-
Die vorliegende Erfindung betrifft die Fehlerbaumanalyse zur Vorhersage der Wahrscheinlichkeit, mit der in einem technischen System mindestens ein unerwünschtes Ereignis eintritt, welches durch ein oder mehrere Basisereignisse verursacht werden kann.
-
Stand der Technik
-
Bei technischen Systemen, deren Fehlfunktion zu schwerwiegenden Sach- oder Personenschäden führen kann, ist es häufig notwendig, die Zuverlässigkeit vor der Aufnahme des Betriebes quantitativ zu beurteilen.
-
Ein standardisiertes Verfahren zur Beurteilung der Gesamt-Zuverlässigkeit eines nicht redundanten Systems, das aus einer Vielzahl von Funktionseinheiten zusammengesetzt ist, ist die Fehlerbaumanalyse (Fault Tree Analysis, FTA). Für die Zwecke dieser Analyse wird das technische System als baumartige logische Verknüpfung von verursachenden Ereignissen modelliert, die in einem unerwünschten Ereignis („Systemversagen“) kulminieren können. „Baumartig“ bedeutet, dass beispielsweise das Systemversagen eintritt, wenn eine bestimmte logische Verknüpfung von Ereignissen wahr ist, wobei diese Ereignisse wiederum logische Verknüpfungen untergeordneter Ereignisse sein können. Die verursachenden Ereignisse umfassen Fehlfunktionen einzelner Funktionseinheiten.
-
Aus der
DE 10 2018 203 374 A1 ist ein Verfahren zur Fehlerbaumanalyse für technische Systeme bekannt, bei dem ein fraktaler Graph als Fehlerbaum aufgestellt wird.
-
Offenbarung der Erfindung
-
Die Erfindung stellt ein Verfahren zur Vorhersage der Wahrscheinlichkeit, mit der in einem technischen System mindestens ein unerwünschtes Ereignis eintritt, bereit.
-
Das Verfahren beginnt damit, dass ein Fehlerbaum des technischen Systems bereitgestellt wird. Dieser Fehlerbaum gibt das logische Zusammenwirken von Basisereignissen an, die einzeln oder in Kombination eine Ursache dafür setzen können, dass das unerwünschte Ereignis in dem technischen System auftritt. Der Fehlerbaum gibt auch Basis-Wahrscheinlichkeiten an, mit denen die Basisereignisse jeweils eintreten. Das logische Zusammenwirken der Basisereignisse bis hin zum möglichen Eintritt des unerwünschten Ereignisses ist durch eine Konfiguration des technischen Systems ist durch eine Konfiguration des technischen Systems festgelegt. Diese Konfiguration kann insbesondere beispielsweise logische Abhängigkeiten und Wirkmechanismen festlegen, inwieweit das Zusammenwirken mehrerer Basisereignisse, eventuell noch über eine oder mehrere Zwischenstufen, letztlich zum Eintritt des unerwünschten Ereignisses führt.
-
Die in dem Fehlerbaum verknüpften Basis-Ereignisse können als Knoten eines Graphen angesehen werden. Die logischen Verknüpfungen zwischen diesen Basis-Ereignissen korrespondieren zu logischen Gattern. Entsprechend der logischen Verknüpfungen sind die Knoten des Graphen durch Kanten verbunden. Die konkrete Art der logischen Gatter kann sich beispielsweise in Gewichten manifestieren, mit denen die Kanten belegt sind. Die logischen Gatter können aber auch beispielsweise weitere Knoten in dem Graphen bereitstellen.
-
Aus der Darstellung des Fehlerbaums als Graph wird eine Laplace-Matrix L ermittelt. Diese Laplace-Matrix L enthält auf ihrer Diagonalen die Grade der Knoten, die die Anzahl der Verbindungen des jeweiligen Knoten zu anderen Knoten angibt. Die Nichtdiagonalelemente der Laplace-Matrix L geben die Adjazenzen der Knoten zueinander an. Die Adjazenz kann insbesondere eine Aussage beinhalten, ob zwischen zwei gegebenen Knoten eine Verbindung besteht, und diese Verbindung kann optional auch gewichtet sein.
-
Die Matrixelemente der Laplace-Matrix L werden nach einem vorgegebenen Kriterium binär gefiltert. Das heißt, jedes Matrixelement wird anhand des Kriteriums geprüft und dann binär danach klassifiziert, ob es diese Bedingung erfüllt oder eben nicht. Das vorgegebene Kriterium ist so gewählt, dass diejenigen Matrixelemente, die es erfüllen, zu Knoten und Verbindungen im Graphen korrespondieren, über die potentiell im unerwünschten Ereignis kulminierende Fehlerkaskaden führen können. Eine solche Fehlerkaskade kann sich in einer Darstellung der Laplace-Matrix L insbesondere beispielsweise als ein Pfad manifestieren, der ausgehend von einem Matrixelement in der ersten Zeile oder Spalte der Laplace-Matrix L auch alle weiteren Zeilen bzw. Spalten der Laplace-Matrix L erreicht und dabei vollständig über Matrixelemente verläuft, die das vorgegebene Kriterium erfüllen.
-
Das vorgegebene Kriterium wird nun dahingehend optimiert, dass die binäre Filterung genau eine solche mögliche Fehlerkaskade ergibt. Zu diesem Zweck kann beispielsweise ein parametrisierter Ansatz für das vorgegebene Kriterium aufgestellt werden. Die Parameter dieses Ansatzes können dann ausgehend von einem Zustand, in dem mehrere Fehlerkaskaden möglich sind, dahingehend verändert werden, dass sukzessive weniger Matrixelemente das vorgegebene Kriterium erfüllen. Alternativ können die Parameter auch ausgehend von einem Zustand, in dem keine Fehlerkaskaden möglich sind, dahingehend verändert werden, dass sukzessive mehr Matrixelemente das vorgegebene Kriterium erfüllen. Ein Beispiel für einen solchen Parameter ist ein Schwellwert, mit dem die Matrixelemente der Laplace-Matrix L verglichen werden.
-
Wenn es genau einen Pfad durch alle Zeilen bzw. Spalten der Laplace-Matrix L gibt, der nur über dem vorgegebenen Kriterium genügende Matrixelemente führt, ist dies ein kritischer Pfad. Entsprechend der zuvor erläuterten Systematik, nach der die Laplace-Matrix L gebildet wurde, korrespondiert dieser kritische Pfad zu einer Kaskade von Basisereignissen, die in Kombination den Eintritt des unerwünschten Ereignisses auslösen können. Bei dieser Kombination handelt es sich somit um einen sogenannten „Cut-Set“.
-
Es wird nun eine kritische Wahrscheinlichkeit pc dafür ermittelt, dass diese Fehlerkaskade realisiert wird. Unter Heranziehung dieser kritischen Wahrscheinlichkeit pc wird eine Worst-Case-Abschätzung für die gesuchte Wahrscheinlichkeit des unerwünschten Ereignisses ermittelt.
-
Es wurde erkannt, dass auf diese Weise eine obere Abschätzung für die Wahrscheinlichkeit des unerwünschten Ereignisses besonders einfach und schnell ermittelt werden kann. Erst in dem Moment, in dem es den ersten kritischen Pfad durch die Laplace-Matrix L gibt, gibt es auch die erste Fehlerkaskade, die bis zum kritischen Ereignis durchschlagen kann. Damit bestimmt die kritische Wahrscheinlichkeit pc dafür, dass diese kritische Fehlerkaskade realisiert wird, auch über die gesuchte Wahrscheinlichkeit des unerwünschten Ereignisses.
-
Hierfür ist es wichtig, dass die binäre Filterung der Matrixelemente in der Laplace-Matrix L gerade dahingehend optimiert wurde, dass es genau einen kritischen Pfad gibt. Dies ist genau die Grenze zwischen dem Zustand, in dem der Eintritt des unerwünschten Ereignisses gerade noch nicht möglich ist, und dem Zustand, in dem der Eintritt des unerwünschten Ereignisses gerade möglich geworden ist. Dies ist ein Stück weit analog zum Ermitteln der Wahrscheinlichkeit dafür, dass ein Stück porösen Materials mit zufällig verteilten Poren für eine Flüssigkeit durchlässig ist. Jede Pore hat mit einer gewissen Wahrscheinlichkeit p Durchgang zu einer benachbarten Pore und ist dementsprechend mit einer Wahrscheinlichkeit 1 - p eine Sackgasse. Das Stück Material ist zunächst absolut dicht für Flüssigkeit. Sobald jedoch ein einziger durch offene Poren führender Pfad von einer Seite des Materials zur anderen besteht, ist das Material insgesamt durchlässig.
-
Somit ist das „Schlimmste“, was dem technischen System passieren kann, dass sich alle Elemente (etwa Basis-Ereignisse und zu Grunde liegende Komponenten des technischen Systems) „gegen das System verschwören“ und gleichzeitig in einer Weise versagen, dass dies auf den Eintritt des unerwünschten Ereignisses hinarbeitet.
-
Gebräuchlich in der Fehlerbaumanalyse ist die Bestimmung eines „minimalen Cut-Sets“, also einer Kombination von Basisereignissen, die das unerwünschte Ereignis auslösen kann und diese Eigenschaft verliert, sobald auch nur eines der Basisereignisse aus der Kette entfernt wird. Die Wahrscheinlichkeit pc dafür, dass der hier genutzte „kritische Cut-Set“ realisiert wird, ist mindestens so groß wie die Wahrscheinlichkeit dafür, dass ein „minimaler Cut-Set“ realisiert wird. In der Regel ist die Wahrscheinlichkeit für den „kritischen Cut-Set“ größer als die Wahrscheinlichkeit für den „minimalen Cut-Set“.
-
Die Wahrscheinlichkeit dafür, dass der „kritischen Cut-Set“ realisiert wird, lässt sich jedoch deutlich schneller ermitteln als die Wahrscheinlichkeit dafür, dass der „minimale Cut-Set“ realisiert wird. Eine Ursache hierfür ist, dass durch die binäre Filterung nach dem vorgegebenen Kriterium sehr schnell diejenigen Basisereignisse ermittelt werden können, die überhaupt für den kritischen Pfad relevant sind. Konkrete Basis-Wahrscheinlichkeiten, die möglicherweise aufwändig zu berechnen sind, werden hierfür noch nicht benötigt. Hingegen müssen für die Berechnung der Wahrscheinlichkeit dafür, dass ein „minimaler Cut-Set“ realisiert wird, auch Basis-Wahrscheinlichkeiten von Basisereignissen ausgewertet werden, die im späteren „minimalen Cut-Set“ gar nicht mehr vorkommen. So müssen beispielsweise in einem System mit etwa 800 Basisereignissen nur die Basis-Wahrscheinlichkeiten von 400-600 Basis-Ereignissen ausgewertet werden.
-
Für den praktischen Betrieb technischer Systeme ist es jedoch wichtiger, eine ungefähre Abschätzung der Wahrscheinlichkeit für das unerwünschte Ereignis möglichst schnell zu bekommen, als eine genauere Berechnung erst deutlich später zu erhalten. Die grobe Abschätzung 10-8, die sofort kommt, ist also beispielsweise mehr wert als die genaue Berechnung 3,14159 ·10-9.
-
Weiterhin ist es auch im Hinblick auf den Bedarf an Hardwareressourcen vorteilhaft, dass die Basis-Wahrscheinlichkeiten nicht mehr für alle Basisereignisse berechnet werden müssen. Insbesondere müssen diese Basis-Wahrscheinlichkeiten nicht alle zwischengespeichert werden, bis darüber entschieden ist, welche Basisereignisse letztendlich den „minimalen Cut-Set“ bilden.
-
Dementsprechend wird es praktikabel, das Verfahren in Echtzeit auf einem Embedded-System, das in dem technischen System enthalten ist oder von ihm mitgeführt wird, auszuführen. Auf diese Weise kann die Gesamt-Wahrscheinlichkeit für das unerwünschte Ereignis ständig online kontrolliert werden. Embedded-Systeme haben nicht nur meistens vergleichsweise wenig Rechenleistung, sondern vor allem auch vergleichsweise wenig Speicher.
-
In einer besonders vorteilhaften Ausgestaltung wird die Worst-Case-Abschätzung aus einer Aggregation mehrerer Szenarien ermittelt, in denen noch jeweils mehr als ein durch N ·p
c gegebener Anteil der N an der Fehlerkaskade beteiligten Elemente funktioniert und das unerwünschte Ereignis somit nicht eintritt. Wenn beispielsweise R(t) die Zuverlässigkeit des jedem Matrixelement zu Grunde liegenden Teils oder Elements des technischen Systems ist und gleiche Zuverlässigkeiten für alle diese Teile oder Elemente entlang des kritischen Pfads angenommen werden, kann die Zuverlässigkeit R
s(t) des technischen Systems im Sinne von Nicht-Eintritt des unerwünschten Ereignisses zu
ermittelt werden. Hierin sind die Superskripte nicht als Potenzbildung zu sehen, sondern als Indizes. Die
sind Binomialkoeffizienten. Auf Grund der Zeitabhängigkeit muss dieser Ausdruck immer wieder neu berechnet werden. Hier fällt die Ersparnis an Rechenaufwand durch die Wiederverwendung von Rechenergebnissen besonders ins Gewicht.
-
Hintergrund ist, dass nach der allgemeinen Kritikalitätstheorie der Fehlerbaum seinen Zusammenhalt verliert, wenn die Anzahl der Knoten, die durch die Laplace-Matrix L repräsentiert werden, N - [N ·pc] erreicht. Daher kann ein „Voting“ durchgeführt werden, das die Wahrscheinlichkeiten für mehrere Szenarien aggregiert, in denen die kritische Anzahl von Teilen oder Elementen, die noch funktioniert, größer als [N ·pc] ist.
-
In einer besonders vorteilhaften Ausgestaltung ist mindestens eine Basis-Wahrscheinlichkeit als Zugehörigkeitsfunktion mindestens einer Zustandsgröße des technischen Systems (1) und/oder seiner Umgebung, und/oder als Funktion mindestens einer anderen Basis-Wahrscheinlichkeit, festgelegt. Diese Basis-Wahrscheinlichkeiten werden auch als Fuzzy-Wahrscheinlichkeiten bezeichnet. Wenn ein bestimmter Anteil der Basis-Wahrscheinlichkeiten aus Fuzzy-Wahrscheinlichkeiten besteht, wirkt sich dies nicht zwingend auf die prinzipielle Durchführung des hier beschriebenen Verfahrens aus. Der Nutzwert des Verfahrens steigt jedoch noch einmal deutlich, weil das Verfahren „unnötige“ Auswertungen von Basis-Wahrscheinlichkeiten einspart und gerade die Auswertung von Fuzzy-Wahrscheinlichkeiten vom Rechenaufwand her besonders „teuer“ ist.
-
Wenn die Basis-Wahrscheinlichkeiten als Fuzzy-Wahrscheinlichkeiten gegeben sind, können redundante Basisereignisse sowohl definiert als auch voneinander unterschieden werden. Redundanz kann zum einen beispielsweise dadurch implementiert sein, dass für die Bereitstellung einer bestimmten Funktionalität mehrere Bauelemente oder Baugruppen zum Einsatz kommen, die sich gegenseitig ergänzen oder auch ersetzen können. Diese Redundanz kann insbesondere beispielsweise als „Hot-Redundanz“ realisiert werden, bei der die mehreren Bauelemente bzw. Baugruppen stets gleichzeitig aktiv sind. Dies ist der hier hauptsächlich betrachtete Fall speziell für die Zwecke des mindestens teilweise automatisierten Fahrens. Daneben gibt es auch „Cold-Redundanz“, bei der erst nach Bedarf bei Ausfall oder Fehlfunktion eines aktiven Bauelements, bzw. einer aktiven Baugruppe, ein weiteres Bauelement, bzw. eine weitere Baugruppe, aktiv wird. Ein Beispiel hierfür sind Notstromdiesel, die erst bei Netzausfall aktiviert werden.
-
Redundanz kann aber auch beispielsweise dadurch implementiert sein, dass ein und dasselbe Bauelement oder ein und dieselbe Baugruppe auf mehreren Stufen einer Kausalkette, die zu einem unerwünschten Ereignis führt, relevant ist.
-
Alle hier aufgeführten Arten von Redundanz können in ein und demselben technischen System auch gemischt vorkommen.
-
In einer weiteren vorteilhaften Ausgestaltung hängt das vorgegebene Kriterium für die binäre Filterung der Matrixelemente auch von Werten mindestens einer Zugehörigkeitsfunktion ab. Hiermit kann feiner auf das Optimum abgestimmt werden, in dem es genau einen kritischen Pfad durch die Laplace-Matrix gibt.
-
Da die Gesamt-Wahrscheinlichkeit für das Auftreten des unerwünschten Ereignisses nun auch in Echtzeit auf Embedded-Systemen berechnet werden kann, kann das technische System mit der Fehlerbaumanalyse, bzw. der Fuzzy-Fehlerbaumanalyse, online überwacht werden.
-
Daher wird in einer weiteren besonders vorteilhaften Ausgestaltung die Vorhersage der Wahrscheinlichkeit für das unerwünschte Ereignis im laufenden Online-Betrieb des technischen Systems fortwährend aktualisiert. In Antwort darauf, dass diese Wahrscheinlichkeit einen vorgegebenen Schwellwert überschreitet, können verschiedene Gegenmaßnahmen ergriffen werden.
-
Beispielsweise kann eine für den Benutzer des technischen Systems wahrnehmbare optische, akustische oder haptische Warneinrichtung aktiviert werden. So kann etwa ein Fahrer eines zumindest teilweise automatisierten Fahrzeugs dazu aufgefordert werden, die manuelle Kontrolle über das Fahrzeug zu übernehmen oder das automatisierte Steuerungssystem in sonstiger Weise zu unterstützen. Aber auch der Fahrer eines manuell gesteuerten Fahrzeugs kann beispielsweise davon profitieren, dass er etwa vor einer erhöhten Wahrscheinlichkeit des unerwünschten Ereignisses „Ausbrechen des Fahrzeugs aus seiner vorgesehenen Fahrspur“ gewarnt wird.
-
Gerade derartige Prozesse lassen sich gut mit Hilfe von Zugehörigkeitsfunktionen abbilden, die Fuzzy-Wahrscheinlichkeiten in Abhängigkeit von bestimmten äußeren Bedingungen modellieren. So entscheiden beispielsweise die Art des Straßenbelags, die Temperatur und die Belegung der Fahrbahn mit Niederschlag über die Basiswahrscheinlichkeit dafür, dass die Haftreibung am Reifen-Fahrbahn-Kontakt in die Gleitreibung übergeht. Inwieweit ein solches Ereignis dann noch durch das Eingreifen eines elektronischen Stabilitätsprogramms (ESP) oder anderer Sicherheitssysteme abgefangen kann, hängt wiederum beispielsweise von der Beladungsverteilung des Fahrzeugs ab, die den Schwerpunkt des Fahrzeugs bestimmt. Im Ergebnis kann die Wahrscheinlichkeit für das Ereignis „Ausbrechen des Fahrzeugs“ bei einer schnellen Autobahnfahrt unter optimalen Bedingungen deutlich geringer prognostiziert werden als bei einer Fahrt mit Stadttempo bei Blitzeis.
-
Wenn die Wahrscheinlichkeit für das unerwünschte Ereignis einen vorgegebenen Schwellwert überschreitet, kann auch beispielsweise das technische System in einen Betriebsmodus versetzt werden, in dem die Wahrscheinlichkeit für das unerwünschte Ereignis vermindert wird, und/oder in dem nachteilige Folgen beim Eintritt des unerwünschten Ereignisses abgeschwächt werden. So können beispielsweise Steuersysteme für Fahrzeuge oder Flugzeuge in kritischen Situationen Steueraktionen so beschränken, dass hektische Manöver eines Fahrzeugs oder Flugzeugs, die zu einem endgültigen Kontrollverlust führen können, unterbunden werden.
-
Schließlich kann auch in Antwort darauf, dass die Wahrscheinlichkeit für das unerwünschte Ereignis einen vorgegebenen Schwellwert überschreitet, beispielsweise das technische System ganz oder teilweise außer Betrieb genommen werden. Wenn etwa eine Drohne feststellt, dass plötzlich ein erhöhtes Risiko für das unerwünschte Ereignis „Kollision mit fremdem Eigentum“ besteht, kann sie automatisch zu ihrem Startort zurückkehren und dort landen oder sich im Extremfall sogar „opfern“, indem sie auf einer Freifläche oder ins Wasser abstürzt. Auch in diesem Beispiel hängen Basiswahrscheinlichkeiten von äußeren Bedingungen ab, was gut über die besagten Zugehörigkeitsfunktionen modelliert werden kann. So entscheidet etwa die Windstärke darüber, ob die Drohne ihre Position aus eigener Kraft noch kontrollieren kann, und die aktuelle Position entscheidet darüber, welches potentiell gefährdete fremde Eigentum in der Nähe ist.
-
Somit kann das Aktualisieren der Vorhersage insbesondere beispielsweise beinhalten, mit mindestens einem Sensor mindestens eine Zustandsgröße des technischen Systems und/oder seiner Umgebung zu erfassen und auf der Basis dieser Zustandsgröße mindestens eine Basis-Wahrscheinlichkeit für den Eintritt eines Basisereignisses anzupassen.
-
In einer weiteren vorteilhaften Ausgestaltung werden iterativ Basis-Wahrscheinlichkeiten verändert. Die Vorhersage der Wahrscheinlichkeit für das unerwünschte Ereignis wird nach jedem Änderungsschritt aktualisiert. Indem auf diese Weise die Änderungen der Wahrscheinlichkeit beobachtet werden, wird das Ziel verfolgt, die Wahrscheinlichkeit für das unerwünschte Ereignis auf oder unter einen vorgegebenen Schwellwert zu drücken.
-
Diese Ausgestaltung ist mehr für die Offline-Auslegung technischer Systeme gedacht als für die Online-Kontrolle im laufenden Betrieb. So ist beispielsweise für Steuerungssysteme, die in Fahrzeugen zum Einsatz kommen, oder auch in der industriellen Automatisierungstechnik häufig eine maximal zulässige Wahrscheinlichkeit, mit der bestimmte unerwünschte Ereignisse auftreten können, fest vorgegeben. Wenn in dem konkret untersuchten System diese Wahrscheinlichkeit über dem zulässigen Schwellwert liegt, stellt sich die Frage, an welcher Stelle das System sinnvollerweise verbessert werden kann, um die Wahrscheinlichkeit für das unerwünschte Ereignis möglichst effektiv und kostengünstig zu vermindern. So lässt sich die Zuverlässigkeit vieler Systeme durch doppelt oder gar mehrfach redundante Ausführung deutlich steigern, allerdings zu deutlich erhöhten Kosten und mit erhöhtem Gewicht und Energiebedarf, was für Anwendungen in Fahrzeugen oder Flugzeugen problematisch sein kann. Weiterhin kann der begrenzende Faktor für die Zuverlässigkeit eines Systems auch an einer anderen Stelle liegen als an einer punktuell fehlenden Redundanz.
-
Beispielsweise kann es ein Ergebnis der vorstehenden Analyse für unterschiedliche Werte der Basis-Wahrscheinlichkeiten sein, dass die Wahrscheinlichkeit für das unerwünschte Ereignis besonders kritisch von der Basis-Wahrscheinlichkeit für das Basisereignis abhängt, dass die Erfassung eines bestimmten Messwerts ungenau ist oder ganz fehlt. Es kann dann beispielsweise gezielt ein Sensor, der für die Erfassung dieser Messgröße zuständig ist, gegen einen höherwertigen Sensor mit besserer Zuverlässigkeit getauscht werden.
-
Es kann weiterhin bei der besagten Analyse erkannt werden, dass andere Basisereignisse vergleichsweise unkritisch sind in dem Sinne, dass die zugehörigen Basis-Wahrscheinlichkeiten nur einen vergleichsweise geringen Einfluss auf die Wahrscheinlichkeit für das unerwünschte Ereignis haben. Im Sinne einer Kostenoptimierung kann es daher sinnvoll sein, an einer derartigen Stelle an der Zuverlässigkeit zu sparen und das hier Ersparte an einer anderen Stelle zu reinvestieren, an der die Wahrscheinlichkeit für das unerwünschte Ereignis effektiver gedrückt werden kann.
-
Daher kann in einer weiteren vorteilhaften Ausgestaltung das Optimieren beinhalten, mindestens eine erste Basis-Wahrscheinlichkeit zu vermindern und im Gegenzug mindestens eine zweite Basis-Wahrscheinlichkeit zu erhöhen. Es kann also beispielsweise die Wahrscheinlichkeit für einen Ausfall eines Steuergeräts vermindert werden, indem für diejenigen Bauteile, auf deren Funktionieren das Steuergerät unbedingt angewiesen ist, die jeweils qualitativ höchstwertige und teuerste Ausführung gewählt wird und dafür Bauteile, deren Ausfall durch Redundanzen abgefangen werden kann, preisgünstiger auszuführen.
-
Wie zuvor erläutert, kann insbesondere beispielsweise ein Fahrzeug, ein Fahrzeugsystem, ein Flugzeug, ein Flugzeugsystem, eine Drohne, eine Industrieanlage oder eine Windkraftanlage als technisches System gewählt werden.
-
Das Verfahren kann insbesondere ganz oder teilweise computerimplementiert sein. Daher bezieht sich die Erfindung auch auf ein Computerprogramm mit maschinenlesbaren Anweisungen, die, wenn sie auf einem oder mehreren Computern ausgeführt werden, den oder die Computer dazu veranlassen, das beschriebene Verfahren auszuführen. In diesem Sinne sind auch Steuergeräte für Fahrzeuge und Embedded-Systeme für technische Geräte, die ebenfalls in der Lage sind, maschinenlesbare Anweisungen auszuführen, als Computer anzusehen.
-
Ebenso bezieht sich die Erfindung auch auf einen maschinenlesbaren Datenträger und/oder auf ein Downloadprodukt mit dem Computerprogramm. Ein Downloadprodukt ist ein über ein Datennetzwerk übertragbares, d.h. von einem Benutzer des Datennetzwerks downloadbares, digitales Produkt, das beispielsweise in einem Online-Shop zum sofortigen Download feilgeboten werden kann.
-
Weiterhin kann ein Computer mit dem Computerprogramm, mit dem maschinenlesbaren Datenträger bzw. mit dem Downloadprodukt ausgerüstet sein.
-
Weitere, die Erfindung verbessernde Maßnahmen werden nachstehend gemeinsam mit der Beschreibung der bevorzugten Ausführungsbeispiele der Erfindung anhand von Figuren näher dargestellt.
-
Ausführungsbeispiele
-
Es zeigt:
- 1 Ausführungsbeispiel des Verfahrens 100 zur Vorhersage der Wahrscheinlichkeit 2a, mit der in einem technischen System 1 mindestens ein unerwünschtes Ereignis 2 eintritt;
- 2 Beispielhafte Skizze des Weges vom Fehlerbaum 5 zum Filterungsprodukt 6 ◦ L der Laplace-Matrix L;
- 3 Verschiedene Filterungsprodukte 6 ◦ L, 6' ◦ L, 6'' ◦ L, 6''' ◦ L für verschiedene Kriterien 6, 6', 6'' und 6'''.
-
1 ist ein schematisches Ablaufdiagramm eines Ausführungsbeispiels des Verfahrens 100 zur Vorhersage der Wahrscheinlichkeit 2a, mit der in einem technischen System 1 mindestens ein unerwünschtes Ereignis 2 eintritt.
-
In Schritt 110 wird ein Fehlerbaum bereitgestellt. Dieser Fehlerbaum 5 gibt das logische Zusammenwirken von Basisereignissen 3, die einzeln oder in Kombination eine Ursache dafür setzen können, dass das unerwünschte Ereignis 2 in dem technischen System 1 auftritt, an. Der Fehlerbaum 5 enthält weiterhin noch Basis-Wahrscheinlichkeiten 3a, mit denen die Basisereignisse 3 jeweils eintreten.
-
Gemäß Block 111 kann mindestens eine Basis-Wahrscheinlichkeit 3a als Zugehörigkeitsfunktion mindestens einer Zustandsgröße des technischen Systems 1 und/oder seiner Umgebung, und/oder als Funktion mindestens einer anderen Basis-Wahrscheinlichkeit 3a, festgelegt sein. Es handelt sich dann bei dieser Basis-Wahrscheinlichkeit 3a um eine Fuzzy-Wahrscheinlichkeit.
-
Gemäß Block 112 können redundante Basisereignisse 3 gewählt werden.
-
In Schritt 120 wird aus einer Darstellung des Fehlerbaums 5 als Graph eine Laplace-Matrix L ermittelt.
-
In Schritt 130 werden durch binäre Filterung nach einem vorgegebenen Kriterium 6 Matrixelemente der Laplace-Matrix L ermittelt, die zu Knoten und Verbindungen im Graphen korrespondieren, über die potentiell im unerwünschten Ereignis 2 kulminierende Fehlerkaskaden 7 führen können.
-
Gemäß Block 131 kann ein parametrisierter Ansatz für das vorgegebene Kriterium 6 aufgestellt werden. Gemäß Block 132a können die Parameter dann ausgehend von einem Zustand, in dem mehrere Fehlerkaskaden 7 möglich sind, dahingehend verändert werden 132a, dass sukzessive weniger Matrixelemente das vorgegebene Kriterium 6 erfüllen. Alternativ können die Parameter gemäß Block 132b ausgehend von einem Zustand, in dem keine Fehlerkaskade 7 möglich ist, dahingehend verändert werden 132b, dass sukzessive mehr Matrixelemente das vorgegebene Kriterium 6 erfüllen. Dies ist in 3 näher illustriert.
-
Insoweit es im Fehlerbaum 5 Fuzzy-Wahrscheinlichkeiten 3a gibt, die durch Zugehörigkeitsfunktionen festgelegt sind, kann gemäß Block 133 das vorgegebene Kriterium 6 für die binäre Filterung der Matrixelemente auch von Werten mindestens einer Zugehörigkeitsfunktion abhängen.
-
In Schritt 140 wird das vorgegebene Kriterium dahingehend optimiert, dass die binäre Filterung genau eine mögliche Fehlerkaskade 7* ergibt. Hierbei ist der Begriff „optimiert“ ausdrücklich nicht auf numerische Optimierungsverfahren eingeschränkt, die das Vorhandensein eines Gradienten voraussetzen.
-
In Schritt 150 wird eine kritische Wahrscheinlichkeit pc dafür ermittelt, dass die kritische Fehlerkaskade 7* realisiert wird.
-
In Schritt 160 wird unter Heranziehung dieser kritischen Wahrscheinlichkeit pc wird eine Worst-Case-Abschätzung für die gesuchte Wahrscheinlichkeit 2a des unerwünschten Ereignisses (2) ermittelt.
-
Hierbei kann gemäß Block 161 die Worst-Case-Abschätzung aus einer Aggregation mehrerer Szenarien ermittelt werden, in denen noch jeweils mehr als ein durch N ·pc gegebener Anteil der N an der Fehlerkaskade beteiligten Elemente funktioniert und das unerwünschte Ereignis 2 somit nicht eintritt.
-
In dem in 1 gezeigten Beispiel wird in Schritt 170 die Vorhersage der Wahrscheinlichkeit 2a für das unerwünschte Ereignis 2 im laufenden Betrieb des technischen Systems fortwährend aktualisiert werden. In Schritt 180 kann dann geprüft werden, ob diese Wahrscheinlichkeit 2a einen vorgegebenen Schwellwert 8 überschreitet. Wenn dies der Fall ist (Wahrheitswert 1), kann beispielsweise
- • gemäß Block 181 eine für den Benutzer des technischen Systems 1 wahrnehmbare optische, akustische oder haptische Warneinrichtung aktiviert werden; und/oder
- • gemäß Block 182 das technische System 1 in einen Betriebsmodus versetzt werden, in dem die Wahrscheinlichkeit 2a für das unerwünschte Ereignis 2 vermindert wird, und/oder in dem nachteilige Folgen beim Eintritt des unerwünschten Ereignisses 2 abgeschwächt werden; und/oder
- • gemäß Block 183 das technische System 1 ganz oder teilweise außer Betrieb genommen werden.
-
Das Aktualisieren der Vorhersage kann insbesondere beispielsweise gemäß Block 171 beinhalten, mit mindestens einem Sensor mindestens eine Zustandsgröße des technischen Systems und/oder seiner Umgebung zu erfassen. Gemäß Block 172 kann dann auf der Basis dieser Zustandsgröße mindestens eine Basis-Wahrscheinlichkeit 3a für den Eintritt eines Basisereignisses 3 angepasst werden.
-
In Schritt 190 können iterativ Basis-Wahrscheinlichkeiten 3a optimiert werden. Die Vorhersage der Wahrscheinlichkeit 2a für das unerwünschte Ereignis 2 kann dann in Schritt 200 nach jedem Optimierungsschritt aktualisiert werden. Das Optimieren erfolgt mit dem Ziel, die Wahrscheinlichkeit für das unerwünschte Ereignis 2 auf oder unterhalb einen vorgegebenen Sollwert 9 zu drücken.
-
2 veranschaulicht den Weg vom Fehlerbaum 5 zu einem Filterungsprodukt 6 ◦ L, das durch die Anwendung des vorgegebenen Filterungskriteriums 6 auf die Laplace-Matrix L erhalten wird.
-
Der Fehlerbaum 5 enthält Basisereignisse 3. Diese sind über logische Gatter (ohne Bezugszeichen) miteinander und mit einem unerwünschten Ereignis 2 („top“) verknüpft. Kombinationen eintretender Basisereignisse 3 können das unerwünschte Ereignis 2 auslösen. Es gibt Basisereignisse 3, deren Eintrittswahrscheinlichkeit von keinem anderen Basisereignis 3 abhängt („e1“, „e2“, „e3“, „e4“). Es gibt aber auch Basisereignisse 3, die den Eintritt anderer Basisereignisse 3 zur Vorbedingung haben („g1“, „g2“, „g3“, „g4“).
-
Der Fehlerbaum 5 lässt sich als Graph darstellen, in dem die Basis-Ereignisse 3 sowie das unerwünschte Ereignis 2 die Knoten bilden. in eine Laplace-Matrix L überführen. Auf der Diagonalen dieser Laplace-Matrix L stehen die Grade des jeweiligen Knoten, also die Anzahl der Verbindungen des jeweiligen Knoten zu anderen Knoten. Die Nichtdiagonalelemente geben an, welche Knoten jeweils mit welchen anderen Knoten verbunden sind.
-
Das Anwenden eines vorgegebenen Kriteriums 6 auf die Matrixelemente der Laplace-Matrix L führt auf das Filterungsprodukt 6 ◦ L. Hier sind alle Matrixelemente markiert, für die das vorgegebene Kriterium 6 erfüllt ist. Dabei soll mit den unterschiedlichen Schraffuren lediglich verdeutlicht werden, dass
- • sich im Wesentlichen zwei zusammenhängende Cluster von Matrixelementen bilden, für die das Kriterium 6 erfüllt ist, und
- • es daneben noch zwei isolierte Zustände gibt, für die das Kriterium 6 ebenfalls erfüllt ist.
-
In dem in 2 gezeigten Beispiel gibt es keinen durchgängigen Pfad durch alle Zeilen oder alle Spalten der Laplace-Matrix L, der nur über Matrixelemente läuft, die das Kriterium 6 erfüllen. Ein einziges Matrixelement müsste noch dahingehend „umkippen“, dass es das vorgegebene Kriterium erfüllt, damit es einen durchgängigen Pfad gibt. Hierzu kann beispielsweise das vorgegebene Kriterium 6 angepasst werden.
-
Genau dies ist in 3 skizziert. Hier sind verschiedene Filterungsprodukte 6 ◦ L, 6' - L, 6'' - L, 6''' ◦ L gezeichnet, die sich bei Filterung einer Laplace-Matrix L mit verschiedenen Kriterien 6, 6', 6'' und 6''' ergeben. Matrixelemente, die das jeweilige Kriterium 6, 6', 6'' und 6''' erfüllen, sind schwarz gekennzeichnet.
-
Von links nach rechts wird das Kriterium 6, 6', 6'' bzw. 6''' gemäß Block 132b des Verfahrens 100 so angepasst, dass sukzessive mehr Matrixelemente das Kriterium 6, 6', 6'' bzw. 6''' erfüllen. Von rechts nach links wird das Kriterium 6''', 6'', 6' bzw. 6 gemäß Block 132a des Verfahrens 100 so angepasst, dass sukzessive weniger Matrixelemente das das Kriterium 6''', 6'', 6' bzw. 6 erfüllen.
-
In 3b ist der Zustand erreicht, dass es genau eine Fehlerkaskade 7* gibt, die vom linken Rand bis zum rechten Rand des Filterungsprodukts 6' ◦ L, und damit der Laplace-Matrix L, führt. Dies ist die kritische Fehlerkaskade, und aus der Wahrscheinlichkeit für ihr Eintreten kann die Wahrscheinlichkeit 2a für das unerwünschte Ereignis 2 abgeschätzt werden.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102018203374 A1 [0004]