JP6639550B2 - 潜在的なシステム故障状態を特定するための、故障の木を使用した安全性確保 - Google Patents

潜在的なシステム故障状態を特定するための、故障の木を使用した安全性確保 Download PDF

Info

Publication number
JP6639550B2
JP6639550B2 JP2018075517A JP2018075517A JP6639550B2 JP 6639550 B2 JP6639550 B2 JP 6639550B2 JP 2018075517 A JP2018075517 A JP 2018075517A JP 2018075517 A JP2018075517 A JP 2018075517A JP 6639550 B2 JP6639550 B2 JP 6639550B2
Authority
JP
Japan
Prior art keywords
failure
diagnostic
fault
event
fault condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2018075517A
Other languages
English (en)
Other versions
JP2019003612A (ja
Inventor
ヘフィッヒ カイ
ヘフィッヒ カイ
シュヴィン ジャン−パスカル
シュヴィン ジャン−パスカル
ツェラー マルク
ツェラー マルク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of JP2019003612A publication Critical patent/JP2019003612A/ja
Application granted granted Critical
Publication of JP6639550B2 publication Critical patent/JP6639550B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • G05B23/0245Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
    • G05B23/0248Causal models, e.g. fault tree; digraphs; qualitative physics
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0283Predictive maintenance, e.g. involving the monitoring of a system and, based on the monitoring results, taking decisions on the maintenance schedule of the monitored system; Estimating remaining useful life [RUL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/10Geometric CAD
    • G06F30/17Mechanical parametric or variational design
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/30Circuit design
    • G06F30/32Circuit design at the digital level
    • G06F30/33Design verification, e.g. functional simulation or model checking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Geometry (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明の様々な例は、一般に、構成要素故障の木などの故障の木を使用して多要素制御またはアクチュエータシステムをモデル化することに関する。特に、本発明の様々な例は、潜在的なシステム故障状態を特定するために、動作故障イベントを故障の木の診断故障イベントと関連付けることに関する。
航空宇宙、鉄道、医療、自動車および産業オートメーションなど、埋込み型システムの多くの適用領域におけるセーフティクリティカルシステムの重要性は継続的に増している。それによってシステムの複雑度が増すにつれて、上記のような業務領域において高品質の要求を確実に満たすために安全性確保とその努力に対する必要性も高まっている。安全性確保の目的は、各システムが人を傷つける危険な状況に導いたり、環境を危険にさらしたりするような事態を確実に防ぐことである。セーフティクリティカルシステムの業務領域において、安全性確保は、例えば、標準規格(非特許文献1参照)によって規定されている。
従来、安全性に関するシステムの評価は、故障モードおよび効果解析(FMEA)などのボトムアップ安全解析アプローチに基づいて行われる(非特許文献2参照)。あるいは、基準実装に応じたシステムの評価は、故障の木解析(FTA)などのトップダウンアプローチに基づいて行われる(非特許文献3を参照)。そのような技術によって、システムの故障状態、その原因、システム安全性に及ぼす影響を識別できる。
しかしながら、そのようなアプローチでも、潜在的なシステムの故障状態を識別するのが困難な場合がある。潜在的なシステム故障状態(隠れたシステム故障状態と呼ばれることもある)は、特定の診断動作の識別を必要とするシステムの故障、すなわちシステムの1つ以上の構成要素の故障に対応する。潜在的なシステム故障状態は、操作および保守スタッフがすぐに発見できない故障である。潜在的なシステム故障状態は、例えば、非特許文献4に説明されている。
例えば、リファレンス実装では、通常、潜在的なシステム故障状態は、例えば車両の回路図などのシステム設計に関する情報に基づいて手作業で識別される。しかしながら、そのようなリファレンス実装は特定の制約および欠点に直面する。現在のシステムの複雑性が増し続けているため、潜在的なシステム故障状態を識別するために必要とされる労力も急激に増している。さらに、潜在的なシステム故障状態を手作業で識別することはエラーを招きやすい。さらに、潜在的なシステム故障状態を軽減する診断手段は、通常、手作業で指定する必要があるため、エラーを招きやすく、相当な労力を必要とする。
WO2015/151014A1 US2012/166082A1 US2015/067400A1
International Electrotechnical Commission (IEC) 61508 "Functional safety of electrical/electronic/programmable electronic safety related systems" (1998) IEC 60812 "Analysis Techniques for System Reliability − Procedure for Failure Mode and Effects Analysis (FMEA)" (1991) Vesely, W.E., Goldberg, F.F., Roberts, N.H., Haasl, D.F.: Fault Tree Handbook. US Nuclear Regulatory Commission (1981) International Standard ISO 14224 (2006−12−15); section C.6 Yang, Zong−Xiao, et al. "Fuzzy fault diagnostic system based on fault tree analysis."Fuzzy Systems, 1995. International Joint Conference of the Fourth IEEE International Conference on Fuzzy Systems and The Second International Fuzzy Engineering Symposium., Proceedings of 1995 IEEE Int. Vol. 1. IEEE, 1995.
特許文献1は、1つ以上のツリー構造にアクセスできる故障の木解析ツールを開示する。各ツリー構造は、例えば航空機の制御システムまたはサブシステムと関連付けられた故障の木でもよい。故障の木解析ツールは、ツリー構造に基づいて1つ以上のリストを出力できる。各リストは、ツリー構造に対するイベントとそのイベントそれぞれの可能性とを定義するイベントリストを含みうる。リスク計算を実行してもよい。
特許文献2は、機器における1つ以上の故障または1つ以上の潜在的故障を診断するためのシステムおよび方法を開示する。故障の木を有する専門家システムモジュールは、フォールド認識モジュールからの出力に基づいて故障の木の短縮部のみを介して案内される。
特許文献3は、解析対象の故障の木を作成する際に不要な要素を破棄するシステムを開示する。構成情報は、その対象によって含まれる複数の機能ブロックと、機能ブロックおよび論理的関係をつなぐ複数の信号線とを識別する。排除対象情報によって、情報を無くすことなく複数の信号線から排除され得る信号線を識別する。
非特許文献5は、故障の木解析からの情報とデータの不確実/不正確さとを用いたプロセス故障診断のための方法を開示する。この故障の木解析は、プロセス内の故障を識別するための手順を提供する。
したがって、セーフティクリティカルシステムを解析する高度な技術が必要とされている。特に、潜在的なシステム故障状態の識別を容易にする技術が必要とされている。
この必要性は独立請求項の特徴部分によって満たされる。従属請求項の特徴部分は実施形態を明確にしている。
コンピュータ実装方法は、構成要素故障の木(CFT)を用いて多要素制御またはアクチュエータシステムをモデル化するステップを含む。前記CFTは、前記システムの構成要素と関連付けられた複数の要素を含む。前記CFTは、さらに、前記複数の要素のうちの要素間の複数の相互接続を含む。前記相互接続は、前記システムの前記構成要素間の機能的依存と関連付けられる。本方法は、さらに、要素のうちの少なくともいくつかに対して、前記システムのそれぞれの構成要素の故障と関連付けられている動作故障イベントを割り当てるステップを含む。前記方法は、さらに、前記複数の要素の少なくともいくつかの要素に対して、前記システムのそれぞれの構成要素と関連付けられた診断手段の故障と関連付けられた診断故障イベントを割り当てるステップを含む。前記方法は、さらに、前記動作故障イベントを前記診断故障イベントと関連付けるステップと、前記動作故障イベントの前記診断故障イベントとの前記関連付けに応じて、前記システムの複数の故障状態の潜在的なシステム故障状態および非潜在的なシステム故障状態を識別するステップを含む。
装置は少なくとも1つの処理装置を含む。前記少なくとも1つの処理装置は、方法を実行するように構成される。前記方法は、CFTを用いて多要素制御またはアクチュエータシステムをモデル化するステップを含む。前記CFTは、前記システムの構成要素と関連付けられた複数の要素を含む。前記CFTは、さらに、前記複数の要素のうちの要素間の複数の相互接続を含む。前記相互接続は、前記システムの前記構成要素間の機能的依存と関連付けられる。本方法は、さらに、要素のうちの少なくともいくつかに対して、前記システムのそれぞれの構成要素の故障と関連付けられている動作故障イベントを割り当てるステップを含む。前記方法は、さらに、前記複数の要素の少なくともいくつかの要素に対して、前記システムのそれぞれの構成要素と関連付けられた診断手段の故障と関連付けられた診断故障イベントを割り当てるステップを含む。前記方法は、さらに、前記動作故障イベントを前記診断故障イベントと関連付けるステップと、前記動作故障イベントの前記診断故障イベントとの前記関連付けに応じて、前記システムの複数のシステム故障状態の潜在的なシステム故障状態および非潜在的なシステム故障状態を識別するステップを含む。
コンピュータプログラム製品は、少なくとも1つの処理装置によって実行されるプログラムコードを含む。前記少なくとも1つの処理装置によって前記プログラムコードを実行することにより、前記少なくとも1つの処理装置に方法を実行させてもよい。前記方法は、CFTを用いて多要素制御またはアクチュエータシステムをモデル化するステップを含む。前記CFTは、前記システムの構成要素と関連付けられた複数の要素を含む。前記CFTは、さらに、前記複数の要素のうちの要素間の複数の相互接続を含む。前記相互接続は、前記システムの前記構成要素間の機能的依存と関連付けられる。本方法は、さらに、要素のうちの少なくともいくつかに対して、前記システムのそれぞれの構成要素の故障と関連付けられている動作故障イベントを割り当てるステップを含む。前記方法は、さらに、前記複数の要素の少なくともいくつかの要素に対して、前記システムのそれぞれの構成要素と関連付けられた診断手段の故障と関連付けられた診断故障イベントを割り当てるステップを含む。前記方法は、さらに、前記動作故障イベントを前記診断故障イベントと関連付けるステップと、前記関連付けに応じて、前記システムの複数のシステム故障状態の潜在的なシステム故障状態および非潜在的なシステム故障状態を識別するステップを含む。
コンピュータプログラムは、少なくとも1つの処理装置によって実行されるプログラムコードを含む。前記少なくとも1つの処理装置によって前記プログラムコードを実行することにより、前記少なくとも1つの処理装置に方法を実行させてもよい。前記方法は、CFTを用いて多要素制御またはアクチュエータシステムをモデル化するステップを含む。前記CFTは、前記システムの構成要素と関連付けられた複数の要素を含む。前記CFTは、さらに、前記複数の要素のうちの要素間の複数の相互接続を含む。前記相互接続は、前記システムの前記構成要素間の機能的依存と関連付けられる。本方法は、さらに、要素のうちの少なくともいくつかに対して、前記システムのそれぞれの構成要素の故障と関連付けられている動作故障イベントを割り当てるステップを含む。前記方法は、さらに、前記複数の要素の少なくともいくつかの要素に対して、前記システムのそれぞれの構成要素と関連付けられた診断手段の故障と関連付けられた診断故障イベントを割り当てるステップを含む。前記方法は、さらに、前記動作故障イベントを前記診断故障イベントと関連付けるステップと、前記関連付けに応じて、前記システムの複数のシステム故障状態の潜在的なシステム故障状態および非潜在的なシステム故障状態を識別するステップを含む。
方法は、故障の木(FT)を使用して制御またはアクチュエータシステムをモデル化するステップを含む。前記方法は、さらに、前記システムの故障と関連付けられた動作故障イベントを定義するステップを含む。前記方法は、さらに、前記システムの診断手段の故障と関連付けられた診断故障イベントを定義するステップを含む。前記方法は、さらに、前記動作故障イベントを前記診断故障イベントと関連付けるステップと、前記関連付けに応じて、前記システムの複数のシステム故障状態の潜在的なシステム故障状態および非潜在的なシステム故障状態を識別するステップを含む。
装置は、少なくとも1つの処理装置を含む。前記少なくとも1つの処理装置は、方法を実行するように構成される。前記方法は、故障の木(FT)を使用して制御またはアクチュエータシステムをモデル化することを含む。前記方法は、さらに、前記システムの故障と関連付けられた動作故障イベントを定義することを含む。前記方法は、さらに、前記システムの診断手段の故障と関連付けられた診断故障イベントを定義することを含む。前記方法は、さらに、前記動作故障イベントを前記診断故障イベントと関連付け、前記関連付けに応じて、前記システムの複数のシステム故障状態の潜在的なシステム故障状態および非潜在的なシステム故障状態を識別することを含む。
コンピュータプログラム製品は、少なくとも1つの処理装置によって実行されるプログラムコードを含む。前記少なくとも1つの処理装置によって前記プログラムコードを実行することにより、前記少なくとも1つの処理装置に方法を実行させてもよい。前記方法は、故障の木(FT)を使用して制御またはアクチュエータシステムをモデル化するステップを含む。前記方法は、さらに、前記システムの故障と関連付けられた動作故障イベントを定義するステップを含む。前記方法は、さらに、前記システムの診断手段の故障と関連付けられた診断故障イベントを定義するステップを含む。前記方法は、さらに、前記動作故障イベントを前記診断故障イベントと関連付けるステップと、前記関連付けに応じて、前記システムの複数のシステム故障状態の潜在的なシステム故障状態および非潜在的なシステム故障状態を識別するステップを含む。
コンピュータプログラムは、少なくとも1つの処理装置によって実行されるプログラムコードを含む。前記少なくとも1つの処理装置によって前記プログラムコードを実行することにより、前記少なくとも1つの処理装置に方法を実行させてもよい。前記方法は、故障の木(FT)を使用して制御またはアクチュエータシステムをモデル化するステップを含む。前記方法は、さらに、前記システムの故障と関連付けられた動作故障イベントを定義するステップを含む。前記方法は、さらに、前記システムの診断手段の故障と関連付けられた診断故障イベントを定義するステップを含む。前記方法は、さらに、前記動作故障イベントを前記診断故障イベントと関連付けるステップと、前記関連付けに応じて、前記システムの複数のシステム故障状態の潜在的なシステム故障状態および非潜在的なシステム故障状態を識別するステップを含む。
なお、上述の特徴および後述の特徴は、本発明の範囲内において、示されるそれぞれの組み合わせだけでなく、その他の組み合わせまたは個別においても使用可能である。上述の態様および実施形態の特徴は、その他の実施形態において相互に組み合わせ可能である。
様々な例によるFTを概略的に示す。 様々な例によるCFTを概略的に示す。 様々な例による多要素システムを概略的に示す。 様々な例による、図3の多要素システムのCFTを概略的に示す。 様々な例による診断故障イベントを概略的に示す。 様々な例による装置を概略的に示す。 様々な例による方法のフローチャートである。 様々な例によるCFTを概略的に示す。
添付図面を参照して本発明の実施形態を以下に詳述する。なお、実施形態の以下の説明は限定的な意味で解釈されるべきものではない。本発明の範囲は、以下に説明する実施形態または図面によって限定されるものではなく、それらは例示目的で提示されているに過ぎない。
図面は概略的表現としてみなされるべきものであり、図面に図示された要素は必ずしも尺度によって示されていない。様々な要素は、その機能および一般的な目的が当業者に明らかなように表現される。図面または本明細書で説明する機能ブロック、装置、構成要素、またはその他の物理的部材もしくは機能的部材間の接続または結合は、間接的接続または結合によっても実現されうる。構成要素間の結合は、無線接続を介しても確立されうる。機能ブロックは、ハードウェア、ファームウェア、ソフトウェア、またはその組み合わせによって実現されうる。
以下、安全性確保のための技術を説明する。アクチュエータおよび制御システムなどの多要素システムの安全性確保は、そのようなシステムを動作する上での安全性を増すために役立つ。
以下、セーフティクリティカルシステムにおける潜在的なシステム故障状態(潜在的なシステム故障状態とも呼ばれる)を確実に検出する技術を説明する。潜在的な故障状態は、上述したように、識別対象の特定の診断動作を必要とするシステムの故障に相当する。潜在的なシステム故障状態は、操作スタッフまたは保守スタッフにとって即座に明らかとならない故障である。潜在的なシステム故障状態は、例えば、非特許文献4に説明されている。
一般に、本明細書で説明する技術は様々な種類およびタイプのセーフティクリティカルシステムにおいて適用可能である。例えば、本明細書で説明する技術は、多要素制御またはアクチュエータシステムにおいて適用可能である。そのような制御またはアクチュエータシステムは、特定の機器に対して制御機能または活性化機能を提供する。多要素セーフティクリティカルシステムのいくつかの要素はハードウェアで実現可能であるが、これに代え、またはこれに加えて、いくつかの要素はソフトウェアで実現可能である。潜在的なシステム故障状態を検出する技術の使用対象であるセーフティクリティカルシステムは、1つ以上の機器を操作または制御するためのアクチュエータの発生力または制御信号を提供する出力を含む。本明細書に記載する潜在的なシステム故障状態を識別する技術を利用するセーフティクリティカルシステムの特定の例は、トランジスタ、コイル、コンデンサ、抵抗器などの能動および/または受動電子構成要素を含む電子回路、列車もしくは客車などの車両または航空機のための動力伝達機構、ベルトコンベア、ロボット、可動部品、制御部、製品検査(後工程検査)のための検査部を含む組立ライン、磁気共鳴撮像またはコンピュータ断層撮影を含む撮像システム、量子線がん治療システムなどの医療システム、電力プラントなどを含むが、それに限らない。
本明細書に記載する様々な例において、上記のようなシステムは、安全性確保から導出された情報に基づいて動作可能である。例えば、潜在的なシステム故障状態が識別されると、他の潜在的なシステム故障状態を明らかにするように診断手段を定義した後、その定義された診断手段に応じてシステムを動作させることが可能となる。
潜在的なシステム故障状態の検出の技術の様々な実装は、通常、従来のFTを使用可能であるが、CFTを使用してシステムをモデル化することに依拠してもよい。説明を単純にするために、CFTを使用した場合の様々な例を以下に説明するが、一般にFTも使用可能である。
CFTは、例えば、Kaiser, B., Liggesmeyer, P., Maeckel, O.: A new component concept for fault trees. Proceedings of the 8th Australian Workshop on Safety Critical Systems and Software − Volume 33. pp. 37〜46. SCS ’03 (2003)に説明されている。CFTは、モジュールおよび構成安全解析戦略に対応するFTAのためのモデルベースおよび構成要素ベースの方法論を提供する。CFTは、複数の要素を含む。各要素は、システムの構成要素と関連付けられる。また、CFTは、要素間の複数の相互接続を含む。相互接続は、システムの構成要素間の機能的依存と関連付けられる。そのような機能的依存は、制御信号の入出力または力の流れをモデル化可能である。CFTは、システムのエラー挙動をモデル化可能である。システムのエラー挙動は、階層分解のアプローチを使用してCFTによってモデル化可能である。ここでは、システムの全体的な挙動を構成要素の個々の挙動に基づいて予測可能である。すなわち、システムの全体的な挙動を発生させる因果連鎖は、構成要素のエラーの因果連鎖によってモデル化可能である。CFTは、システム全体のエラーの伝播、すなわち相互接続をモデル化するために、隣接した要素間におけるブールリンク(ゲートと呼ばれる場合もある)を含むことが可能である。CFTは、グラフを使用してシステムをモデル化することが可能である。ここで、グラフの各ノードは要素に対応してもよく、グラフの各エッジはリンクに対応してもよい。
潜在的なシステム故障状態を検出するために、診断手段に対応する基本イベントをCFTにおいて規定してもよい。すなわち、それぞれの診断手段の故障に対応する診断故障イベントが設定されてもよい。構成要素の故障(動作故障イベント)および診断故障イベントに対応する基本イベントを区別するために、ブックキーピングの際、またはCFTグラフを作成する際には専用のフラグまたはタイプのデノミネータを使用してもよい。
潜在的なシステム故障状態を識別するために、CFTを解析することも可能である。特に、様々な動作故障イベントのエラー伝播経路を解析することが可能である。例えば、動作故障イベントと設定診断故障イベントとのエラー伝播経路間の比較が可能である。この場合、少なくとも1つの診断故障イベントがエラー伝播経路に沿って位置しているかをチェックしてもよい。これは、動作故障イベントと診断故障イベントとの関の一例に対応している場合がある。動作故障イベントと診断故障イベントとを互いに関連付けることによって、システムの少なくとも1つの診断手段によって明らかとなっていないエラー伝播経路を有する動作故障イベントが識別可能となる。それによって、潜在的なシステム故障状態が識別可能となる。
いくつかの例において、CFTを解析することは最小カットセット(MCS)解析(MCA)を含んでもよい。MCAは、様々なシステム故障状態に対するMCSの決定を含む。システム故障状態のMCSは、それ以上減らすことができない接続用語の論理和を使用したツリーの表現である。すなわち、システム故障状態のMCSは、システム故障状態と関連付けられた上位イベントがトリガされて故障状態となるように、故障状態を発生させる可能性の高いFTまたはCFTをモデル化したグラフの全ノードを含む。上位イベントのトリガ状態を変更しなければ、MCSをさらに減らすことはできない。したがって、システム故障状態のMCSは、システム故障状態を観察するために不可欠な全イベントを識別する。MCS解析については、例えば、Vesely, William E., et al. FT handbook. No. NUREG−0492. Nuclear Regulatory Commission Washington DC, 1981; section VII−15, 4 “Determining the Minimal Cut Sets or Minimal Paths Sets of a FT”に説明されている。MCSは、手作業または自動的に決定可能である。MCS解析を使用してシステムをモデル化する技術例は、独国特許出願公開第102015213581号明細書に開示されている。
システム故障状態tのMCS解析の出力、すなわちMCSは、以下のように定義される。
MCS(t)=CS1(t)∨…∨CSm(t)
ただし、各カットセット(CS)、CSi(t)∈{CS1(t),…,CSm(t)}は、結果として、上位イベントt∈CFTを発生させる、すなわち、それぞれのシステム故障状態をトリガする。さらに、CSの全基本イベントbiがトリガされる場合、
CSi(t)=b1Λ…Λbn ここに bi∈B
は上位イベントtを発生させるCSだとする。CS中の要素の数は、CSのオーダと呼ばれる。
潜在的なシステム故障状態を検出することによって、例えば自動的に危険状況を回避できるようになる。潜在的なシステム故障状態を検出することによって、システム設計を修正できるようになる。例えば、追加の診断手段を提供することによって、潜在的なシステム故障状態を潜在的な状態ではない状態として1つ以上の追加の診断手段によって検出可能とするなどの修正が可能となる。いくつかの例において、例えば最適化を用いて、自動的に1つ以上の追加の診断手段を決定することが可能である。ここでは、1つ以上の診断手段の位置および/または数を決定可能である。これは、診断手段の数を制限するための最適化基準になりうる。
図1は、FT101に関する態様を図示する。FT101の概念の詳細は例えば、非特許文献3において説明されている。FT101は、本明細書で説明する様々な例におけるシステムの故障挙動をモデル化するために使用可能である。したがって、FTは安全性確保を容易に実現しうる。故障挙動は、システムが安全に動作可能であるかを検査するために使用可能である。故障挙動は、システムの設計の欠点を識別するために使用可能である。
FT101は、ノード(図1に幾何学形状で示す)およびエッジ(図1に幾何学形状間の線で示す)を含むグラフによって表わされる。
図1に示すように、FT101はそれぞれのノードによってモデル化された基本イベント111、112を含む。基本イベントは、動作故障イベントに対応してもよい。動作故障イベントは、FT101によってモデル化されたシステムの動作の障害に対応してもよい。例えば、動作故障イベントは、抵抗器またはスイッチなどの電子部品の故障に対応してもよい。例えば、動作故障イベントは、圧力逃し弁などの弁の故障に対応してもよい。動作故障イベントは、例えば冷却システムの故障に対応してもよい。数多くの種類およびタイプの故障を動作故障イベントによってモデル化可能である。ここで示した例は例示目的に過ぎず、幅広く異なる種類およびタイプの動作故障イベントが考えられる。
FT101は、さらに、入力ポート113、114を含む。入力ポート113、114は、1つ以上のさらなるノード(図1では不図示)から故障状態を受信可能である。
FT101は、さらに、ブール演算子115、116を含む。ブール演算子115は、動作故障イベント111および入力ポート113の状態の論理OR組み合わせとして実現され、ブール演算子116は、動作故障イベント112および入力ポート114の状態の論理AND組み合わせとして実現される。ANDおよびOR演算に加えて、NANDまたはXORなど、その他の演算も可能である。
したがって、FT101に基づいて、例えば動作故障イベント111および112の故障イベントのエラー伝播経路をモデル化することが可能である。特に、故障イベントのエラー伝播経路が1つ以上の上位ポート117、118の状態に影響するかを確認できる。
図1において、FT101は、システムの様々な構成要素から独立して定義される。その他の例において、個々の要素およびFTの相互接続がモデル化されたシステムの1つ以上の構成要素と関連付けられたFTを定義可能であり、すなわちCFTが使用可能である。そのようなCFTを図2に示す。
図2は、CFT102に関して態様を図示する。FT101と同様に、CFT102は、ノード(図2に幾何学形状で示す)およびエッジ(図2に幾何学形状間の線で示す)を含むグラフによって表わされる。
上述したように、CFTは、動作故障イベント111と、入力ポート113、113Aと、ブール演算子115、116と、上位ポート117、118、118Aとを含む。図2の例において、CFT102全体は単一の要素130と関連付けられ、要素130は、システムの構成要素に対応する。したがって、一方のCFT102を実現するグラフの異なるノードおよび相互接続と、システムの様々な構成要素との間のマッピングが提供される(一般に複数の構成要素を複数の要素によってモデル化可能であるが、図2では、単純に図示するために単一の構成要素のみが要素130によってあらわされている)。
一方のCFT102を実現するグラフの異なるノードおよび相互接続と他方のシステムの様々な構成要素との間のマッピングによって、システムの構成要素と関連付けられる内部動作故障状態をモデル化でき、構成要素レベルでのシステム全体における動作故障状態のエラー伝播経路を解析できる。これによって、システムの特定の構成要素がシステム故障状態による影響を受けるかを容易に予測できる。一般に、CFTによって、故障が発生可能な対応ポートに対して特定の上位イベントを関連付けることが可能となる。例えば、図2において、上位ポート117と関連付けられた動作故障イベントは、システムレベルで、ポート118Aに発生する。これによって、安全解析モデルの保守性の向上が容易となる。
一般に、CFT102は、標準的なFT101に変換可能であり、またその逆も可能である。これは、様々な要素130と、図2の例における上位ポート118Aおよび入力ポート113Aなどの複製ポートを取り除くことによって可能となる。
図3は、多要素制御またはアクチュエータシステム230に関して態様を図示する。図3の例において、システム230は、スイッチまたは中継器の形態の複数の構成要素231〜233を含む。また、スイッチ231〜233およびスイッチング素子231−2、232−2、233−2用のアクチュエータ231−1、232−1、233−1を示す。スイッチ231〜233は、例えばスイッチング素子231−2が閉状態となると、スイッチ232が作動されるように、カスケード状に配置される。例えば、スイッチ231〜233は、トランジスタまたは中継器によって実現されてもよい。スイッチ233が正常に閉状態になる一方、スイッチ231、232は正常に開状態となることが可能である。図3は、システム230の回路図である。
スイッチ231〜233がカスケード配列となっているため、例えばスイッチ232の故障はスイッチ233の動作にも影響を及ぼす場合がある。
図4は、CFT102に関して態様を示す。特に、図4は、図3においてシステム230をモデル化したCFT102を示す。CFT102は、構成要素231〜233に対応する要素131〜133、すなわち図3および図4の例におけるスイッチを含む。各要素131〜133は、入力ポート113および上位ポート117を有する。さらに、各要素131〜133は、動作故障イベント111と関連付けられる。動作故障イベント111は、それぞれの構成要素231〜233の故障に対応する。
システム故障状態は、参加している動作故障イベントと関連付けられたエラー伝播経路によって特徴づけられる。例えば、異なるシステム故障状態が異なる上位イベントと関連付けられてもよく、上位イベント118Aは複数のシステム故障状態のうちの所与のシステム故障状態と対応してもよい。図4の例において、上位イベント118Aのシステム故障状態は、要素131〜133の動作故障イベント111のうちのいずれか1つによってトリガされてもよい。例示目的として、要素131の動作故障イベント111と関連付けられたエラー伝播経路170を図4に示す(図4では破線で示す)。
いくつかの例において、CFT102は、システム230の回路図に基づいて自動的に生成可能である。全体として、本回路図は、相互接続された電気構成要素(図3の例におけるスイッチ231〜233など)を含む。したがって、システム230を適切にモデル化したCFT102を作成するために、情報を自動的に抽出することが可能である。CFT102を使用してシステム230をモデル化する技術例をZeller, M., Hoefig, K.: INSiDER: “Incorporation of system and safety analysis models using a dedicated reference model.” 2016 Annual Reliability and Maintainability Symposium (RAMS) (2016) pp. 1〜6に説明されている。それによって、システム230の各構成要素/スイッチ231〜233に対して、要素131〜133がCFT102において作成される。CFT102の相互接続は、本回路図の電気トレースに従う。Moehrle, F., Zeller, M., Hfig, K., Rothfelder, M., Liggesmeyer, P.: “Automating compositional safety analysis using a failure type taxonomy for CFTs.” Walls, L., Revie, M., Bedford, T. (eds.) Risk, Reliability and Safety: Innovating Theory and Practice: Proceedings of ESREL 2016. pp. 1380〜1387 (2016)参照。それによって、例えば、要素131〜133がシステム230内の電子構成要素の種類毎に事前に定義されている場合、CFT102は自動的に決定可能である。
例えば、診断故障イベントをCFTの要素のうちの少なくともいくつかに割り当てることが可能である。診断故障イベントは、システムのそれぞれの構成要素と関連付けられ、構成要素の故障を検出することが可能な診断手段の故障をモデル化する。すなわち、診断故障イベントは、それぞれの構成要素の動作故障イベントを検出することが可能な診断手段の故障をモデル化できる。
図5は、診断故障イベント119に関して態様を示す。診断故障イベント119は、CFT102の要素130に割り当てられる(図5において、単純化のため要素130以外のCFT102の詳細を省略する)。
図5の例において、診断故障イベント119は、要素130によってモデル化されたシステムの構成要素の故障と関連付けられた動作故障イベント111と同レベルの階層に配置される。ブールAND演算子151は、動作故障イベント111および診断故障イベント119の状態を結合する。したがって、ブールOR演算子152は、ブールOR演算子151の出力および入力ポート113の状態を結合する。したがって、(I)入力ポート113がシステムエラー状態を示す場合、および/または(II)故障イベント111、119の両方がトリガされた場合、上位ポート117がシステムエラー状態を示す。
図5の例において、診断故障イベント119によってモデル化された診断手段は、入力ポート113に沿った伝播経路を有するシステム故障状態を検出できない。ただし、他の例では、それぞれの診断故障イベントによってモデル化された診断手段は、入力ポート113に沿った伝播経路を有するシステム故障状態を検出することができると言える。ここで、ブールAND演算子は、それぞれの動作故障イベントおよび入力ポート113の状態を結合するために使用可能である。
図2〜5から理解されるように、複数の要素および要素間の複数の相互接続を含むCFTを使用してコントローラまたはアクチュエータシステムをモデル化することが可能である。動作故障イベントは、複数の要素のうちの少なくともいくつかの要素に割り当てられることが可能である。動作故障イベントは、システムのそれぞれの構成要素の故障と関連付けられる。さらに、システムのそれぞれの構成要素と関連付けられた診断手段の故障と関連付けられた診断故障イベントは、複数の要素のうちの少なくともいくつかの要素に割り当てられる。そのような構造を有するCFTに基づいて、潜在的なシステム故障状態および非潜在的なシステム故障状態を含むシステム故障状態を確実に検出することが可能である。このため、適切に構成された装置が使用可能である。
図6は、装置501に関して態様を示す。
装置501は、ヒューマンマシンインタフェース(HMI)502を含む。例えば、HMIは、ユーザから情報を受信するように構成可能であり、および/またはユーザに対して情報を出力するように構成可能である。例えば、HMIは、キーボード、マウス、スピーカ、音声制御、モニタなどのうちの1つ以上を含んでもよい。HMI502は任意のものである。
装置501は、さらに、例えばマルチコアプロセッサなどの処理装置503を含む。処理装置503は、例えば不揮発性メモリなどのメモリ504からプログラムコードを受信するように構成される。処理装置503は、そのプログラムコードを実行するように構成される。プログラムコードを実行することによって、処理装置503は本明細書にて説明するような技術を実行可能となる。例えば、CFTなどのFTを使用して多要素制御またはアクチュエータシステムをモデル化し、動作故障イベントおよび/または診断故障イベントをCFTなどのFTの特定の位置または要素に割り当て、潜在的なシステム故障状態および非潜在的なシステム故障状態を識別するために、動作故障イベントを診断故障イベントと互いに関連付け、CFTなどのFTのMCAを実行し、CFTなどのFTを介したシステム故障状態のエラー伝播経路を決定するなどを実行可能となる。
装置501は、さらに、インタフェース505を含む。例えば、制御データはインタフェース505を介して出力可能である。例えば、インタフェース505を介して送信された制御データを使用して、多要素制御またはアクチュエータシステムの動作を制御可能である。インタフェース505は任意である。
図7は、様々な例による方法のフローチャートである。例えば、図7のフローチャートに記載の方法は、装置501の処理装置503によって実行されてもよい。
1001において、多要素制御もしくはアクチュエータシステム、またはハードウェアおよび/またはソフトウェア構成要素を含む他の種類のシステムなどのシステムはCFTなどのFTを使用してモデル化される。CFTなどのFTは、ノードおよびエッジを含むグラフによって定義可能である。ノードの一部は、CFTなどのFTの基本イベントに対応しうる。
特に、1002において、システムの1つ以上の構成要素の故障と関連付けられる動作故障イベントは、CFTなどのFT内に定義される。これは、CFTの複数の要素の少なくともいくつかの要素に対して動作故障イベントを割り当てることを含んでもよい。
1003において、診断手段の故障と関連付けられた診断故障イベントが定義される。例えば、診断手段は、システムのそれぞれの構成要素と関連付けられてもよい。そのため、1003はCFTの複数の要素の少なくともいくつかの要素に対して診断故障イベントを割り当てることを含んでもよい。
次に、1004において、動作故障イベントが診断故障イベントと互いに関連付けられる。これによって、その関連付けに基づいて、1005において潜在的なシステム故障状態を識別可能となる。
診断故障イベントとの動作故障イベントの関連付けは、様々な動作故障イベントのエラー伝播経路を解析することを含んでもよい。所与の動作故障イベントのエラー伝播経路は、それぞれのシステム故障状態に対する特徴である上位イベントと関連付けられてもよい。所与の動作故障イベントのエラー伝播経路、例えば対応上位イベントまでのすべてを解析することによって、それぞれのシステム故障状態の検出に適した少なくとも1つの診断手段があるかを確認でき、その確認結果に応じて、潜在的なシステム故障状態や非潜在的なシステム故障状態を判別することが可能である。例えば、1つ以上の診断故障イベントが所与の動作故障イベントのエラー伝播経路に沿って配置されているかを確認可能である。もしそうであれば、それぞれのシステム故障状態が潜在的でないと判断できる。これは、エラー伝播経路に沿って配置された1つ以上の診断故障イベントと関連付けられた診断手段によって正常に検出可能であるためである。ここで、システム故障状態が確実に明確化できると仮定可能なように、それぞれの診断手段の故障の可能性、すなわち故障状態を引き起こす診断故障イベントの可能性は、比較的低い。
そのような解析はMCAを考慮することによって容易となる場合がある。特に、1004における関連付けはCFTのMCAに基づいてもよい。場合によっては、全システム故障状態に対して、すなわち全上位イベントに対してMCSが決定されてもよく、場合によっては、MCS解析の対象となる上位イベントのサブセットを例えば手作業で選択してもよい。
CFTの各基本イベントは、システムのそれぞれの構成要素の故障を表わす、すなわち動作故障イベントであるか、またはそれぞれの構成要素と関連付けられた診断手段の故障
を表わす、すなわち診断故障イベントであるかのいずれかである。従って、診断故障イベントを全く含まないMCAから取得された各カットセット(CS)は、適切な診断手段によって検出する可能性のない上位イベントをトリガする潜在的なシステム故障状態を表わす。それによって、各システム故障状態のMCSを決定し、該MCSに含まれる診断故障イベントの数を決定可能である。それによって、それぞれのMCSに含まれる診断故障イベントの決定数に基づいて、それぞれのシステム故障状態を潜在的なシステム故障状態または非潜在的なシステム故障状態として識別可能である。この場合も、関連付けられるシステム故障状態を潜在的または非潜在的とラベル付けする際に、MCSにおける診断故障イベントによってモデル化された1つ以上の診断動作の故障の可能性を考慮してもよく、考慮しなくてもよい。例えば、少なくとも1つ、または少なくとも2つ、または少なくとも3つの診断故障イベントを有する全MCSは、非潜在的なシステム故障状態を定義可能である。
特に、1に等しいオーダを有し単一の動作故障イベントのみを含むCSを、より詳細に検査する必要がある。これは、1に等しいオーダを有するCSは単一の故障点と類似しているからである。なお、ここでは、診断故障イベントおよび動作故障イベント(図5)の状態を結合するために使用されるブールAND演算子は、結果として、必然的に2(以上の)オーダである少なくとも1つの診断故障イベントを含むCSである。また、電気回路などのシステムに導入されているANDゲートによって通常CFT/FTにおいて表現される冗長機構によって、2以上のオーダのCSとなる。その冗長性がブールAND演算子によって表現される場合、それによって接続された冗長部分は故障を伝播するために故障する必要がある。この結果、ANDブール演算子なしで表現される単一部分と比較すると、ANDブール演算子はカットセットのオーダを増加するため、高オーダのCSとなる。
本明細書で説明する様々な技術は、多要素システムの各構成要素には潜在的なシステム故障状態を回避するために診断手段が設けられる必要はないという知見に基づいている。例えば、電気回路の場合、故障の可能性を有するため、それぞれのCFTにおいて動作故障イベントと関連付けられた各電気部品が専用の診断手段を有する必要はない。例えば、スイッチ組が直列で配線されている場合(図3および図4参照)、そのチェーンにおける全動作故障イベントのエラー伝播経路を明確にすることによって潜在的なシステム故障状態を防ぐために、直列されたスイッチの最後のスイッチが診断手段を設けていれば十分である。すなわち、例えば様々なシステム故障状態のエラー伝播経路を確認することによってなど、診断故障イベントとの動作故障イベントの関性に基づいて、同じ非潜在的なシステム故障状態と関連付けられたシステムの冗長診断手段を識別することが可能となる。したがって、対応する診断手段を除去することによってシステムを単純化できる。これは、いくつかの例において、MCAを使用してそれぞれのシステム故障状態のMCSを決定し、該MCSに含まれる診断故障イベントの数を決定することによって実現可能である。それぞれのMCSに含まれる診断故障イベントの決定数に基づいて、同じシステム故障状態と関連付けられたシステムの冗長診断手段を識別可能である。例えば、該MCSが複数の診断故障イベントを含む場合、関連付けられた診断手段がシステムから除去可能なように、診断故障イベントの少なくともいくつかが冗長であると判定できる。
一方、システムに対して追加される1つ以上のさらなる診断手段の候補位置を決定可能である。候補位置は、他の潜在的なシステム故障状態のエラー伝播経路に沿って配置可能である。ここでは、候補位置は最適化を使用して決定されることが可能である。1つ以上のさらなる診断手段の数は最適化の最適化基準として考慮されることが可能である。例えば、他の潜在的なシステム故障状態を明確に検出するために必要な1つ以上のさらなる診断手段の数を最小限とする傾向がある。すなわち、診断手段の組は、それぞれの診断故障イベントを含むことによって様々なシステム故障状態のエラー伝播経路をモデル化するCFTに基づいて最適化されることが可能である。
図8は、CFT102に関して態様を概略的に示す。図8の例のCFT102は、図3の例による電子システム230をモデル化する。図8は、さらに、構成要素233と関連付けられた専用のさらなる診断手段と、要素133に含まれているそれぞれの診断故障イベント119に関して態様を概略的に示す。
追加の診断故障イベント119が含まれない場合、上位イベント118Aのシステム故障状態と関連付けられたMCSは、以下によって求められる。
MCS(上位イベント)=CS1(上位イベント)∨CS2(上位イベント)∨CS3(上位イベント)
合計3つのCSがある場合、
CS131(上位イベント)=NC131
CS132(上位イベント)=NC132
CS133(上位イベント)=NC133
ここでは、CS131は、正常に開状態となったスイッチ231と関連付けられた要素131の動作故障イベント111に対応し、CS132は正常に開状態となったスイッチ232と関連付けられた要素132の動作故障イベント111に対応し、CS133は、正常に閉状態となったスイッチ233と関連付けられた要素133の動作故障イベント111に対応する。
上記のCSのそれぞれは1のオーダである。したがって、診断故障イベント119と関連付けられた診断手段がない場合、診断故障イベントがそれぞれのCSに含まれていないため、CSのそれぞれは結果的に潜在的なシステム故障状態となる。したがって、関連付けられた上位イベント118Aは危険である可能性がある。適切な診断手段を提供することは、最適化または他の適切なアルゴリズムを使用することによって実現可能である。例えば、構成要素231〜233のそれぞれに対してそれぞれの診断手段を冗長に作成するとする。基本システム230のMCS解析の結果およびその構造の情報に基づいて、システム230のアーキテクチャに応じて、すなわちシステムの構成要素の配置に応じて以下のようにCSを以下の通り順番づけすることが可能である。
CS131→CS132→CS133
図8に示すように、システム230の直列アーキテクチャに起因して、この直列の最後の構成要素233に関してのみ診断手段を設ける必要がある。該当する診断手段は、要素131〜133の動作故障イベント111と関連付けられた全エラー伝播経路を示すことが可能である。これは、診断故障イベント119およびブールAND演算子151によって実現可能である。
ここまで、多要素制御/アクチュエータシステムなどのシステムにおいて潜在的なシステム故障状態を識別できる技術を説明した。一般に、FTまたはCFTを使用して依存度グラフによってモデル化可能なシステムは、以下に説明する技術の対象となりえる。潜在的なシステム故障状態を確実に識別可能にしうる。
例えば、本技術はCFTに依拠する。ここで、特にシステムが複数の電子構成要素を含む電子回路の場合、CFTは、システムのアーキテクチャの情報に基づいて自動的に作成可能である。このようなアプローチによってシステムが修正される度にCFTの解析を反復することが可能となる。それによって、参照技術にしたがって潜在的なシステム故障状態を識別するためにシステムを評価するという手作業で時間がかかりおよびエラーが起きやすい作業を自動的に実行できることによって見落としなどのおそれを低減できる。
潜在的なシステム故障状態を識別することに代え、またはそれに加えて、欠落している診断手段または冗長の診断手段も識別可能である。潜在的なシステム故障状態を避けるために必要な診断計測の組を決定することが可能であるため、診断手段の数を最適化できる。
本明細書で説明する技術によって、さらに、システムで故障が発生した後に根本原因を容易に見つけることができる。これが可能なのは、解析の結果が、関連付けられた診断手段によって明確化された1組の潜在動作故障イベントを示すためである。
本発明を特定の好適な実施形態に関して図示および説明してきたが、当業者が本明細書を読んで理解するにあたって同等物および修正物に想到する場合がある。本発明はそのような同等物および修正物すべてを含み、添付の特許請求の範囲によってのみ限定される。
例示目的で様々な例をCFTと関連して上述したが、CFTは上述の技術の機能とは密接な関係にない。様々な例は、通常のFTを使用しても実現可能である。ここで、特定の診断故障イベントが関連付けられる異なる構成要素は区別される必要がない。むしろ、モデル化されたシステムにおけるそれらの論理的配置に応じて、診断故障イベントがFTのアーキテクチャに埋め込まれてもよい。
102 構成要素故障の木
111 動作故障イベント
119 診断故障イベント
170 エラー伝播経路
230 システム
231〜233 構成要素

Claims (10)

  1. コンピュータ実装方法であって、
    要素制御またはアクチュエータシステム(230)のソフトウェアまたはハードウェアからなる複数の構成要素(231〜233)と関連付けられ複数の要素(131〜133)と、前記システム(230)の前記複数の構成要素(231〜233)間の機能的依存関連付けられた前記複数の要素(131〜133)の複数の相互接続とを含む構成要素故障の木(102)のモデルを生成するステップと、
    前記複数の要素(131〜133)の少なくとも1つの要素対して、前記システム(230)の前記複数の構成要素(231〜233)の少なくとも1つの故障と関連付けられた動作故障イベント(111)を割り当てるステップと、
    前記複数の要素(131〜133)の少なくとも1つの要素(131〜133)に対して、前記システム(230)の前記複数の構成要素(231〜233)の少なくとも1つと関連付けられた診断手段の故障と関連付けられた診断故障イベント(119)を割り当てるステップと、
    前記動作故障イベント(111)を前記診断故障イベント(119)と関連付けるステップと、
    前記関連付けに応じて、前記構成要素故障の木(102)の前記モデルを解析することにより、前記システム(230)の潜在的なシステム故障状態および非潜在的なシステム故障状態を特定するステップと、
    を含むコンピュータ実装方法。
  2. 前記動作故障イベント(111)と前記診断故障イベント(119)との前記関連付けは、前記構成要素故障の木(102)の最小カットセット解析に基づいて行われることを特徴とする請求項1に記載の方法。
  3. 前記関連付けは、
    動作故障イベント(111)毎に、前記構成要素故障の木(102)によって、関連付けられたシステム故障状態のエラー伝播経路(170)を決定するステップと、
    少なくとも1つの診断故障イベント(119)が前記エラー伝播経路(170)に沿って配置されているかを確認するステップと、
    を含む請求項1または2に記載の方法。
  4. 複数の前記システム故障状態の前記システム故障状態毎に、最小カットセット解析を使用してれぞれの前記システム故障状態の最小カットセットを決定し、前記最小カットセットに含まれ診断故障イベント(119)の数を決定するステップと、
    複数の前記システム故障状態の前記システム故障状態毎に、前記それぞれの最小カットセットに含まれ診断故障イベント(119)の前記に基づいて、れぞれの前記システム故障状態が潜在的なシステム故障状態または非潜在的なシステム故障状態であると特定するステップと、
    を含むことを特徴とする請求項1から3のいずれかに記載の方法。
  5. 前記関連付けに応じて、前記構成要素故障の木(102)の前記モデルを解析することにより、1つの非潜在的なシステム故障状態と関連付けられた前記システム(230)の中の冗長的な診断手段を特定するステップを含むことを特徴とする請求項1から4のいずれかに記載の方法。
  6. 複数の前記システム故障状態の前記システム故障状態毎に、最小カットセット解析を使用してれぞれの前記システム故障状態の最小カットセットを決定し、前記最小カットセットに含まれ診断故障イベント(119)の数を決定するステップと、
    複数の前記システム故障状態の前記システム故障状態毎に、れぞれの前記最小カットセットに含まれ診断故障イベント(119)の前記に基づいて、1つ前記システム故障状態と関連付けられた前記システム(230)の中の冗長的な診断手段を特定するステップと、
    を含むことを特徴とする請求項1から5のいずれかに記載の方法。
  7. 特定された前記潜在的なシステム故障状態の少なくとも1つに対して、作故障イベント(111)のエラー伝播経路(170)に沿って少なくとも1つの断手段を配置する位置を決定するステップをさらに含むことを特徴とする請求項1から6のいずれかに記載の方法。
  8. なくとも1つの前記診断手段を配置する前記位置は最適化アルゴリズムを使用して決定され、なくとも1つの前記診断手段の数は前記最適化アルゴリズムによる、前記システム(230)における前記診断手段の配置の最適化判断する基準の1つであることを特徴とする請求項7に記載の方法。
  9. 要素制御またはアクチュエータシステム(230)構成要素(231〜233)と関連付けられ複数の要素(131〜133)と、前記システム(230)の前記複数の構成要素(231〜233)間の機能的依存関連付けられた前記複数の要素(131〜133)の複数の相互接続とを含む構成要素故障の木(102)のモデルを生成するステップと、
    前記複数の要素(131〜133)の少なくとも1つの要素対して、前記システム(230)の前記複数の構成要素(231〜233)の少なくとも1つの故障と関連付けられた動作故障イベント(111)を割り当てるステップと、
    前記複数の要素(131〜133)の少なくとも1つの要素(131〜133)に対して、前記システム(230)の前記複数の構成要素(231〜233)の少なくとも1つと関連付けられた診断手段の故障と関連付けられた診断故障イベント(119)を割り当てるステップと、
    前記動作故障イベント(111)を前記診断故障イベント(119)と関連付けるステップと、
    前記関連付けに応じて、前記構成要素故障の木(102)の前記モデルを解析することにより、前記システム(230)の潜在的なシステム故障状態および非潜在的なシステム故障状態を特定するステップと、
    を実行するように構成された少なくとも1つのプロセッサ(503)を含む装置(501)。
  10. 前記少なくとも1つのプロセッサ(503)は請求項1〜8のいずれかに記載の方法を実行するように成されることを特徴とする請求項9に記載の装置(501)。
JP2018075517A 2017-06-12 2018-04-10 潜在的なシステム故障状態を特定するための、故障の木を使用した安全性確保 Expired - Fee Related JP6639550B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP17175479.9 2017-06-12
EP17175479.9A EP3416013B1 (en) 2017-06-12 2017-06-12 Safety assurance using fault trees for identifying dormant system failure states

Publications (2)

Publication Number Publication Date
JP2019003612A JP2019003612A (ja) 2019-01-10
JP6639550B2 true JP6639550B2 (ja) 2020-02-05

Family

ID=59091328

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018075517A Expired - Fee Related JP6639550B2 (ja) 2017-06-12 2018-04-10 潜在的なシステム故障状態を特定するための、故障の木を使用した安全性確保

Country Status (5)

Country Link
US (1) US10359773B2 (ja)
EP (1) EP3416013B1 (ja)
JP (1) JP6639550B2 (ja)
KR (1) KR101967327B1 (ja)
CN (1) CN109032109B (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3151122A1 (en) * 2015-10-02 2017-04-05 Siemens Aktiengesellschaft Method and apparatus for generating a fault tree
EP3270249B1 (en) * 2016-07-15 2020-08-26 Siemens Aktiengesellschaft Method and apparatus for a computer-based generation of component fault trees
US10690722B1 (en) * 2019-02-08 2020-06-23 Real Intent, Inc. Methods and systems for efficient identification of glitch failures in integrated circuits
EP3764182A1 (en) * 2019-07-12 2021-01-13 Siemens Aktiengesellschaft Ring-closures in fault trees and normalized representation
KR102259855B1 (ko) 2019-11-04 2021-06-01 충북대학교 산학협력단 자율 드론 비행 안전성 검사를 위한 위협 분석 기법 및 시스템
EP3961407A1 (en) * 2020-08-31 2022-03-02 Siemens Aktiengesellschaft Computer-implemented method and computerized device for testing a technical system
CN112100693B (zh) * 2020-09-14 2022-10-11 北京航空航天大学 一种基于petri网的芯片安全分析方法
CN112579402B (zh) * 2020-12-14 2024-08-30 中国建设银行股份有限公司 一种应用系统故障定位的方法和装置
CN112668210A (zh) * 2021-02-18 2021-04-16 江西洪都航空工业集团有限责任公司 基于故障树的飞机复杂系统任务可靠性建模预计方法
KR102603387B1 (ko) * 2021-12-22 2023-11-17 건국대학교 산학협력단 계층 모델을 사용한 클라우드-포그-엣지 연속체 기반의 IoMT 시스템의 의존성 및 보안 정량화 장치 및 방법
CN118192525A (zh) * 2024-04-28 2024-06-14 重庆赛力斯凤凰智创科技有限公司 一种基于故障树的诊断方法、装置、电子设备及存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09319777A (ja) * 1996-05-27 1997-12-12 Sharp Corp 電気回路の故障解析方法
DE19742446B4 (de) * 1997-09-26 2006-05-24 Daimlerchrysler Ag Fehlerdiagnoseverfahren
US6907545B2 (en) * 2001-03-02 2005-06-14 Pitney Bowes Inc. System and method for recognizing faults in machines
JP2010181212A (ja) * 2009-02-04 2010-08-19 Toyota Central R&D Labs Inc 故障診断システム、故障診断方法
WO2011148891A1 (ja) 2010-05-24 2011-12-01 日本電気株式会社 システムモデルからの静的なフォルトツリー解析のシステムと方法
US8527441B2 (en) * 2011-03-10 2013-09-03 GM Global Technology Operations LLC Developing fault model from service procedures
JP5978875B2 (ja) * 2012-09-14 2016-08-24 三菱化学株式会社 作図プログラム、作図方法、および作図装置
CN103020436B (zh) * 2012-11-30 2015-08-12 工业和信息化部电子第五研究所 元器件失效归零分析方法与系统
CN103049346B (zh) * 2012-12-11 2015-03-18 工业和信息化部电子第五研究所 基于失效物理的元器件故障树构建方法和系统
JP6066081B2 (ja) * 2013-09-03 2017-01-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation フォールトツリーを生成する装置及び方法
US10095813B2 (en) * 2013-11-18 2018-10-09 The Boeing Company Safety analysis of a complex system using component-oriented fault trees
EP3126979A1 (en) * 2014-03-31 2017-02-08 Bombardier Inc. Specific risk toolkit
DE102015213581A1 (de) 2015-07-20 2017-01-26 Siemens Aktiengesellschaft Verfahren zur Modellierung eines Komponentenfehlerbaums und Computerprogrammprodukt
EP3151122A1 (en) * 2015-10-02 2017-04-05 Siemens Aktiengesellschaft Method and apparatus for generating a fault tree

Also Published As

Publication number Publication date
US20180356810A1 (en) 2018-12-13
US10359773B2 (en) 2019-07-23
KR101967327B1 (ko) 2019-04-09
CN109032109B (zh) 2020-08-07
EP3416013A1 (en) 2018-12-19
EP3416013B1 (en) 2019-07-24
CN109032109A (zh) 2018-12-18
KR20180135422A (ko) 2018-12-20
JP2019003612A (ja) 2019-01-10

Similar Documents

Publication Publication Date Title
JP6639550B2 (ja) 潜在的なシステム故障状態を特定するための、故障の木を使用した安全性確保
CN105912413B (zh) 分析系统、特别是安全关键系统的可用性的方法和装置
US11347919B2 (en) Computer-implemented method for generating a mixed-layer fault tree of a multi-component system combining different layers of abstraction
CN110489773B (zh) 故障树中的闭环
CN112204485B (zh) 用于解决多部件系统的自动故障树分析中的闭环的计算机实现的方法和设备
US11567823B2 (en) Method for identifying and evaluating common cause failures of system components
Babeshko et al. Practical aspects of operating and analytical reliability assessment of FPGA-based I&C systems
Patterson-Hine et al. A review of diagnostic techniques for ISHM applications
EP4057091B1 (en) Computer-implemented method for generating a component fault and deficiency tree of a multi-component system comprising a plurality of components
Kosmowski Safety Integrity Verification Issues of the Control Systems for Industrial Process Plants
Reed et al. Verification and validation of system health management models using parametric testing
EP3969974B1 (en) Ring-closures in fault trees and normalized representation
Bunus et al. Supporting Model-Based Diagnostics with Equation-Based Object Oriented Languages.
Oliveira et al. Combining multiple diagnostic trouble codes into a single decision tree
US20220114306A1 (en) Sensitivity analysis-based dependability trade-off analysis
Cavalheiro Safety and Security
CN116802578A (zh) 用于解决多组件系统的自动故障树分析中的闭合环路的计算机实现方法和设备
Sivasamy et al. Robot Fault Diagnosis Part-I: A Retrospective Analysis
Tavares Automating ISO 26262 Hardware Evaluation Methodologies
Haste et al. Model-based Data Integration and Process Standardization Techniques for Fault Management–A Feasibility Study
Przytula et al. Health Monitoring For Commercial Aircraft Systems
Figueroa et al. Facility monitoring-A qualitative theory for sensor fusion
Chang et al. Safety Analysis and Methods in a Railway Signalling System

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180521

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190604

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190903

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191224

R150 Certificate of patent or registration of utility model

Ref document number: 6639550

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees