DE102022208080A1 - Bestimmen eines optimalen cut-sets von Basisereignissen in einem Fehlerbaum eines technischen Systems - Google Patents

Bestimmen eines optimalen cut-sets von Basisereignissen in einem Fehlerbaum eines technischen Systems Download PDF

Info

Publication number
DE102022208080A1
DE102022208080A1 DE102022208080.7A DE102022208080A DE102022208080A1 DE 102022208080 A1 DE102022208080 A1 DE 102022208080A1 DE 102022208080 A DE102022208080 A DE 102022208080A DE 102022208080 A1 DE102022208080 A1 DE 102022208080A1
Authority
DE
Germany
Prior art keywords
base
fault tree
event
events
agents
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022208080.7A
Other languages
English (en)
Inventor
Martin Hruschka
Peter Bakucz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022208080.7A priority Critical patent/DE102022208080A1/de
Publication of DE102022208080A1 publication Critical patent/DE102022208080A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/11Complex mathematical operations for solving equations, e.g. nonlinear equations, general mathematical optimization problems

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Operations Research (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

Verfahren (100) zur Bestimmung einer optimalen Kombination (3*) von Basisereignissen (3), die gemeinsam in einem technischen System (1) mindestens ein unerwünschtes Ereignis (2) auslösen können, mit den Schritten:• es wird ein Fehlerbaum (5) bereitgestellt (110), der◯ das logische Zusammenwirken der Basisereignisse (3) über logische Gatter (4) sowie◯ Basis-Wahrscheinlichkeiten (3a), mit denen die Basisereignisse (3) jeweils eintreten, angibt;• ausgehend von jedem Basisereignis (3) wird eine Vielzahl autonomer Agenten (6) in Richtung auf das unerwünschte Ereignis (2) durch den Fehlerbaum (5) geschickt (120), wobei◯ jeder Agent (6) an Verzweigungen die nächste zu beschreitende Verbindung im Fehlerbaum (5) probabilistisch auswählt;◯ jede Verbindung im Fehlerbaum (5) beim Beschreiten durch einen Agenten (6) vorübergehend mit einem vorgegebenen Betrag eines Indikators (7) markiert wird; und◯ die Anzahlen der Agenten (6), die pro Zeiteinheit von jedem Basisereignis (3) starten, durch die jeweiligen Basis-Wahrscheinlichkeiten (3a) festgelegt sind;• die Kombination derjenigen Basisereignisse (3), von denen◯ Verbindungen mit der größten Belegung mit Indikator (7) ausgehen, und/oder◯ das unerwünschte Ereignis (2) durch die Agenten (6) in einer kürzesten Reisezeit erreicht wird, wird als die gesuchte optimale Kombination (3*) ermittelt (130).

Description

  • Die vorliegende Erfindung betrifft die Fehlerbaumanalyse zur Ermittlung von Kombinationen von Basisereignissen, die gemeinsam den Eintritt mindestens eines unerwünschten Ereignisses in einem technischen System auslösen können.
  • Stand der Technik
  • Bei technischen Systemen, deren Fehlfunktion zu schwerwiegenden Sach- oder Personenschäden führen kann, ist es häufig notwendig, die Zuverlässigkeit vor der Aufnahme des Betriebes quantitativ zu beurteilen.
  • Ein standardisiertes Verfahren zur Beurteilung der Gesamt-Zuverlässigkeit eines nicht redundanten Systems, das aus einer Vielzahl von Funktionseinheiten zusammengesetzt ist, ist die Fehlerbaumanalyse (Fault Tree Analysis, FTA). Für die Zwecke dieser Analyse wird das technische System als baumartige logische Verknüpfung von verursachenden Ereignissen modelliert, die in einem unerwünschten Ereignis („Systemversagen“) kulminieren können. „Baumartig“ bedeutet, dass beispielsweise das Systemversagen eintritt, wenn eine bestimmte logische Verknüpfung von Ereignissen wahr ist, wobei diese Ereignisse wiederum logische Verknüpfungen untergeordneter Ereignisse sein können. Die verursachenden Ereignisse umfassen Fehlfunktionen einzelner Funktionseinheiten.
  • Aus der DE 10 2018 203 374 A1 ist ein Verfahren zur Fehlerbaumanalyse für technische Systeme bekannt, bei dem ein fraktaler Graph als Fehlerbaum aufgestellt wird.
  • Offenbarung der Erfindung
  • Die Erfindung stellt ein Verfahren zur Bestimmung einer optimalen Kombination von Basisereignissen, die gemeinsam in einem technischen System mindestens ein unerwünschtes Ereignis auslösen können, bereit.
  • Unter einer optimalen Kombination von Basisereignissen wird eine Kombination von Basisereignissen verstanden, die ein „minimaler Cut-Set“ ist und zusätzlich noch in weiterer Hinsicht ausgezeichnet ist.
  • Ein minimaler Cut-Set ist eine Kombination von Basisereignissen, die das unerwünschte Ereignis auslösen kann und diese Eigenschaft verliert, sobald auch nur eines der Basisereignisse aus der Kette entfernt wird. Für ein technisches System kann es viele derartige minimale Cut-Sets geben. Ein optimaler Cut-Set, also eine optimale Kombination von Basisereignissen, kann nun beispielsweise zusätzlich dadurch ausgezeichnet sein, dass der Eintritt genau dieser Kombination von Basisereignissen besonders wahrscheinlich ist und/oder besonders schnell erfolgt.
  • Somit eignet sich der optimale Cut-Set besonders für eine Worst-Case-Abschätzung der Zuverlässigkeit des technischen Systems in dem Fall, in dem sich alle Elemente (etwa Basis-Ereignisse und zu Grunde liegende Komponenten des technischen Systems) „gegen das System verschwören“ und gleichzeitig in einer Weise versagen, dass dies auf den Eintritt des unerwünschten Ereignisses hinarbeitet. Diese Worst-Case-Abschätzung kann beispielsweise genutzt werden, um das technische System gezielt dahingehend zu verbessern, dass die Zuverlässigkeit erhöht wird. Beispielsweise kann eine Komponente des technischen Systems, die ein Basisereignis zu dem optimalen Cut-Set beisteuert, durch eine qualitativ höherwertige Komponente ersetzt und/oder redundant ausgeführt werden, um das Basisereignis unwahrscheinlich zu machen und so den optimalen Cut-Set zu unterbrechen. Wie sinnvoll bzw. wie praktikabel diese Lösung bei einem konkreten technischen System ist, hängt unter anderem davon ab, an wie vielen Stellen im System die Komponente vorkommt und jeweils ersetzt werden muss.
  • Im Rahmen des Verfahrens wird ein Fehlerbaum bereitgestellt. Dieser Fehlerbaum gibt das logische Zusammenwirken der Basisereignisse über logische Gatter an. Der Fehlerbaum enthält auch Basis-Wahrscheinlichkeiten, mit denen die Basisereignisse jeweils eintreten.
  • Es wird nun in einer Simulation ausgehend von jedem Basisereignis, das einen Eintritt in den Fehlerbaum bereitstellt, eine Vielzahl autonomer Agenten in Richtung auf das unerwünschte Ereignis durch den Fehlerbaum geschickt. In der üblichen Darstellung eines Fehlerbaums, in der das unerwünschte Ereignis ganz oben steht und über eine Hierarchie von mehreren untereinander angeordneten Ebenen mit Basisereignissen erreicht werden kann, befinden sich diejenigen Basisereignisse, die einen Eintritt in den Fehlerbaum bereitstellen, auf der untersten Ebene.
  • Das heißt, ein jeder solcher Agent startet an einem Basisereignis im Fehlerbaum und bewegt sich über die Verbindungen in dem Fehlerbaum von einem logischen Gatter zum nächsten. Ob der Agent das jeweilige logische Gatter passieren kann, hängt insbesondere davon ab, ob die logische Bedingung des Gatters erfüllt ist. Dies wiederum kann vom Eintritt weiterer Basisereignisse abhängen. Wenn der Agent alle logischen Gatter passiert, erreicht er schließlich das unerwünschte Ereignis.
  • Dabei wählt jeder Agent an Verzweigungen die nächste zu beschreitende Verbindung im Fehlerbaum probabilistisch und zugleich richtungsweisend aus. Diese Verzweigungen sind Basiselemente im Fehlerbaum, von denen aus mehrere Verbindungen in Richtung auf das unerwünschte Ereignis führen. Die Wahl des Weges für den Agenten ist also nicht völlig zufällig, sondern kann beispielsweise durch eine Gleichung bestimmt werden, in die ein aus einer Zufallsverteilung gezogenes Sample eingesetzt wird. Dabei können an Basisereignissen als Verzweigungen einerseits und logischen Gattern als Verzweigungen andererseits unterschiedliche Gleichungen gelten.
  • Wenn der Agent an der Verzweigung ankommt, wird also aus einer Zufallsverteilung ein Sample gezogen, und dieses Sample entscheidet darüber, welche Verbindung dieser konkrete Agent beschreitet. Dabei wird jede Verbindung im Fehlerbaum beim Beschreiten einen Agenten vorübergehend mit einem vorgegebenen Betrag eines Indikators markiert. „Vorübergehend“ bedeutet, dass diese Belegung mit dem Indikator mit der Zeit allmählich oder auch schlagartig abnimmt und schließlich wieder völlig verschwindet. Die Anzahlen der Agenten, die pro Zeiteinheit von jedem Basisereignis starten, sind durch die jeweiligen Basis-Wahrscheinlichkeiten festgelegt.
  • Wenn diese Simulation für eine hinreichende Anzahl von Agenten durchgeführt wird, wird ein gewisser Anteil der Agenten bis zum unerwünschten Ereignis durchkommen, während der Rest an irgendeinem logischen Gatter oder Basisereignis auf dem Weg hängenbleibt. Es gibt dann eine Tendenz, dass entlang von Pfaden, auf denen viele Agenten bis zum unerwünschten Ereignis durchkommen, mit einer größeren Menge Indikator belegt sind. Dies ist ein Stück weit analog dazu, dass bei der selbstorganisierten Suche einer großen Anzahl Ameisen oder anderer autonom agierender Tiere nach einer Futterquelle diejenigen Pfade, die tatsächlich zur Futterquelle führen, mit der Zeit ausgetretener sind als andere Pfade oder sich in anderer Weise von den nicht zur Futterquelle führenden Pfaden abheben, etwa durch Markierung mit Duftstoffen (Pheromonen). Dabei ist dieser Effekt auch noch umso stärker, je schneller der jeweilige Pfad zur Futterquelle, bzw. zum unerwünschten Ereignis, führt.
  • Daher wird die Kombination der Basisereignisse, von denen
    • • Verbindungen mit der größten Belegung mit Indikator ausgehen, und/oder
    • • das unerwünschte Ereignis durch die Agenten in einer kürzesten Reisezeit erreicht wird,
    als die gesuchte optimale Kombination ermittelt.
  • Das hier vorgeschlagene Verfahren zeichnet sich insbesondere dadurch aus, dass die Suche nach der optimalen Kombination von Basisereignissen in viele kleine Teilaufgaben unterteilt wird, nämlich die Verfolgung einzelner Agenten durch den Fehlerbaum. Diese Teilaufgaben erfordern jeweils nur einfache Berechnungsschritte. Sie können daher auch auf einem Embedded-System, das in dem technischen System enthalten ist oder von ihm mitgeführt wird, ausgeführt werden. Dabei müssen auch nicht alle Zwischenergebnisse aufbewahrt werden, sondern nur Reisezeiten von Agenten, so sie denn bis zum unerwünschten Ereignis durchkommen, und/oder Belegungen der Verbindungen im Fehlerbaum mit Indikator. Das Verfahren kommt also insgesamt mit wenig Speicher aus. Embedded-Systeme haben nicht nur meistens vergleichsweise wenig Rechenleistung, sondern vor allem auch vergleichsweise wenig Speicher.
  • In einer besonders vorteilhaften Ausgestaltung hängt die Wahrscheinlichkeit, mit der ein Agent an mindestens einer Verzweigung (Basisereignis oder logisches Gatter) eine nächste zu beschreitende Verbindung auswählt, von dem Betrag des Indikators ab, mit dem diese Verbindung aktuell markiert ist. Auf diese Weise wird der Effekt verstärkt, dass Pfade durch den Fehlerbaum, die schnell zum unerwünschten Ereignis führen, mit der Zeit immer mehr Agenten auf sich ziehen.
  • In einer weiteren vorteilhaften Ausgestaltung sind Verbindungen im Fehlerbaum mit Distanzen belegt. Die Wahrscheinlichkeit, mit der ein Agent an mindestens einer Verzweigung eine nächste zu beschreitende Verbindung auswählt, hängt von der Distanz ab, mit der diese Verbindung belegt ist. Auf diese Weise kann ein Konzept der Sichtbarkeit eingeführt werden, das insbesondere die Größe von Fehlerbäumen komplexer Systeme abbilden kann. Insbesondere kann dieses Konzept der Sichtbarkeit eine Wechselwirkung zwischen Basisereignissen beschränken. Daneben hängt die Wahrscheinlichkeit für die Auswahl der nächsten zu beschreitenden Verbindung nach wie vor von der Gleichung ab, die für diese Verzweigung gilt.
  • Somit kann die Wahrscheinlichkeit Pij,k(t), dass zum Zeitpunkt oder Zeitschritt t der k-te Agent ausgehend vom i-ten Knoten im Fehlerbaum (Basisereignis oder logisches Gatter) zum j-ten Knoten aus der Menge Ji,k der noch nicht besuchten Knoten wandern wird beispielsweise angegeben als P i j , k ( t ) = { [ τ i j ( t ) ] α [ η i j ] β l J i , k [ τ i l ( t ) ] α [ η i l ] β  f u ¨ j J i , k   0  sonst
    Figure DE102022208080A1_0001
  • Hierin gibt τij(t) die aktuelle Belegung der Verbindung zwischen den Knoten i und j mit Indikator an. ηij gibt die Sichtbarkeit des Knotens j vom Knoten i aus an, die beispielsweise von der Entfernung zwischen diesen Knoten abhängen kann. Die Parameter α und β dienen der relativen Gewichtung zwischen Indikator einerseits und Sichtbarkeit andererseits. Für α = 0 wird analog zu einem „Greedy“-Algorithmus immer der nächstgelegene Knoten j ausgewählt. Für β = 0 ist nur die Belegung mit Indikator maßgeblich, so dass dann besonders schnell der optimale minimale Cut-Set gefunden wird.
  • Die Belegung τij(t) einer Verbindung zwischen den Knoten i und j kann insbesondere beispielsweise in einem Zeitpunkt oder Zeitschritt t durch den k-ten Agenten um einen Betrag Δ τ i j , k = { Q L k ( t ) f u ¨ r ( i , j ) T k ( t ) ,   0 s o n s t
    Figure DE102022208080A1_0002
    geändert werden. Hierin ist Tk(t) die Menge derjenigen Knoten, die der k-te Agent zum Zeitpunkt t bereits passiert hat. Q ist ein einstellbarer Parameter, der etwa die gleiche Größenordnung hat wie die Länge des optimalen minimalen Cut-Set. Über Lk(t) kann beispielsweise festgelegt werden, dass der Betrag Δτij,k mit fortschreitender Zeit t immer weiter abnimmt, so dass es besonders belohnt wird, wenn der k-te Agent auf dem Weg zum unerwünschten Ereignis schnell voranschreitet.
  • In einer besonders vorteilhaften Ausgestaltung verfällt eine Belegung einer jeden Verbindung im Fehlerbaum mit Indikator insgesamt, und/oder jeder auf diese Verbindung aufgebrachte Betrag an Indikator für sich genommen, mit einer vorgegebenen zeitlichen Rate p. Dies verstärkt den Effekt, dass weniger vorteilhafte Pfade durch den Fehlerbaum für spätere Agenten schlechter auffindbar sind. Die gesamte Änderung von τij(t) von einem diskreten Zeitschritt t zum nächsten Zeitschritt t + 1 kann beispielsweise gemäß τ i j ( t + 1 ) = ( 1 p ) τ i j ( t ) + Δ i j ( t )
    Figure DE102022208080A1_0003
    erfolgen, wobei p aus dem Intervall [0,1] zu wählen ist und Δ τ i j ( t ) = k = 1 m Δ τ i j , k ( t )
    Figure DE102022208080A1_0004
    Beiträge aller insgesamt m Agenten aufsummiert.
  • Zu Beginn der Optimierung werden die Verbindungen zwischen Knoten i und j mit geringen positiven Beträgen von Indikator belegt sein. Die Gesamtanzahl der Agenten, die zu einem gegebenen Zeitpunkt aktiv sind, kann insbesondere beispielsweise konstant gehalten werden. Beispielsweise kann zunächst von jedem Basisereignis aus ein Agent starten und immer wieder durch einen neuen ersetzt werden, wenn er sich im Fehlerbaum totgelaufen hat.
  • Die Optimierung kann insbesondere beispielsweise beendet werden, wenn die Pfade, auf denen sich die Agenten durch den Fehlerbaum bewegen, nicht mehr ändern. Die Anzahl K der hierfür erforderlichen Zeitschritte kann insbesondere beispielsweise abgeschätzt werden durch K N p '
    Figure DE102022208080A1_0005
    worin N die Anzahl derjenigen Basisereignisse im Fehlerbaum ist, die einen Eintritt in den Fehlerbaum bereitstellen, also in der besagten üblichen Darstellung eines Fehlerbaums auf dessen unterster Ebene. Basisereignisse weiter oben im Fehlerbaum sind mit logischen Gattern und/oder Basisereignissen tieferer Ebenen verbunden und stellen insoweit keinen Eintritt in den Fehlerbaum bereit. Sie werden also in der Abschätzung für K nicht berücksichtigt. K kann insbesondere beispielsweise als kürzeste Reisezeit von Agenten durch den Fehlerbaum gewertet werden. Das heißt, wenn Agenten ausgehend von einem Basisereignis in dieser Zeit das unerwünschte Ereignis erreichen, wird dieses Basisereignis als zu der gesuchten optimalen Kombination gehörig ermittelt.
  • Vorteilhaft lässt mindestens ein logisches Gatter von allen Agenten, die zu einem Zeitpunkt oder Zeitschritt als Eingaben anliegen, nur einen Agenten auf seine Ausgabe durch. Auf diese Weise wird vermieden, dass Verbindungen im Fehlerbaum allein schon auf Grund der Tatsache, dass sie von der Ausgabe eines logischen Gatters wegführen, mit besonders viel Indikator belegt werden.
  • In einer weiteren besonders vorteilhaften Ausgestaltung wird zusätzlich eine Wahrscheinlichkeit für den Eintritt des unerwünschten Ereignisses ausgewertet. Auch diese Wahrscheinlichkeit ist eine sehr wichtige Größe für die Beurteilung einer Zuverlässigkeit des technischen Systems. Das unerwünschte Ereignis steht in der üblichen Darstellung eines Fehlerbaums ganz oben; der Fehlerbaum endet im unerwünschten Ereignis. Durch die Möglichkeit, das Verfahren auch als Online-Kontrolle auf einem Embedded-System durchzuführen, kann auch die Wahrscheinlichkeit für den Eintritt des unerwünschten Ereignisses online überwacht werden. Insbesondere kann hiermit erkannt werden, wenn sich auf Grund einer geänderten Betriebssituation diese Wahrscheinlichkeit deutlich erhöht. Beispielsweise kann sich die Zuverlässigkeit eines Systems für das zumindest teilweise automatisierte Fahren verschlechtern, wenn ein Sensor verschmutzt oder dejustiert ist oder wenn Sonneneinstrahlung eine für die Umfelderfassung verwendete Kamera in die Sättigung treibt.
  • Die Wahrscheinlichkeit für den Eintritt des unerwünschten Ereignisses kann insbesondere beispielsweise
    • • aus einem Prozentsatz der Agenten, der ausgehend von den Basisereignissen das unerwünschte Ereignis erreicht, und/oder
    • • aus den Reisezeiten dieser Agenten,
    ausgewertet werden.
  • In einer weiteren besonders vorteilhaften Ausgestaltung werden Basisereignisse aus mindestens einer minimalen Kombination von Basisereignissen, die gemeinsam das unerwünschte Ereignis auslösen können, als Startpunkte für die Agenten gewählt. Auf diese Weise kann insbesondere beispielsweise aus mehreren solchen minimalen Cut-Sets derjenige ausgewählt werden, der für die Zuverlässigkeit des technischen Systems am kritischsten ist (Worst-Case-Abschätzung).
  • In einer besonders vorteilhaften Ausgestaltung ist mindestens eine Basis-Wahrscheinlichkeit als Zugehörigkeitsfunktion mindestens einer Zustandsgröße des technischen Systems und/oder seiner Umgebung, und/oder als Funktion mindestens einer anderen Basis-Wahrscheinlichkeit, festgelegt. Diese Basis-Wahrscheinlichkeiten werden auch als Fuzzy-Wahrscheinlichkeiten bezeichnet. Wenn ein bestimmter Anteil der Basis-Wahrscheinlichkeiten aus Fuzzy-Wahrscheinlichkeiten besteht, wirkt sich dies nicht zwingend auf die prinzipielle Durchführung des hier beschriebenen Verfahrens aus. Der Nutzwert des Verfahrens steigt jedoch noch einmal deutlich, weil durch die Selbstorganisation der Agenten sukzessive „unnötige“ Berechnungen von Fuzzy-Wahrscheinlichkeiten eingespart werden und gerade die Auswertung von Fuzzy-Wahrscheinlichkeiten vom Rechenaufwand her besonders „teuer“ ist. Die Basisereignisse können insbesondere beispielsweise redundant sein. Redundanz kann zum einen beispielsweise dadurch implementiert sein, dass für die Bereitstellung einer bestimmten Funktionalität mehrere Bauelemente oder Baugruppen zum Einsatz kommen, die sich gegenseitig ergänzen oder auch ersetzen können. Diese Redundanz kann insbesondere beispielsweise als „Hot-Redundanz“ realisiert werden, bei der die mehreren Bauelemente bzw. Baugruppen stets gleichzeitig aktiv sind. Dies ist der hier hauptsächlich betrachtete Fall speziell für die Zwecke des mindestens teilweise automatisierten Fahrens. Daneben gibt es auch „Cold-Redundanz“, bei der erst nach Bedarf bei Ausfall oder Fehlfunktion eines aktiven Bauelements, bzw. einer aktiven Baugruppe, ein weiteres Bauelement, bzw. eine weitere Baugruppe, aktiv wird. Ein Beispiel hierfür sind Notstromdiesel, die erst bei Netzausfall aktiviert werden.
  • Redundanz kann aber auch beispielsweise dadurch implementiert sein, dass ein und dasselbe Bauelement oder ein und dieselbe Baugruppe auf mehreren Stufen einer Kausalkette, die zu einem unerwünschten Ereignis führt, relevant ist.
  • Als technisches System kann insbesondere beispielsweise ein Fahrzeug, ein Fahrzeugsystem, ein Flugzeug, ein Flugzeugsystem, eine Drohne, eine Industrieanlage oder eine Windkraftanlage als technisches System gewählt werden.
  • Das Verfahren kann insbesondere ganz oder teilweise computerimplementiert sein. Daher bezieht sich die Erfindung auch auf ein Computerprogramm mit maschinenlesbaren Anweisungen, die, wenn sie auf einem oder mehreren Computern ausgeführt werden, den oder die Computer dazu veranlassen, das beschriebene Verfahren auszuführen. In diesem Sinne sind auch Steuergeräte für Fahrzeuge und Embedded-Systeme für technische Geräte, die ebenfalls in der Lage sind, maschinenlesbare Anweisungen auszuführen, als Computer anzusehen.
  • Ebenso bezieht sich die Erfindung auch auf einen maschinenlesbaren Datenträger und/oder auf ein Downloadprodukt mit dem Computerprogramm. Ein Downloadprodukt ist ein über ein Datennetzwerk übertragbares, d.h. von einem Benutzer des Datennetzwerks downloadbares, digitales Produkt, das beispielsweise in einem Online-Shop zum sofortigen Download feilgeboten werden kann.
  • Weiterhin kann ein Computer mit dem Computerprogramm, mit dem maschinenlesbaren Datenträger bzw. mit dem Downloadprodukt ausgerüstet sein.
  • Weitere, die Erfindung verbessernde Maßnahmen werden nachstehend gemeinsam mit der Beschreibung der bevorzugten Ausführungsbeispiele der Erfindung anhand von Figuren näher dargestellt.
  • Ausführungsbeispiele
  • Es zeigt:
    • 1 Ausführungsbeispiel des Verfahrens 100 zur Bestimmung einer optimalen Kombination 3* von Basisereignissen 3;
    • 2 Veranschaulichung der Simulation von Wegen von Agenten 6 durch einen Fehlerbaum 5.
  • 1 ist ein schematisches Ablaufdiagramm eines Ausführungsbeispiels des Verfahrens 100 zur Bestimmung einer optimalen Kombination 3* von Basisereignissen 3, die gemeinsam in einem technischen System 1 mindestens ein unerwünschtes Ereignis 2 auslösen können.
  • In Schritt 110 wird ein Fehlerbaum 5 bereitgestellt. Dieser Fehlerbaum 5 gibt das logische Zusammenwirken der Basisereignisse 3 über logische Gatter 4 an. Er enthält weiterhin Basis-Wahrscheinlichkeiten 3a, mit denen die Basisereignisse 3 jeweils eintreten.
  • Gemäß Block 111 kann mindestens eine Basis-Wahrscheinlichkeit 3a als Zugehörigkeitsfunktion mindestens einer Zustandsgröße des technischen Systems 1 und/oder seiner Umgebung, und/oder als Funktion mindestens einer anderen Basis-Wahrscheinlichkeit 3a, festgelegt sein. Es handelt sich dann bei dieser Basis-Wahrscheinlichkeit 3a um eine Fuzzy-Wahrscheinlichkeit.
  • In Schritt 120 wird in einer Simulation ausgehend von jedem Basisereignis 3 eine Vielzahl autonomer Agenten 6 in Richtung auf das unerwünschte Ereignis 2 durch den Fehlerbaum 5 geschickt. Hierbei wählt jeder Agent 6 an Verzweigungen die nächste zu beschreitende Verbindung im Fehlerbaum 5 probabilistisch aus. Diejenige Verbindung im Fehlerbaum 5, die beschritten wird, wird jeweils vorübergehend mit einem vorgegebenen Betrag eines Indikators 7 markiert. Dabei sind die Anzahlen der Agenten 6, die pro Zeiteinheit von jedem Basisereignis 3 starten, durch die jeweiligen Basis-Wahrscheinlichkeiten 3a festgelegt.
  • Gemäß Block 121 kann die Wahrscheinlichkeit, mit der ein Agent 6 an mindestens einer Verzweigung eine nächste zu beschreitende Verbindung auswählt, von dem Betrag des Indikators 7 abhängen, mit dem diese Verbindung aktuell markiert ist.
  • Die Verbindungen im Fehlerbaum 5 können mit Distanzen belegt sein. Gemäß Block 122 kann dann die Wahrscheinlichkeit, mit der ein Agent 6 an mindestens einer Verzweigung eine nächste zu beschreitende Verbindung auswählt, von der Distanz abhängen, mit der diese Verbindung belegt ist.
  • Gemäß Block 123 kann eine Belegung einer jeden Verbindung im Fehlerbaum 5 mit Indikator 7 insgesamt, und/oder jeder auf diese Verbindung aufgebrachte Betrag an Indikator 7 für sich genommen, mit einer vorgegebenen zeitlichen Rate p verfallen.
  • Das Ergebnis von Schritt 120 besteht für jeden Agenten 6 zunächst darin, ob dieser Agent 6 ausgehend von einem Basisereignis 3 letztendlich das unerwünschte Ereignis 2 erreicht und, wenn ja, in welcher Reisezeit. Zusätzlich ändert jeder Weg eines Agenten 6 durch den Fehlerbaum 5 die Belegung von Verbindungen in dem Fehlerbaum mit Indikator 7. Dies ist in 2 näher erläutert.
  • In Schritt 130 wird die Kombination derjenigen Basisereignisse 3, von denen
    • • Verbindungen mit der größten Belegung mit Indikator 7 ausgehen, und/oder
    • • das unerwünschte Ereignis 2 durch die Agenten 6 in einer kürzesten Reisezeit erreicht wird,
    als die gesuchte optimale Kombination 3* von Basisereignissen 3 ermittelt.
  • Gemäß Block 131 kann ein Verhältnis zwischen der Anzahl N der Basisereignisse 3 und der zeitlichen Rate p als kürzeste Reisezeit für Agenten 6 gewertet werden.
  • In Schritt 140 wird zusätzlich eine Wahrscheinlichkeit 2a für den Eintritt des unerwünschten Ereignisses 2 ausgewertet. Diese Wahrscheinlichkeit 2a kann insbesondere beispielsweise gemäß Block 141
    • • aus einem Prozentsatz der Agenten 6, der ausgehend von den Basisereignissen 3 das unerwünschte Ereignis 2 erreicht, und/oder
    • • aus den Reisezeiten dieser Agenten 6,
    ausgewertet werden.
  • 2 veranschaulicht den Weg von Agenten 6 durch einen beispielhaften Fehlerbaum 5.
  • Der Fehlerbaum 5 enthält Basisereignisse 3. Diese sind über logische Gatter 4 miteinander und mit einem unerwünschten Ereignis 2 („top“) verknüpft. Kombinationen eintretender Basisereignisse 3 können das unerwünschte Ereignis 2 auslösen. Es gibt Basisereignisse 3, deren Eintrittswahrscheinlichkeit von keinem anderen Basisereignis 3 abhängt („e1“, „e2“, „e3“, „e4“). Es gibt aber auch Basisereignisse 3, die den Eintritt anderer Basisereignisse 3 zur Vorbedingung haben („g1“, „g2“, „g3“, „g4“).
  • In dem Fehlerbaum 5 ist beispielhaft ein Agent 6 eingezeichnet. Dieser Agent 6 startet am Basisereignis 3, e2. Die durch den Fehlerbaum 5 angegebenen Verbindungen zwischen Basisereignissen 3 und logischen Gattern 4 geben die Möglichkeiten an, wie der Agent 6 durch den Fehlerbaum 5 reisen kann.
  • In dem in 2 gezeigten Beispiel wandert der Agent 6 zunächst durch ein logisches Gatter 4 zum Basisereignis 3, g3, da es keine andere Möglichkeit gibt. Ausgehend vom Basisereignis 3, g3 hat der Agent 6 jedoch zwei Möglichkeiten. Der Agent 6 kann, jeweils über ein weiteres logisches Gatter 4, entweder auf dem Weg a zum Basisereignis 3, g1 oder auf dem Weg b zum Basisereignis 3, g2 reisen. Die Wahrscheinlichkeit für jeden Weg hängt in diesem Beispiel von der Belegung von Verbindungen im Fehlerbaum 5 mit Indikator 7 ab. In 2 sind einige Belegungen von Verbindungen mit Indikator 7 beispielhaft eingezeichnet, wobei die Anzahl der parallelen gestrichpunkteten Linien jeweils den Betrag an Indikator 7 auf der jeweiligen Verbindung symbolisiert.
  • Konkret bedeutet dies für den beispielhaften Agenten 6, dass er ausgehend vom Basisereignis 3, g3 den Weg b zum Basisereignis 3, g2 beschreiten wird, denn die Verbindung entlang des Weges b ist mit einem mittleren Betrag an Indikator 7 (zwei gestrichpunktete Linien) markiert, während die Verbindung entlang des Weges a gar nicht mit Indikator 7 belegt ist.
  • In 2 ist der gesamte Pfad P, den der Agent 6 vom Basisereignis 3, e2 bis zum unerwünschten Ereignis 2, top verfolgt, beispielhaft eingezeichnet.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102018203374 A1 [0004]

Claims (19)

  1. Verfahren (100) zur Bestimmung einer optimalen Kombination (3*) von Basisereignissen (3), die gemeinsam in einem technischen System (1) mindestens ein unerwünschtes Ereignis (2) auslösen können, mit den Schritten: • es wird ein Fehlerbaum (5) bereitgestellt (110), der ◯ das logische Zusammenwirken der Basisereignisse (3) über logische Gatter (4) sowie ◯ Basis-Wahrscheinlichkeiten (3a), mit denen die Basisereignisse (3) jeweils eintreten, angibt; • ausgehend von jedem Basisereignis (3), das einen Eintritt in den Fehlerbaum (5) bereitstellt, wird eine Vielzahl autonomer Agenten (6) in Richtung auf das unerwünschte Ereignis (2) durch den Fehlerbaum (5) geschickt (120), wobei ◯ jeder Agent (6) an Verzweigungen die nächste zu beschreitende Verbindung im Fehlerbaum (5) probabilistisch auswählt; ◯ jede Verbindung im Fehlerbaum (5) beim Beschreiten durch einen Agenten (6) vorübergehend mit einem vorgegebenen Betrag eines Indikators (7) markiert wird; und ◯ die Anzahlen der Agenten (6), die pro Zeiteinheit von jedem Basisereignis (3) starten, durch die jeweiligen Basis-Wahrscheinlichkeiten (3a) festgelegt sind; • die Kombination derjenigen Basisereignisse (3), von denen ◯ Verbindungen mit der größten Belegung mit Indikator (7) ausgehen, und/oder ◯ das unerwünschte Ereignis (2) durch die Agenten (6) in einer kürzesten Reisezeit erreicht wird, wird als die gesuchte optimale Kombination (3*) ermittelt (130).
  2. Verfahren (100) nach Anspruch 1, wobei die Wahrscheinlichkeit, mit der ein Agent (6) an mindestens einer Verzweigung eine nächste zu beschreitende Verbindung auswählt, von dem Betrag des Indikators (7) abhängt (121), mit dem diese Verbindung aktuell markiert ist.
  3. Verfahren (100) nach einem der Ansprüche 1 bis 2, wobei • Verbindungen im Fehlerbaum (5) mit Distanzen belegt sind und • die Wahrscheinlichkeit, mit der ein Agent (6) an mindestens einer Verzweigung eine nächste zu beschreitende Verbindung auswählt, von der Distanz abhängt (122), mit der diese Verbindung belegt ist.
  4. Verfahren (100) nach einem der Ansprüche 1 bis 3, wobei eine Belegung einer jeden Verbindung im Fehlerbaum (5) mit Indikator (7) insgesamt, und/oder jeder auf diese Verbindung aufgebrachte Betrag an Indikator (7) für sich genommen, mit einer vorgegebenen zeitlichen Rate p verfällt (123).
  5. Verfahren (100) nach Anspruch 4, wobei ein Verhältnis zwischen der Anzahl N derjenigen Basisereignisse (3), die einen Eintritt in den Fehlerbaum (5) bereitstellen, und der zeitlichen Rate p als kürzeste Reisezeit für Agenten (6) gewertet wird (131).
  6. Verfahren (100) nach einem der Ansprüche 1 bis 5, wobei mindestens ein logisches Gatter (4) von allen Agenten (6), die zu einem Zeitpunkt oder Zeitschritt als Eingaben anliegen, nur einen Agenten (6) auf seine Ausgabe durchlässt.
  7. Verfahren (100) nach einem der Ansprüche 1 bis 6, wobei zusätzlich eine Wahrscheinlichkeit (2a) für den Eintritt des unerwünschten Ereignisses (2) ausgewertet wird (140).
  8. Verfahren (100) nach Anspruch 7, wobei die Wahrscheinlichkeit (2a) für den Eintritt des unerwünschten Ereignisses • aus einem Prozentsatz der Agenten (6), der ausgehend von den Basisereignissen (3) das unerwünschte Ereignis (2) erreicht, und/oder • aus den Reisezeiten dieser Agenten (6), ausgewertet wird (141).
  9. Verfahren (100) nach einem der Ansprüche 1 bis 8, wobei Basisereignisse (3) aus mindestens einer minimalen Kombination von Basisereignissen (3), die gemeinsam das unerwünschte Ereignis (2) auslösen können, als Startpunkte für die Agenten (6) gewählt werden.
  10. Verfahren (100) nach einem der Ansprüche 1 bis 9, wobei mindestens eine Basis-Wahrscheinlichkeit (3a) als Zugehörigkeitsfunktion mindestens einer Zustandsgröße des technischen Systems (1) und/oder seiner Umgebung, und/oder als Funktion mindestens einer anderen Basis-Wahrscheinlichkeit (3a), festgelegt ist (111).
  11. Verfahren (100) nach einem der Ansprüche 1 bis 10, wobei redundante Basisereignisse (3) gewählt werden (112).
  12. Verfahren (100) nach Anspruch 11, wobei die Redundanz von Basisereignissen (3) in dem technischen System (1) dadurch implementiert ist, dass für die Bereitstellung einer bestimmten Funktionalität mehrere Bauelemente oder Baugruppen zum Einsatz kommen, die sich gegenseitig ergänzen oder auch ersetzen können.
  13. Verfahren (100) nach Anspruch 12, wobei die Redundanz in dem technischen System (1) realisiert ist als • Hot-Redundanz dahingehend, dass die mehreren Bauelemente oder Baugruppen, die ein und dieselbe Funktionalität bereitstellen, stets gleichzeitig aktiv sind, und/oder als • Cold-Redundanz dahingehend, dass erst nach Bedarf bei Ausfall oder Fehlfunktion eines aktiven Bauelements, bzw. einer aktiven Baugruppe, ein weiteres Bauelement, bzw. eine weitere Baugruppe, aktiv wird.
  14. Verfahren (100) nach einem der Ansprüche 11 bis 13, wobei die Redundanz von Basisereignissen (3) in dem technischen System (1) dadurch implementiert ist, dass ein und dasselbe Bauelement oder ein und dieselbe Baugruppe auf mehreren Stufen einer Kausalkette, die zu einem unerwünschten Ereignis (2) führt, relevant ist.
  15. Verfahren (100) nach einem der Ansprüche 1 bis 14, wobei das Verfahren (100) in Echtzeit auf einem Embedded-System, das in dem technischen System (1) enthalten ist oder von ihm mitgeführt wird, ausgeführt wird.
  16. Verfahren (100) nach einem der Ansprüche 1 bis 15, wobei ein Fahrzeug, ein Fahrzeugsystem, ein Flugzeug, ein Flugzeugsystem, eine Drohne, eine Industrieanlage oder eine Windkraftanlage als technisches System (1) gewählt wird.
  17. Computerprogramm, enthaltend maschinenlesbare Anweisungen, die, wenn sie auf einem oder mehreren Computern ausgeführt werden, den oder die Computer dazu veranlassen, das Verfahren (100) nach einem der Ansprüche 1 bis 16 auszuführen.
  18. Maschinenlesbarer Datenträger und/oder Downloadprodukt mit dem Computerprogramm nach Anspruch 17.
  19. Ein oder mehrere Computer mit dem Computerprogramm nach Anspruch 17, und/oder mit dem maschinenlesbaren Datenträger und/oder Downloadprodukt nach Anspruch 18.
DE102022208080.7A 2022-08-03 2022-08-03 Bestimmen eines optimalen cut-sets von Basisereignissen in einem Fehlerbaum eines technischen Systems Pending DE102022208080A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022208080.7A DE102022208080A1 (de) 2022-08-03 2022-08-03 Bestimmen eines optimalen cut-sets von Basisereignissen in einem Fehlerbaum eines technischen Systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022208080.7A DE102022208080A1 (de) 2022-08-03 2022-08-03 Bestimmen eines optimalen cut-sets von Basisereignissen in einem Fehlerbaum eines technischen Systems

Publications (1)

Publication Number Publication Date
DE102022208080A1 true DE102022208080A1 (de) 2024-02-08

Family

ID=89575417

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022208080.7A Pending DE102022208080A1 (de) 2022-08-03 2022-08-03 Bestimmen eines optimalen cut-sets von Basisereignissen in einem Fehlerbaum eines technischen Systems

Country Status (1)

Country Link
DE (1) DE102022208080A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018203374A1 (de) 2018-03-07 2019-09-12 Robert Bosch Gmbh Fehlerbaumanalyse für technische Systeme

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018203374A1 (de) 2018-03-07 2019-09-12 Robert Bosch Gmbh Fehlerbaumanalyse für technische Systeme

Similar Documents

Publication Publication Date Title
EP0894304B2 (de) Verfahren zur automatischen diagnose technischer systeme unter berücksichtigung eines effizienten wissenserwerbs und einer effizienten bearbeitung zur laufzeit
WO2005111752A1 (de) Wissensbasiertes diagnosesystem für ein komplexes technisches system mit zwei getrennten wissensbasen zur verarbeitung technischer systemdaten und zur verarbeitung von kundenbeanstandungen
DE4108310A1 (de) Wissensbank-verarbeitungssystem und expertensystem
DE102018203374A1 (de) Fehlerbaumanalyse für technische Systeme
WO2021058223A1 (de) Verfahren zur effizienten, simulativen applikation automatisierter fahrfunktionen
DE112019003929T5 (de) Elektronische steuervorrichtung und aktualisierungssystem eines neuronalen netzes
DE102018211726A1 (de) Verfahren zum automatischen maschinellen Trainieren eines elektronischen Fahrzeugführungssystems, sowie Kraftfahrzeug
WO2022069466A1 (de) Ermittlung einer prognose für einen zeithorizont in der zukunft auf basis eines zeithorizonts aus der vergangenheit, insbesondere vorhersage eines schadstoffwertes in der luft
DE102022208080A1 (de) Bestimmen eines optimalen cut-sets von Basisereignissen in einem Fehlerbaum eines technischen Systems
Staab Exit-Kapitalismus revisited
DE102020213888A1 (de) Computerimplementiertes Verfahren zum Bestimmen von Kritikalitätswerten eines technischen Systems
DE102019108142A1 (de) Auswählen einer Handlungsoption für ein automatisiertes Kraftfahrzeug
DE102019208233A1 (de) Verfahren und Vorrichtung zum automatischen Ausführen einer Steuerfunktion eines Fahrzeugs
EP1717651B1 (de) Verfahren und Vorrichtung zum Auswerten von Ereignissen aus dem Betrieb eines Fahrzeuges
DE102021201977A1 (de) Fehlerbaumanalyse mit maschinellem Lernen
DE102019113958A1 (de) Verfahren zur Leistungssteigerung eines Fahrzeugsystems mit einem neuronalen Netz zum Steuern einer Fahrzeugkomponente
DE102015201868A1 (de) Optimierte Speicherung einer Umfeldkarte im Speicher eines Fahrzeugs
DE102022203907A1 (de) Fehlerbaumanalyse mit Abschätzung über die kritische Wahrscheinlichkeit
DE102007045255B4 (de) Verfahren zur Herstellung eines Diagnosesystems, insbesondere für ein Kraftfahrzeug
DE102020213830A1 (de) Verfahren und System zur Bereitstellung einer Diagnoseinformation
EP1500567B1 (de) Verfahren zur Auflösung von Konflikten in einem spurgebundenen Verkehrssystem
DE102007032926A1 (de) Verfahren und Vorrichtung zur Produktionsplanung
DE3609925A1 (de) Einrichtung zur simulation von neuronensystemen
EP0874321A2 (de) Relationales Speicher- und Datenverarbeitungssystem
DE102022207998A1 (de) Fuzzy-Fehlerbaumanalyse mit einem rekurrenten neuronalen Netzwerk