens der Basisereignisse graduell über numerische Werte zwischen 0 und 1 angegeben werden. Die Werte der Fuzzy-Zugehörigkeitsfunktion können sich dabei zeitabhängig ändern.
-
Dies spielt dahingehend eine Rolle, als dass es unzureichende Daten oft schwierig machen, die Wahrscheinlichkeit objektiv zu bestimmen. Daher werden menschliche Beurteilungen durch linguistische Variablen unerlässlich. Um die die Wahrscheinlichkeit von Ereignissen zu beschreiben werden beispielsweise linguistische Ausdrücke wie „sehr niedrig, niedrig, hoch und ziemlich hoch“ verwendet. Diagnostische Verfahren basieren beispielsweise auf beobachteten analytischen, heuristischen Symptomen und dem heuristischen Wissen über den Prozess. Darunter fallen beispielsweise Beobachtungen, die beispielsweise durch Inspektion durch das Betriebspersonal in verschiedenen Formen, z.B. durch akustische Geräusche, gewonnen werden, wie zum Beispiel Schwingungen oder optische Eindrücke wie Farben oder Rauch. Häufig treten jedoch vage Symptome auf, die sich meist nur in Form von qualitativen Maßen oder linguistischen Variablen wie „wenig“, „mittel“ oder „viel“ ausdrücken lassen. Tatsächlich können herkömmliche mathematische Verfahren aufgrund ihrer Vagheit nicht effizient mit natürlichen sprachlichen Ausdrücken umgehen.
-
Das offenbarte Verfahren überwindet die Einschränkungen der konventionellen Fehlerbaumanalyse durch ein Anwenden der Fuzzy-Logik.
-
Das technische System umfasst redundante Komponenten. Die Redundanz zwischen wenigstens zwei Basisereignissen wird dann durch ein UND-Gatter oder ein ODER-Gatter modelliert.
-
Gemäß einer Ausführungsform kann es sich als vorteilhaft erweisen, wenn das zeitliche Synchronisieren basierend auf einer numerischen Methode gemäß dem Runge-Kutta-Schema erfolgt. Runge-Kutta-Methoden sind mehrstufige numerische Methoden zum Lösen von Differentialgleichungen. Herkömmliche Runge-Kutta-Methoden sind statisch und damit nicht echtzeittauglich.
-
Zum parallelen Lösen von Differentialgleichungen in Echtzeit erweist es sich daher als vorteilhaft die Runge-Kutta-Methode zu modifizieren. Vorteilhafterweise kann die Anzahl der Stufen dynamisch variiert werden. Weiter kann die Runge-Kutta-Methode durch eine dynamische Anpassung beschleunigt werden.
-
Die dynamische Anpassung der Runge-Kutta-Methode kann insbesondere unter Verwendung eines dynamischen Filters, insbesondere FxLMS Filters, realisiert werden. Durch die vorstehend beschriebene Anpassung kann die modifizierte Runge-Kutta-Methode insbesondere für Echtzeit Embedded Systeme verwendet werden.
-
Gemäß einer Ausführungsform kann es sich als vorteilhaft erweisen, wenn die Fuzzy-Zugehörigkeitsfunktionen der Basisereignisse als zeitabhängige Fuzzy-Zugehörigkeitsfunktionen, insbesondere Dreiecks- oder Trapez-Zugehörigkeitsfunktionen, modelliert werden.
-
Gemäß einer Ausführungsform umfasst das Verfahren weiter das Ermitteln der Basisereignisse für das technische System. Beim Ermitteln der Basisereignisse kann vorteilhafterweise ein jeweiliges Basisereignis durch Anwenden der Fuzzy-Logik durch Begriffe wie Ähnlichkeit, Unsicherheit, Präferenz und linguistische Variablen modelliert werden. Dabei werden die Begriffe als geeignete numerische Werte dargestellt.
-
Gemäß einer Ausführungsform umfasst wenigstens eine erste und eine zweite redundante Komponente des technischen Systems eine Missionszeit, und das Verfahren umfasst weiter ein Überwachen der Missionszeit der ersten und der zweiten redundanten Komponente. Unter einer Missionszeit wird dabei eine vorgegebene Zeitdauer verstanden, zu der eine jeweilige Komponente ihre Funktion erfüllen soll. Die Missionszeiten von redundanten Komponenten können dabei unterschiedlich sein. Beispielsweise kann die erste Komponente eine längere Missionszeit aufweisen als die zweite redundante Komponente. Üblicherweise wird die erste Komponente mit der längeren Missionszeit in einem Normalbetrieb des technischen Systems verwendet. Die zweite Komponente mit der kürzeren Missionszeit wird beispielsweise verwendet, wenn ein Fehler und/oder ein Ausfallzustand der ersten Komponente detektiert wird. Auf diese Weise kann das technische Systems trotz des Ausfalls einer Komponente weiter im Normalbetrieb betrieben werden. Daher erweist es sich als vorteilhaft, das Verfahren zum Ermitteln der Zuverlässigkeit durch die Überwachen der Missionszeiten zu ergänzen.
-
Das Überwachen der Missionszeiten kann insbesondere durch Programmieren der UND-und/oder ODER Gatter implementiert werden.
-
Weitere bevorzugte Ausführungsformen beziehen sich auf eine Vorrichtung, umfassend wenigstens eine Recheneinrichtung, wobei die Recheneinrichtung zum Ausführen eines Verfahrens gemäß den Ausführungsformen ausgebildet ist. Vorteilhafterweise ist die Vorrichtung in das zu überwachende technische System integriert, sodass das Verfahren in Echtzeit eingebettet in der Laufzeitumgebung des technischen Systems ausgeführt werden kann.
-
Weitere bevorzugte Ausführungsformen beziehen sich auf ein Computerprogramm, wobei das Computerprogramm computerlesbare Instruktionen umfasst bei deren Ausführung durch einen Computer ein Verfahren gemäß den Ausführungsformen ausgeführt wird.
-
Weitere bevorzugte Ausführungsformen beziehen sich auf ein Computerprogrammprodukt, wobei das Computerprogrammprodukt ein computerlesbares Speichermedium umfasst, auf dem das Computerprogramm gemäß den Ausführungsformen gespeichert ist.
-
Weitere bevorzugte Ausführungsformen beziehen sich auf eine Verwendung eines Verfahrens gemäß den Ausführungsformen und/oder einer Vorrichtung gemäß den Ausführungsformen und/oder eines Computerprogramms gemäß den Ausführungsformen und/oder eines Computerprogrammprodukts gemäß den Ausführungsformen zum Testen eines technischen Systems, insbesondere einer Software, einer Hardware oder eines eingebetteten Systems auf sicherheitsrelevante Anforderungen, durch Ermitteln einer Zuverlässigkeit des technischen Systems, wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten umfasst, wobei Ausfallzustände einzelner Komponenten des Systems als Basisereignisse und der Gesamtausfall des technischen Systems als Top-Ereignis in einer Fehlerbaumanalyse des technischen Systems repräsentiert werden
-
Bei bevorzugten Ausführungsformen ist das technische System ein technisches System eines Kraftfahrzeugs, insbesondere ein Antriebsstrang eines Kraftfahrzeugs, insbesondere eines Elektrofahrzeugs. Bei den Komponenten des technischen Systems handelt es sich im Falle des Antriebsstrangs beispielsweise um Energiespeicher, insbesondere eine Batterie, Batteriemanagementsysteme, Inverter, Elektromotoren. In vielen technischen System sind diese Komponenten aus Anforderungen an Funktionalität, Sicherheit, Schutz und Zuverlässigkeit redundant ausgeführt.
-
Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in den Figuren der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in der Zeichnung.
-
In der Zeichnung zeigt:
- 1 eine schematische Ansicht eines Fehlerbaums gemäß dem Stand der Technik
- 2 eine schematische Darstellung von Schritten eines Verfahrens gemäß einer Ausführungsform in einem Flussdiagramm;
- 3 eine schematische Darstellung eines Verfahrens gemäß einer Ausführungsform in einem Blockdiagramm;
- 4 eine schematische Ansicht eines technischen Systems, und
- 5 eine schematische Darstellung einer Vorrichtung zur Ausführung eines Verfahrens gemäß den Ausführungsformen.
-
1 zeigt in schematischer vereinfachter Darstellung einen konventionellen Fehlerbaum FB' eines technischen Systems. Der Fehlerbaum FB' umfasst beispielshaft fünf Basisereignisse B1', B2', B3', B4' und B5' deren Eintreten zu einem Eintreten eines Top-Ereignis TE' führen kann. Die Basisereignisse B1' und B2' sind gemäß der dargestellten Ausführungsform mit einem logischen UND-Gatter 10' verknüpft. Basisereignisse B4' und B5' sind mit einem logischen ODER-Gatter 12' verknüpft. Ferner sind die beiden Basisereignisse B4' und B5' mit dem Basisereignis B3' ebenfalls mit einem logischen ODER-Gatter 12' verknüpft. Die Basisereignisse B1', B2', B3', B4' und B5' repräsentieren Ausfallzustände einzelner Komponenten des technischen Systems, das Top-Ereignis TE' repräsentiert beispielsweise den Gesamtausfall des technischen Systems.
-
Die konventionelle Fehlerbaumanalyse basiert auf sequentiellem Lösen eines booleschen Gleichungssatzes, mit diskrete Eingangswahrscheinlichkeiten als Basisereignisse und diskrete Ausgangswahrscheinlichkeiten als Top-Ereignis. Die Anwendung dieses Ansatzes kann mitunter nachteilig bei der Analyse von redundanten Systemen sein. Beispielsweise können bei dem konventionellen Ansatz Probleme in der parallelen Auswertung von zeitabhängigen Basisereignissen auftreten.
-
Dieser Nachteil kann mit einem Verfahren 100 gemäß in den 2 und 3 dargestellten Ausführungsformen überwunden werden.
-
2 ist eine schematische Darstellung von Schritten des Verfahrens 100 in einem Flussdiagramm.
-
3 ist eine schematische Darstellung des Verfahrens 100 gemäß einer Ausführungsform in einem Blockdiagramm.
-
Das Verfahren 100 gemäß den Ausführungsformen wird angewendet zum Ermitteln einer Zuverlässigkeit eines technischen Systems, insbesondere einer Software, einer Hardware oder eines eingebetteten Systems, wobei das technische System eine Vielzahl von, insbesondere technischen, Komponenten umfasst. Ausfallzustände der einzelnen Komponenten des technischen Systems werden als Basisereignisse und der Gesamtausfall des technischen Systems wird als Top-Ereignis in einer Fehlerbaumanalyse des technischen Systems repräsentiert. Die in 3 schematisch dargestellte Ausführungsform umfasst die Basisereignisse B1, B2, B3 und B4 und das Top-Ereignis TE. Die Basisereignisse B1 und B2, sowie die Basisereignisse B3 und B4 sind jeweils durch ein logisches ODER-Gatter 12 verknüpft. Zur Modellierung der Redundanz zwischen den Basisereignissen B1, B2 und B3, B4 sind diese weiter durch ein logisches UND-Gatter 10 miteinander verknüpft. Jedes Basisereignis B1, B2, B3, B4 umfasst eine Fuzzy-Zugehörigkeitsfunktion ZF1, ZF2, ZF3, ZF4.
-
Das Verfahren 100 umfasst die folgenden Schritte:
- In einem Schritt 100 werden logischen Verknüpfungen zwischen den Basisereignissen B1, B2, B3 und B4, insbesondere unter Verwendungen von programmierbaren und zeitabhängigen UND und/oder ODER Gattern 10, 12 modelliert.
-
In einem Schritt 120 werden die Basisereignisse B1, B2, B3, B4 zeitlich synchronisiert.
-
In einem Schritt 130 wird eine Fuzzy-Zugehörigkeitsfunktion des Top-Ereignisses TE basierend auf den synchronisierten Basisereignissen B1, B2, B3, B4 ermittelt. Die Eintrittswahrscheinlichkeit des Top-Ereignisse TE kann dann von der Fuzzy-Zugehörigkeitsfunktion abgeleitet werden.
-
Gemäß der dargestellten Ausführungsform wird eine Redundanz zwischen wenigstens zwei Basisereignissen B1, B2 und B3, B4 durch das UND-Gatter 10 modelliert.
-
Gemäß der dargestellten Ausführungsform erfolgt das zeitliche Synchronisieren basierend auf einer numerischen Methode gemäß dem Runge-Kutta-Schema.
-
Gemäß der dargestellten Ausführungsform umfasst das Verfahren 100 einen Schritt 140 zum Modellieren der Fuzzy-Zugehörigkeitsfunktionen der Basisereignisse B1, B2, B3, B4 durch eine zeitabhängige Fuzzy-Zugehörigkeitsfunktion ZF1, ZF2, ZF3, ZF4, insbesondere eine Dreiecks- oder Trapez-Zugehörigkeitsfunktion ZF1, ZF2, ZF3, ZF4. Die Werte der Fuzzy-Zugehörigkeitsfunktion können sich dabei zeitabhängig ändern.
-
Gemäß der dargestellten Ausführungsform umfasst das Verfahren 100 weiter einen Schritt 150 zum Ermitteln der Basisereignisse B1, B2, B3, B4 für das technische System.
-
Gemäß der dargestellten Ausführungsform umfasst das Verfahren 100 weiter einen Schritt 160 zum Überwachen von Missionszeiten von redundanten Komponenten des technischen Systems 200. Dieser Schritt wird nachstehend unter Bezugnahme auf 4 erläutert.
-
4 zeigt eine schematische Ansicht eines technischen Systems 200 bei dem das Verfahren 100 gemäß den Ausführungsformen angewendet werden kann.
-
Das technische System 200 ist beispielhaft ein technisches System eines Kraftfahrzeugs, beispielsweise der Antriebsstrang eines Kraftfahrzeugs, insbesondere eines Elektrofahrzeugs.
-
Bei den Komponenten des technischen System 200 handelt es beispielhaft um zwei Energiespeicher ES1 und ES2, insbesondere Batterien und um zwei Inverter INV1 und INV2 sowie einen Elektromotor EM. Gemäß der dargestellten Ausführungsform sind die Komponenten ES1, ES2 und INV1 und INV1, beispielweise um Anforderungen an Funktionalität, Sicherheit, Schutz und Zuverlässigkeit zu erfüllen, redundant ausgeführt.
-
Damit ergibt sich der durch die gestrichelte Linie in 4 dargestellte Redundanzpfad RP.
-
Jede der Komponenten umfasst eine Ausfallwahrscheinlichkeit. Diese wird durch das vorstehende beschriebene Verfahren durch die Fuzzy-Zugehörigkeitsfunktion ZF1, ZF2, ZF3, ZF der Basisereignisse B1, B2, B3, B4 repräsentiert.
-
Weiter können die Komponenten des technischen Systems 200 eine Missionszeit umfassen. Gemäß einer Ausführungsform umfasst wenigstens eine erste und eine zweite redundante Komponente des technischen Systems eine Missionszeit. Unter einer Missionszeit wird dabei eine vorgegebene Zeitdauer verstanden, zu der eine jeweilige Komponente ihre Funktion erfüllen soll. Die Missionszeiten von redundanten Komponenten können dabei unterschiedlich sein. Beispielsweise kann der Energiespeicher ES1 eine längere Missionszeit aufweisen als der Energiespeicher ES2. Üblicherweise wird der erste Energiespeicher ES1 mit der längeren Missionszeit in einem Normalbetrieb des technischen Systems 200 verwendet. Der zweite Energiespeicher ES2 mit der kürzeren Missionszeit wird beispielsweise verwendet, wenn ein Fehler und/oder ein Ausfallzustand des ersten Energiespeichers detektiert wird. Auf diese Weise kann das technische Systems trotz des Ausfalls einer Komponente weiter im Normalbetrieb betrieben werden. Daher erweist es sich als vorteilhaft, das Verfahren 100 zum Ermitteln der Zuverlässigkeit durch die Überwachen der Missionszeiten zu ergänzen, vgl. Schritt 160 in 2.
-
5 zeigt in schematischer Darstellung einer Vorrichtung 300 zur Ausführung eines Verfahrens 100 gemäß den Ausführungsformen.
-
Die Vorrichtung 300 weist eine Recheneinrichtung 310 auf, der beispielsweise eine Speichereinrichtung 320 zugeordnet sein kann, insbesondere zur zumindest zeitweisen Speicherung wenigstens eines Computerprogramms und/oder von Daten, insbesondere mittels der Recheneinrichtung 310 zu verarbeitenden Daten. Weiter bevorzugt kann in der Speichereinrichtung 320 ein Computerprogramm PRG1 abgelegt sein zur zumindest zeitweisen Steuerung eines Betriebs der Vorrichtung 300, insbesondere zur Ausführung des Verfahrens 100 gemäß den Ausführungsformen.
-
Bei der Recheneinrichtung 310 handelt es sich beispielsweise um einen Mikroprozessor. Die Speichereinrichtung 320 umfasst wenigstens eines der folgenden Elemente: einen flüchtigen Speicher, insbesondere Arbeitsspeicher (RAM), einen nichtflüchtigen Speicher, insbesondere Flash-Speicher.
-
Vorteilhafterweise ist die Vorrichtung 300 in das zu überwachende technische System 200 integriert, sodass das Verfahren 100 in Echtzeit eingebettet in der Laufzeitumgebung des technischen Systems 200 ausgeführt werden kann.