KR101967327B1 - 유휴 시스템 고장 상태들을 식별하기 위한 결함 트리들을 사용하는 안전 보장 - Google Patents

유휴 시스템 고장 상태들을 식별하기 위한 결함 트리들을 사용하는 안전 보장 Download PDF

Info

Publication number
KR101967327B1
KR101967327B1 KR1020180067558A KR20180067558A KR101967327B1 KR 101967327 B1 KR101967327 B1 KR 101967327B1 KR 1020180067558 A KR1020180067558 A KR 1020180067558A KR 20180067558 A KR20180067558 A KR 20180067558A KR 101967327 B1 KR101967327 B1 KR 101967327B1
Authority
KR
South Korea
Prior art keywords
fault
diagnostic
events
failure
system failure
Prior art date
Application number
KR1020180067558A
Other languages
English (en)
Other versions
KR20180135422A (ko
Inventor
카이 회피그
장-파스칼 슈빈
마르크 젤러
Original Assignee
지멘스 악티엔게젤샤프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지멘스 악티엔게젤샤프트 filed Critical 지멘스 악티엔게젤샤프트
Publication of KR20180135422A publication Critical patent/KR20180135422A/ko
Application granted granted Critical
Publication of KR101967327B1 publication Critical patent/KR101967327B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • G05B23/0245Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
    • G05B23/0248Causal models, e.g. fault tree; digraphs; qualitative physics
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0283Predictive maintenance, e.g. involving the monitoring of a system and, based on the monitoring results, taking decisions on the maintenance schedule of the monitored system; Estimating remaining useful life [RUL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/10Geometric CAD
    • G06F30/17Mechanical parametric or variational design
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/30Circuit design
    • G06F30/32Circuit design at the digital level
    • G06F30/33Design verification, e.g. functional simulation or model checking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]

Abstract

유휴 시스템 고장 상태들을 식별하기 위한 결함 트리들을 사용하는 안전 보장 기법들이 설명된다. 본 발명에 따라, 작동 고장 사건들 뿐만 아니라 진단 고장 사건들 둘 모두가 결함 트리에 포함되며, 이후, 작동 고장 사건들은 진단 고장 사건들과 상관된다. 이는 유휴 시스템 고장 상태들을 식별하는 것을 가능하게 한다. 실시예들에서, 컴포넌트 결함 트리가 사용된다.

Description

유휴 시스템 고장 상태들을 식별하기 위한 결함 트리들을 사용하는 안전 보장{SAFETY ASSURANCE USING FAULT TREES FOR IDENTIFYING DORMANT SYSTEM FAILURE STATES}
본 발명의 다양한 예들은 일반적으로, 결함 트리(fault tree), 예컨대 컴포넌트(component) 결함 트리를 사용하여 멀티-컴포넌트(multi-component) 제어 또는 작동기 시스템(system)을 모델링(modeling)하는 것에 관한 것이다. 본 발명의 다양한 예들은 구체적으로, 유휴 시스템 고장 상태(dormant system failure state)들을 식별하기 위해 결함 트리의 진단 고장 사건(diagnostic failure event)들과 작동 고장 사건(operational failure event)들을 상관시키는 것에 관한 것이다.
임베디드(embedded) 시스템들의 많은 적용 분야(application domain)들, 이를테면 항공우주, 철도, 헬스 케어(health care), 자동차 및 산업 자동화에서의 안전-필수 시스템(safety-critical system)들의 중요성은 계속해서 커지고 있다. 따라서, 커지는 시스템 복잡성과 함께, 이들 적용 분야들에서 고품질 요구들을 보증하기 위하여, 안전 보장에 대한 필요 뿐만 아니라 그 노력이 또한 증가하고 있다. 안전 보장의 목적은 시스템들이, 사람들에게 해를 끼치거나 또는 환경을 위태롭게 할 수 있는 위험한 상황들로 이어지지 않도록 보장하는 것이다. 안전-필수 시스템들의 적용 분야들에서, 안전 보장은 표준들(예컨대, 국제 전기 표준 회의(IEC; International Electrotechnical Commission) 61508 "Functional safety of electrical/electronic/programmable electronic safety related systems" (1998) 참조)에 의하여 정의된다.
통상적으로, 안전 측면에서의 시스템의 평가는 상향식 안전 분석 접근법, 이를테면 고장 모드 및 영향 분석(FMEA; Failure Mode and Effect Analysis)(IEC 60812 "Analysis Techniques for System Reliability - Procedure for Failure Mode and Effects Analysis (FMEA)" (1991) 참조)에 기반한다. 대안적으로, 참조 구현들에 따른 시스템의 평가는 하향식 접근법들, 이를테면 결함 트리 분석(FTA; Fault Tree Analysis)(예컨대, Vesely, W.E., Goldberg, F.F., Roberts, N.H., Haasl, D.F.: Fault Tree Handbook. US Nuclear Regulatory Commission (1981) 참조)에 기반한다. 그러한 기법들에 의해, 시스템 고장 상태들, 이 시스템 고장 상태들의 원인들, 및 시스템 안전에 대한 충격을 갖는 영향들을 식별하는 것이 가능하다.
그러나, 그러한 접근법들에서는, 유휴 시스템 고장 상태들을 식별하는 것이 어려울 수 있다. 유휴 시스템 고장 상태(때때로, 숨겨진 시스템 고장 상태로 또한 지칭됨)는 특정 진단 액션(action)들이 식별될 것을 요구하는, 시스템의 ―즉, 시스템의 하나 또는 그 초과의 컴포넌트들의― 고장에 대응한다. 유휴 시스템 고장 상태는, 운영들 및 유지보수 직원에게 즉시 분명하지 않은 고장이다. 유휴 시스템 고장 상태들은 예컨대, 국제 표준 ISO 14224 (2006-12-15); section C.6에서 설명된다.
예컨대, 참조 구현들에서, 유휴 시스템 고장 상태들은 통상적으로, 시스템 설계에 관한 정보, 예컨대 철도 차량(rolling stock)의 회로 다이어그램(diagram)들에 기반하여 수동으로 식별된다. 그러나, 그러한 참조 구현들은 소정의 제한들 및 단점들에 직면한다. 오늘날의 시스템들의 복잡성이 계속해서 커지고 있기 때문에, 유휴 시스템 고장 상태들을 식별하기 위해 요구되는 노력이 급격히 증가하고 있다. 또한, 유휴 시스템 고장 상태들을 수동으로 식별하는 것은 에러 발생이 쉬울(error-prone) 수 있다. 또한, 유휴 시스템 고장 상태들을 완화시키기 위한 진단 조치(measure)들은 통상적으로, 수동으로 특정되도록 요구되며, 이는 또한, 에러 발생이 쉬우며, 상당한 노력들을 요구할 수 있다.
WO 2015/151014 A1은, 하나 또는 그 초과의 트리 구조들에 액세스(access)할 수 있는 결함 트리 분석 도구를 개시한다. 각각의 트리 구조는 예컨대 항공기의 제어 시스템 또는 서브시스템(subsystem)과 연관된 결함 트리일 수 있다. 결함 트리 분석 도구는 트리 구조들에 기반하여 하나 또는 그 초과의 목록들을 출력할 수 있다. 목록들은, 트리 구조에 대해 사건들 및 사건들 각각의 확률들을 정의하는 사건 목록들을 포함할 수 있다. 위험 계산들이 수행될 수 있다.
US 2012/166082는 기계에서 하나 또는 그 초과의 결함들 또는 하나 또는 그 초과의 잠재적인 결함들을 진단하기 위한 시스템 및 방법을 개시한다. 결함 트리를 갖는 전문가 시스템 모듈(module)은, 폴드(fold) 인식 모듈로부터의 출력에 기반하여 이 결함 트리의 단지 잘린 부분을 통해서만 안내된다.
US 2015/067400 A1은, 분석될 오브젝트(object)의 결함 트리를 생성할 때 불필요한 엘리먼트(element)들을 폐기하는 시스템을 개시한다. 구성 정보는 오브젝트가 포함하는 복수의 기능 블록(block)들, 및 기능 블록들과 논리 관계들을 연결하는 복수의 신호 라인(line)들을 식별한다. 제외 타겟(target) 정보는, 정보의 손실 없이 복수의 신호 라인들로부터 제외될 수 있는 신호 라인을 식별한다.
Yang, Zong-Xiao 등에 의한 "Fuzzy fault diagnostic system based on fault tree analysis."(Fuzzy Systems, 1995. International Joint Conference of the Fourth IEEE International Conference on Fuzzy Systems and The Second International Fuzzy Engineering Symposium., Proceedings of 1995 IEEE Int. Vol. 1. IEEE, 1995)은 데이터(data)의 불확실성들/부정확성 및 결함 트리 분석으로부터의 정보를 사용하여 프로세스(process) 결함 진단을 위한 방법을 개시한다. 결함 트리 분석은 프로세스 내의 고장들을 식별하기 위한 절차를 제공한다.
그러므로, 안전-필수 시스템들을 분석하는 진보된 기법들에 대한 필요가 존재한다. 특히, 유휴 시스템 고장 상태들을 식별하는 것을 용이하게 하는 기법들에 대한 필요가 존재한다.
이 필요는, 독립 청구항들의 특징들에 의해 충족된다. 종속 청구항들의 특징들은 실시예들을 정의한다.
컴퓨터(computer)-구현 방법은 컴포넌트 결함 트리(CFT; component fault tree)를 사용하여 멀티-컴포넌트 제어 또는 작동기 시스템을 모델링(modeling)하는 단계를 포함한다. CFT는 시스템의 컴포넌트들과 연관된 복수의 엘리먼트들을 포함한다. CFT는 복수의 엘리먼트들 중의 엘리먼트들 사이의 복수의 상호연결들을 더 포함한다. 상호연결들은 시스템의 컴포넌트들 사이의 기능 종속성들과 연관된다. 방법은, 시스템의 개개의 컴포넌트의 기능불량(malfunctioning)과 연관되는 작동 고장 사건들을 엘리먼트들 중 적어도 일부에 할당하는 단계를 더 포함한다. 방법은, 시스템의 개개의 컴포넌트와 연관된 진단 조치의 기능불량과 연관된 진단 고장 사건들을 엘리먼트들 중 적어도 일부에 할당하는 단계를 더 포함한다. 방법은, 진단 고장 사건들과 작동 고장 사건들을 상관시키는 단계, 및 진단 고장 사건들과 작동 고장 사건들의 상기 상관시키는 단계에 따라, 시스템의 복수의 고장 상태들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태(non-dormant system failure state)들을 식별하는 단계를 더 포함한다.
디바이스(device)는 적어도 하나의 프로세서(processor)를 포함한다. 적어도 하나의 프로세서는 방법을 실행하도록 구성된다. 방법은 CFT를 사용하여 멀티-컴포넌트 제어 또는 작동기 시스템을 모델링하는 단계를 포함한다. CFT는 시스템의 컴포넌트들과 연관된 복수의 엘리먼트들을 포함한다. CFT는 복수의 엘리먼트들 중의 엘리먼트들 사이의 복수의 상호연결들을 더 포함한다. 상호연결들은 시스템의 컴포넌트들 사이의 기능 종속성들과 연관된다. 방법은, 시스템의 개개의 컴포넌트의 기능불량(malfunctioning)과 연관되는 작동 고장 사건들을 엘리먼트들 중 적어도 일부에 할당하는 단계를 더 포함한다. 방법은, 시스템의 개개의 컴포넌트와 연관된 진단 조치의 기능불량과 연관된 진단 고장 사건들을 엘리먼트들 중 적어도 일부에 할당하는 단계를 더 포함한다. 방법은, 진단 고장 사건들과 작동 고장 사건들을 상관시키는 단계, 및 진단 고장 사건들과 작동 고장 사건들의 상기 상관시키는 단계에 따라, 시스템의 복수의 고장 상태들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 식별하는 단계를 더 포함한다.
컴퓨터 프로그램(program) 제품은 적어도 하나의 프로세서에 의해 실행될 수 있는 프로그램 코드(code)를 포함한다. 적어도 하나의 프로세서에 의해 프로그램 코드를 실행하는 것은 적어도 하나의 프로세서로 하여금 방법을 수행하게 할 수 있다. 방법은 CFT를 사용하여 멀티-컴포넌트 제어 또는 작동기 시스템을 모델링하는 단계를 포함한다. CFT는 시스템의 컴포넌트들과 연관된 복수의 엘리먼트들을 포함한다. CFT는 복수의 엘리먼트들 중의 엘리먼트들 사이의 복수의 상호연결들을 더 포함한다. 상호연결들은 시스템의 컴포넌트들 사이의 기능 종속성들과 연관된다. 방법은, 시스템의 개개의 컴포넌트의 기능불량(malfunctioning)과 연관되는 작동 고장 사건들을 엘리먼트들 중 적어도 일부에 할당하는 단계를 더 포함한다. 방법은, 시스템의 개개의 컴포넌트와 연관된 진단 조치의 기능불량과 연관된 진단 고장 사건들을 엘리먼트들 중 적어도 일부에 할당하는 단계를 더 포함한다. 방법은, 진단 고장 사건들과 작동 고장 사건들을 상관시키는 단계, 및 진단 고장 사건들과 작동 고장 사건들의 상기 상관시키는 단계에 따라, 시스템의 복수의 고장 상태들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 식별하는 단계를 더 포함한다.
컴퓨터 프로그램은 적어도 하나의 프로세서에 의해 실행될 수 있는 프로그램 코드를 포함한다. 적어도 하나의 프로세서에 의해 프로그램 코드를 실행하는 것은 적어도 하나의 프로세서로 하여금 방법을 수행하게 할 수 있다. 방법은 CFT를 사용하여 멀티-컴포넌트 제어 또는 작동기 시스템을 모델링하는 단계를 포함한다. CFT는 시스템의 컴포넌트들과 연관된 복수의 엘리먼트들을 포함한다. CFT는 복수의 엘리먼트들 중의 엘리먼트들 사이의 복수의 상호연결들을 더 포함한다. 상호연결들은 시스템의 컴포넌트들 사이의 기능 종속성들과 연관된다. 방법은, 시스템의 개개의 컴포넌트의 기능불량과 연관되는 작동 고장 사건들을 엘리먼트들 중 적어도 일부에 할당하는 단계를 더 포함한다. 방법은, 시스템의 개개의 컴포넌트와 연관된 진단 조치의 기능불량과 연관된 진단 고장 사건들을 엘리먼트들 중 적어도 일부에 할당하는 단계를 더 포함한다. 방법은, 진단 고장 사건들과 작동 고장 사건들을 상관시키는 단계, 및 진단 고장 사건들과 작동 고장 사건들의 상기 상관시키는 단계에 따라, 시스템의 복수의 고장 상태들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 식별하는 단계를 더 포함한다.
방법은 결함 트리(FT; fault tree)를 사용하여 제어 또는 작동기 시스템을 모델링하는 단계를 포함한다. 방법은, 시스템의 기능불량과 연관된 작동 고장 사건들을 정의하는 단계를 더 포함한다. 방법은, 시스템의 진단 조치들의 기능불량과 연관된 진단 고장 사건들을 정의하는 단계를 더 포함한다. 방법은, 진단 고장 사건들과 작동 고장 사건들을 상관시키는 단계, 및 상기 상관시키는 단계에 따라, 시스템의 복수의 시스템 고장 상태들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 식별하는 단계를 더 포함한다.
디바이스는 적어도 하나의 프로세서를 포함한다. 적어도 하나의 프로세서는 방법을 실행하도록 구성된다. 방법은 결함 트리(FT; fault tree)를 사용하여 제어 또는 작동기 시스템을 모델링하는 단계를 포함한다. 방법은, 시스템의 기능불량과 연관된 작동 고장 사건들을 정의하는 단계를 더 포함한다. 방법은, 시스템의 진단 조치들의 기능불량과 연관된 진단 고장 사건들을 정의하는 단계를 더 포함한다. 방법은, 진단 고장 사건들과 작동 고장 사건들을 상관시키는 단계, 및 상기 상관시키는 단계에 따라, 시스템의 복수의 시스템 고장 상태들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 식별하는 단계를 더 포함한다.
컴퓨터 프로그램 제품은 적어도 하나의 프로세서에 의해 실행될 수 있는 프로그램 코드를 포함한다. 적어도 하나의 프로세서에 의해 프로그램 코드를 실행하는 것은 적어도 하나의 프로세서로 하여금 방법을 수행하게 할 수 있다. 방법은 결함 트리(FT; fault tree)를 사용하여 제어 또는 작동기 시스템을 모델링하는 단계를 포함한다. 방법은, 시스템의 기능불량과 연관된 작동 고장 사건들을 정의하는 단계를 더 포함한다. 방법은, 시스템의 진단 조치들의 기능불량과 연관된 진단 고장 사건들을 정의하는 단계를 더 포함한다. 방법은, 진단 고장 사건들과 작동 고장 사건들을 상관시키는 단계, 및 상기 상관시키는 단계에 따라, 시스템의 복수의 시스템 고장 상태들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 식별하는 단계를 더 포함한다.
컴퓨터 프로그램은 적어도 하나의 프로세서에 의해 실행될 수 있는 프로그램 코드를 포함한다. 적어도 하나의 프로세서에 의해 프로그램 코드를 실행하는 것은 적어도 하나의 프로세서로 하여금 방법을 수행하게 할 수 있다. 방법은 결함 트리(FT; fault tree)를 사용하여 제어 또는 작동기 시스템을 모델링하는 단계를 포함한다. 방법은, 시스템의 기능불량과 연관된 작동 고장 사건들을 정의하는 단계를 더 포함한다. 방법은, 시스템의 진단 조치들의 기능불량과 연관된 진단 고장 사건들을 정의하는 단계를 더 포함한다. 방법은, 진단 고장 사건들과 작동 고장 사건들을 상관시키는 단계, 및 상기 상관시키는 단계에 따라, 시스템의 복수의 시스템 고장 상태들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 식별하는 단계를 더 포함한다.
본 발명의 범위로부터 벗어나지 않으면서, 위에서 언급된 특징들 및 이제 아래에서 설명될 특징들이 표시된 개개의 결합들에서 뿐만 아니라 다른 결합들에서도 또는 별개로도 사용될 수 있다는 것이 이해되어야 한다. 위에서-언급된 양상들 및 실시예들의 특징들은 다른 실시예들에서 서로 결합될 수 있다.
도 1은 다양한 예들에 따른 FT를 개략적으로 예시한다.
도 2는 다양한 예들에 따른 CFT를 개략적으로 예시한다.
도 3은 다양한 예들에 따른 멀티-컴포넌트 시스템을 개략적으로 예시한다.
도 4는 다양한 예들에 따른, 도 3의 멀티-컴포넌트 시스템의 CFT를 개략적으로 예시한다.
도 5는 다양한 예들에 따른 진단 고장 사건을 개략적으로 예시한다.
도 6은 다양한 예들에 따른 디바이스를 개략적으로 예시한다.
도 7은 다양한 예들에 따른 방법의 흐름도이다.
도 8은 다양한 예들에 따른 CFT를 개략적으로 예시한다.
다음에서는, 본 발명의 실시예들이 첨부된 도면들을 참조하여 상세히 설명될 것이다. 실시예들의 다음의 설명이 제한적인 의미로 취해지지 않아야 한다는 것이 이해되어야 한다. 본 발명의 범위는, 단지 예시적인 것으로 취해지는 도면들에 의해 또는 이하에 설명된 실시예들에 의해 제한되는 것으로 의도되지 않는다.
도면들은 개략적인 표현들인 것으로서 간주되어야 하며, 도면들에서 예시된 엘리먼트들이 반드시 축척에 맞게 도시되지는 않는다. 그보다는, 다양한 엘리먼트들은, 이 다양한 엘리먼트들의 기능 및 일반적인 목적이 당업자에게 자명해지도록 표현된다. 도면들에서 도시된 또는 본원에서 설명된 기능 블록들, 디바이스들, 컴포넌트들, 또는 다른 물리적인 또는 기능적인 유닛(unit)들 사이의 임의의 연결 또는 커플링(coupling)이 또한, 간접적인 연결 또는 커플링에 의해 구현될 수 있다. 컴포넌트들 사이의 커플링이 또한, 무선 연결을 통해 설정될 수 있다. 기능 블록들은 하드웨어(hardware), 펌웨어(firmware), 소프트웨어(software), 또는 이들의 결합으로 구현될 수 있다.
이하에, 안전 보장을 위한 기법들이 설명된다. 멀티-컴포넌트 시스템들, 이를테면 작동기 및 제어 시스템들의 안전 보장은 그러한 시스템들을 작동시킬 때의 안전을 증가시키는 것을 돕는다.
이하에, 안전-필수 시스템에서 유휴 시스템 고장 상태(때때로, 유휴 시스템 고장 상태로 또한 지칭됨)를 신뢰성 있게 검출하는 기법들이 설명된다. 위에서 설명된 바와 같이, 유휴 고장 상태는, 특정 진단 액션들이 식별될 것을 요구하는 시스템의 고장에 대응한다. 유휴 시스템 고장 상태는, 운영들 및 유지보수 직원에게 즉시 분명하지 않은 고장이다. 유휴 시스템 고장 상태들은 예컨대, 국제 표준 ISO 14224 (2006-12-15); section C.6에서 설명된다.
일반적으로, 본원에서 설명된 기법들은 다양한 종류들 및 유형들의 안전-필수 시스템들에서의 적용을 발견할 수 있다. 예컨대, 본원에서 설명된 기법들은 멀티-컴포넌트 제어 또는 작동기 시스템들에서의 적용을 발견할 수 있다. 그러한 제어 또는 작동기 시스템들은 소정의 기계들에 대한 제어 기능성 또는 활성화 기능성을 제공할 수 있다. 멀티-컴포넌트 안전-필수 시스템들의 일부 엘리먼트들이 하드웨어로서 구현될 수 있는 반면에, 일부 컴포넌트들은 대안적으로 또는 추가적으로, 소프트웨어를 사용하여 구현될 수 있다. 유휴 시스템 고장 상태들을 검출하는 기법들이 사용되는 안전-필수 시스템들이, 하나 또는 그 초과의 기계들을 작동시키거나 또는 제어하기 위한 제어 신호 또는 작동기 힘을 제공하는 출력을 포함하는 것이 가능하다. 본원에서 설명된 유휴 시스템 고장 상태들을 식별하는 기법들로부터 이득을 얻을 수 있는 안전-필수 시스템들의 특정 예들은, 능동 및/또는 수동 전자 컴포넌트들, 이를테면 트랜지스터(transistor)들, 코일(coil)들, 커패시터(capacitor)들, 저항기들 등을 포함하는 전자 회로소자; 비히클(vehicle)들, 이를테면 열차들 또는 객차들 또는 비행기들에 대한 드라이브트레인(drivetrain)들; 컨베이어 벨트(conveyor belt)들, 로봇(robot)들, 이동가능 부품들, 제어 섹션(section)들, 제조된 상품들을 검사하기 위한 테스트(test) 섹션들(백엔드 테스팅(backend testing))을 포함하는 조립 라인들; 의료 시스템들, 이를테면 자기 공명 이미징(imaging) 또는 컴퓨터(computer) 단층촬영을 포함하는 이미징 시스템들, 입자 치료 시스템들; 전력 플랜트(plant)들; 등(그러나, 이들에 제한되지 않음)을 포함한다.
본원에서 설명된 다양한 예들에서, 그러한 시스템들은 안전 보장으로부터 도출되는 정보에 기반하여 작동될 수 있다. 예컨대, 유휴 시스템 고장 상태들이 식별되면, 그 밖의 유휴 시스템 고장 상태들(otherwise dormant system failure states)을 드러내기 위한 진단 조치들을 정의하며, 후속하여, 추가적으로 정의된 진단 조치들에 따라 시스템을 작동시키는 것이 가능할 수 있다.
비록 일반적으로 종래의 FT를 사용하는 것이 가능할지라도, 유휴 시스템 고장 상태를 검출하는 기법들의 다양한 구현들은, CFT를 사용하여 시스템을 모델링하는 것에 의존할 수 있다. 일반적으로 FT가 또한 사용될 수 있지만, 단순성을 위해서, 이하에, CFT들의 맥락에서 다양한 예들이 설명된다.
CFT들은 예컨대 Kaiser, B., Liggesmeyer, P.,
Figure 112018058351780-pat00001
, O.: A new component concept for fault trees. In: Proceedings of the 8th Australian Workshop on Safety Critical Systems and Software - Volume 33. pp. 37-46. SCS '03 (2003)에서 설명된다. CFT들은 모듈식(modular) 및 구성의(compositional) 안전 분석 전략을 지원하는, FTA에 대한 모델(model)-기반 및 컴포넌트-기반 방법론을 제공한다. CFT는 복수의 엘리먼트들을 포함한다. 엘리먼트들은 시스템의 컴포넌트들과 연관된다. CFT는 또한, 엘리먼트들 사이의 복수의 상호연결들을 포함한다. 상호연결들은 시스템의 컴포넌트들 사이의 기능 종속성들과 연관된다. 그러한 기능 종속성들은 힘들의 흐름 또는 제어 신호들의 입력/출력을 모델링할(model) 수 있다. CFT는 시스템의 에러 거동(error behavior)을 모델링할 수 있다. 시스템의 에러 거동은, 계층적 분해(hierarchical decomposition) 접근법들을 사용하여 CFT에 의해 모델링될 수 있다. 여기서, 시스템의 전체 거동은 컴포넌트들의 개별적인 거동에 기반하여 예측될 수 있다. 다시 말해서, 전체 시스템 거동으로 이어지는 인과관계 사슬(causal chain)은, 컴포넌트들의 에러들의 인과관계 사슬에 의한 모델들일 수 있다. CFT는, 시스템 전체에 걸친 에러들의 전파를 모델링하기 위한, 인접한 엘리먼트들 사이의 부울 링크(Boolean link)들(때때로, 게이트(gate)들로 또한 지칭됨), 즉 상호연결들을 포함할 수 있다. CFT는 그래프(graph)를 사용하여 시스템을 모델링할 수 있으며; 여기서, 그래프의 노드(node)들은 엘리먼트들에 대응할 수 있으며, 그래프의 에지(edge)들은 링크들에 대응할 수 있다.
유휴 시스템 고장 상태들을 검출하기 위하여, 진단 조치들에 대응하는 기본 사건(basic event)들이 CFT에서 제공될 수 있다. 다시 말해서, 개개의 진단 조치의 기능불량에 대응하는 진단 고장 사건들이 제공될 수 있다. 진단 고장 사건들과 컴포넌트 고장(작동 고장 사건들)에 대응하는 기본 사건들 사이를 구분하기 위해, 부기(bookkeeping) 시 또는 CFT 그래프를 구성할 때, 특별 플래그(flag) 또는 유형의 디노미네이터(denominator)가 사용될 수 있다.
유휴 시스템 고장 상태를 식별하기 위해, CFT를 분석하는 것이 가능하다. 특히, 다양한 작동 고장 사건들의 에러 전파 경로들을 분석하는 것이 가능하다. 예컨대, 제공된 진단 고장 사건들과 작동 고장 사건들의 에러 전파 경로들 사이의 비교가 수행될 수 있으며: 여기서, 에러 전파 경로를 따라 적어도 하나의 진단 고장 사건이 위치되는지 여부가 체크될(checked) 수 있다. 이는 작동 고장 사건들과 진단 고장 사건들을 상관시키는 것의 일 예에 대응할 수 있다. 작동 고장 사건들과 진단 고장 사건들을 상관시킴으로써, 시스템의 적어도 하나의 진단 조치에 의해 드러나지 않는 에러 전파 경로들을 갖는 그러한 작동 고장 사건들을 식별하는 것이 가능하다. 이로써, 유휴 시스템 고장 상태들이 식별될 수 있다.
일부 예들에서, CFT를 분석하는 것은 최소 컷 세트(MCS; minimum cut set) 분석(MCA; MCS analysis)을 포함할 수 있다. MCA는 다양한 시스템 고장 상태들에 대한 MCS들을 결정하는 것을 포함한다. 시스템 고장 상태의 MCS는 추가로 감소될 수 없는, 연접 항들(conjunctive terms)의 이접(disjunction)을 사용하는 트리의 표현이다. 다시 말해서, 시스템 고장 상태의 MCS는, 고장 상태로 트리거링(triggered)되어서, 시스템 고장 상태와 연관된 최상위 사건(top event)이 또한 고장 상태로 트리거링되도록 해야 하는, FT 또는 CFT를 모델링하는 그래프의 모든 그러한 노드들을 포함한다. 최상위 사건의 트리거(trigger) 상태를 변화시키지 않고서는, MCS의 추가적인 감소는 가능하지 않다. 따라서, 시스템 고장 상태의 MCS는 이 시스템 고장 상태를 관찰하기 위해 필수적인 모든 사건들을 식별한다. MCS 분석은 예컨대, Vesely, William E. 등에 의한 FT handbook. No. NUREG-0492. Nuclear Regulatory Commission Washington DC, 1981; section Ⅶ-15, 4 "Determining the Minimal Cut Sets or Minimal Paths Sets of a FT"에서 설명된다. MCS는 수동으로 또는 자동적으로 결정될 수 있다. MCS 분석을 사용하여 시스템을 모델링하는 예시적인 기법은 DE 10 2015 213 581 A1에서 개시된다.
MCS 분석의 출력, 즉 시스템 고장 상태
Figure 112018058351780-pat00002
의 MCS는 다음과 같이 정의된다:
Figure 112018058351780-pat00003
여기서, 각각의 컷 세트(CS; cut set)
Figure 112018058351780-pat00004
는 최상위 사건의 발생
Figure 112018058351780-pat00005
을 야기하는데, 즉, 개개의 시스템 고장 상태를 트리거링한다(trigger). 게다가,
Figure 112018058351780-pat00006
가, CS의 모든 기본 사건들
Figure 112018058351780-pat00007
이 트리거링되면 최상위 사건
Figure 112018058351780-pat00008
이 발생하게 하는 CS라고 하자. CS 내의 엘리먼트들의 수는 CS의 차수(order)로 불린다.
유휴 시스템 고장 상태들을 검출함으로써, 예컨대 자동적인 방식으로 위험한 상황들을 방지하는 것이 가능하다. 예컨대 추가 진단 조치들을 제공하여서, 유휴 시스템 고장 상태가 더 이상 유휴 상태가 아니라, 하나 또는 그 초과의 추가 진단 조치들에 의해 검출될 수 있도록 함으로써, 유휴 시스템 고장 상태를 검출함으로써, 시스템 설계를 수정하는 것이 가능해진다. 일부 예들에서, 자동적인 방식으로, 예컨대 최적화를 사용하여, 하나 또는 그 초과의 추가 진단 조치들을 결정하는 것이 가능하다. 여기서, 하나 또는 그 초과의 진단 조치들의 포지션(position) 및/또는 셈(account)이 결정될 수 있다. 그것은, 진단 조치들의 카운트(count)를 제한하기 위한 최적화 기준일 수 있다.
도 1은 FT(101)에 대한 양상들을 예시한다. FT들(101)의 개념의 세부사항들은 예컨대 Vesely, W.E., Goldberg, F.F., Roberts, N.H., Haasl, D.F.: "FT Handbook" US Nuclear Regulatory Commission (1981)에서 설명된다. FT(101)는 본원에서 설명된 다양한 예들에서 시스템의 고장 거동(failure behavior)을 모델링하기 위해 사용될 수 있다. 따라서, FT는 안전 보장을 용이하게 할 수 있다. 고장 거동은, 시스템이 안전하게 작동할 수 있는지 여부를 테스트(test)하기 위하여 사용될 수 있다. 고장 거동은, 시스템의 설계의 단점들을 식별하기 위하여 사용될 수 있다.
FT(101)는 노드들(도 1에서 기하학적 형상들에 의해 예시됨) 및 에지들(도 1에서 기하학적 형상들 사이의 라인들에 의해 예시됨)을 포함하는 그래프에 의해 표현된다.
도 1에서 예시된 바와 같이, FT(101)는 개개의 노드들에 의해 모델링되는 기본 사건들(111, 112)을 포함한다. 기본 사건들은 작동 고장 사건들에 대응할 수 있다. 작동 고장 사건은, FT(101)에 의해 모델링되는 시스템의 작동의 어떤 결점(defect)에 대응할 수 있다. 예컨대, 작동 고장 사건은 전자 컴포넌트들, 이를테면 저항기들 또는 스위치(switch)의 기능불량에 대응할 수 있다. 예컨대, 작동 고장 사건은 밸브(valve), 이를테면 압력 해제 밸브의 기능불량 등에 대응할 수 있다. 예컨대, 작동 고장 사건은 냉각 시스템의 기능불량에 대응할 수 있다. 작동 고장 사건에 의해 모델링되는 기능불량의 종류 및 유형의 많은 가능성들이 있으며; 주어진 예들은 단지 예시적인 예들이며, 폭넓게 다양한 상이한 종류들 및 유형들의 작동 고장 사건들이 고려가능하다.
FT(101)는 또한, 입력 포트(input port)들(113, 114)을 포함한다. 입력 포트들(113, 114)은 하나 또는 그 초과의 추가 노드들(도 1에서 예시되지 않음)로부터 고장 상태를 수신할 수 있다.
FT(101)는 또한, 부울 연산자(Boolean operator)들(115, 116)을 포함한다. 부울 연산자(115)가 작동 고장 사건(111)의 상태와 입력 포트(113)의 상태의 논리적 OR 결합(logical OR combination)으로서 구현되는 반면에; 부울 연산자(116)는 작동 고장 사건(112)의 상태와 입력 포트(114)의 상태의 논리적 AND 결합(logical AND combination)으로서 구현된다. AND 및 OR 연산들 외에도, 다른 연산들, 이를테면 NAND 또는 XOR이 가능하다.
따라서, FT(101)에 기반하여, 고장 사건, 예컨대 작동 고장 사건들(111 및 112)의 에러 전파 경로를 모델링하는 것이 가능하다. 특히, 고장 사건의 에러 전파 경로가 하나 또는 그 초과의 최상위 포트들(117, 118)의 상태에 영향을 끼치는지 여부가 체크될(checked) 수 있다.
도 1에서, FT(101)는 시스템의 다양한 컴포넌트들에 독립적으로 정의된다. 다른 예들에서, FT의 개별적인 엘리먼트들 및 상호연결들이, 모델링되는 시스템의 하나 또는 그 초과의 컴포넌트들과 연관되는 FT들을 정의하는 것, 즉, CFT를 사용하는 것이 가능하다. 그러한 CFT는 도 2에서 예시된다.
도 2는 CFT(102)에 대한 양상들을 예시한다. CFT(102)는 ― FT(101)와 비슷한 방식으로 ― 노드들(도 2에서 기하학적 형상들에 의해 예시됨) 및 에지들(도 2에서 기하학적 형상들 사이의 라인들에 의해 예시됨)을 포함하는 그래프에 의해 표현된다.
다시, CFT는 작동 고장 사건(111), 입력 포트들(113, 113A), 부울 연산자들(115, 116), 및 최상위 포트들(117, 118, 118A)을 포함한다. 도 2의 예에서, 전체 CFT(102)는 단일 엘리먼트(130)와 연관되며; 이 엘리먼트(130)는 시스템의 컴포넌트에 대응한다. 따라서, 한편으로는 CFT(102)를 구현하는 그래프의 상이한 노드들 및 상호연결들과, 시스템의 다양한 컴포넌트들 사이의 매핑(mapping)이 제공된다(비록 일반적으로 다수의 컴포넌트들이 다수의 엘리먼트들에 의해 모델링될 수 있을지라도, 도 2에서는, 단순성을 위해서, 단지 단일 컴포넌트가 엘리먼트(130)에 의해 표현된다).
한편으로는 CFT(102)를 구현하는 그래프의 상이한 노드들 및 상호연결들과, 다른 한편으로는 시스템의 다양한 컴포넌트들 사이의 그러한 매핑은, 시스템의 컴포넌트들과 연관된 내부 작동 고장 상태들을 모델링하고, 컴포넌트 수준으로 시스템 전체에 걸쳐 작동 고장 상태의 에러 전파 경로를 분석하는 것을 가능하게 한다. 이는, 시스템의 소정의 컴포넌트들이 시스템 고장 상태에 의해 영향받을 것인지 여부를 예측하는 것을 용이하게 한다. 일반적으로, CFT는 고장들이 나타날 수 있는 대응하는 포트들과 특정 최상위 사건들을 연관시키는 것을 가능하게 한다. 예컨대, 도 2에서, 최상위 포트(117)와 연관된 작동 고장 사건은 포트(118A)에서 시스템 수준으로 나타날 것이다. 이는 안전 분석 모델의 증가된 보전성(maintainability)을 용이하게 한다.
일반적으로, CFT(102)는 전형적인 FT(101)로 변환될 수 있으며 ― 그리고, 그 반대로도 가능하다. 이는, 다양한 엘리먼트들(130) 및 임의의 중복 포트들, 이를테면 도 2의 예에서 최상위 포트(118A) 및 입력 포트(113A)를 제거함으로써 수행될 수 있다.
도 3은 멀티-컴포넌트 제어 또는 작동기 시스템(230)에 대한 양상들을 예시한다. 도 3의 예에서, 시스템(230)은 스위치들 또는 릴레이(relay)들 형태의 복수의 컴포넌트들(231 - 233)을 포함한다. 또한, 스위치들(231-233)에 대한 작동기들(231-1, 232-1, 233-1) 그리고 스위칭(switching) 엘리먼트들(231-2, 232-2, 233-2)이 예시된다. 스위치들(231-233)이 캐스케이드(cascaded) 방식으로 배열되어서, 예컨대 스위칭 엘리먼트(231-2)를 폐쇄할 때 스위치(232)가 작동된다. 예컨대, 스위치들(231 - 233)은 트랜지스터들 또는 릴레이들에 의해 구현될 수 있다. 스위치들(231, 232)이 정상 개방될 수 있는 반면에; 스위치(233)는 정상 폐쇄될 수 있다. 도 3은 시스템(230)의 회로 다이어그램(diagram)이다.
스위치들(231-233)의 캐스케이드 어레인지먼트(arrangement)에 기인하여, 예컨대 스위치(232)의 고장은 또한, 스위치(233)의 작동에 영향을 끼칠 것이다.
도 4는 CFT(102)에 대한 양상들을 예시한다. 특히, 도 4는 도 3에 따른 시스템(230)을 모델링하는 CFT(102)를 예시한다. CFT(102)는 컴포넌트들(231 - 233), 즉, 도 3 및 도 4의 예에서 스위치들에 대응하는 엘리먼트들(131 - 133)을 포함한다. 각각의 엘리먼트(131 - 133)는 입력 포트(113) 및 최상위 포트(117)를 갖는다. 또한, 각각의 엘리먼트(131 - 133)는 작동 고장 사건(111)과 연관된다. 작동 고장 사건들(111)은 개개의 컴포넌트(231 - 233)의 기능불량에 대응한다.
참여하는 작동 고장 사건들 및 연관된 에러 전파 경로에 의해, 시스템 고장 상태가 특징화된다. 예컨대, 상이한 시스템 고장 상태들은 상이한 최상위 사건들과 연관될 수 있으며: 최상위 사건(118A)은 복수의 시스템 고장 상태들 중 주어진 시스템 고장 상태에 대응할 수 있다. 도 4의 예에서, 최상위 사건(118A)의 시스템 고장 상태는 엘리먼트들(131 - 133)의 작동 고장 사건들(111) 중 임의의 하나에 의해 트리거링될(triggered) 수 있다. 예시적인 목적들을 위해, 엘리먼트(131)의 작동 고장 사건(111)과 연관된 에러 전파 경로(170)가 도 4에서 예시된다(도 4의 파선).
일부 예들에서, CFT(102)는 시스템(230)의 회로 다이어그램에 기반하여 자동적으로 생성될 수 있다. 일반적으로, 회로 다이어그램은 상호연결된 전기 컴포넌트들(이를테면, 도 3의 예에서 스위치들(231 - 233))을 포함한다. 그리고, 따라서, 시스템(230)을 적절하게 모델링하기 위해 CFT(102)를 생성하기 위한 정보를 자동적으로 추출하는 것이 가능하다. CFT(102)에 의하여 시스템(230)을 모델링하는 예시적인 기법들은 Zeller, M.,
Figure 112018058351780-pat00009
, K.: INSiDER: "Incorporation of system and safety analysis models using a dedicated reference model." 2016 Annual Reliability and Maintainability Symposium (RAMS) (2016) pp. 1-6에서 설명된다. 이로써, 시스템(230)의 각각의 컴포넌트/스위치(231 - 233)에 대해, 엘리먼트(131 - 133)가 CFT(102)에서 생성된다. CFT(102)의 상호연결들은 회로 다이어그램의 전기 트레이스(trace)들을 따른다.
Figure 112018058351780-pat00010
, F., Zeller, M., Hfig, K., Rothfelder, M., Liggesmeyer, P.: "Automating compositional safety analysis using a failure type taxonomy for CFTs." Walls, L., Revie, M., Bedford, T. (eds.) Risk, Reliability and Safety: Innovating Theory and Practice: Proceedings of ESREL 2016. pp. 1380-1387 (2016)을 참조하라. 이로써, 예컨대, 엘리먼트들(131 - 133)이 시스템(230) 내의 각각의 유형의 전자 컴포넌트에 대해 미리 정의된다면, CFT(102)는 완전히 자동적으로 결정될 수 있다.
예들에 따라, CFT의 엘리먼트들 중 적어도 일부에 진단 고장 사건들을 할당하는 것이 가능하다. 진단 고장 사건들은 시스템의 개개의 컴포넌트와 연관되며, 컴포넌트의 기능불량을 검출할 수 있는 진단 조치의 기능불량을 모델링한다. 다시 말해서, 진단 고장 사건들은 개개의 컴포넌트의 작동 고장 사건을 검출할 수 있는 진단 조치의 기능불량을 모델링할 수 있다.
도 5는 진단 고장 사건(119)에 대한 양상들을 예시한다. 진단 고장 사건(119)은 CFT(102)의 엘리먼트(130)에 할당된다(도 5에서, 단순성을 위해서, 엘리먼트(130)를 넘어서는 CFT(102)의 추가적인 세부사항들은 생략된다).
도 5의 예에서, 진단 고장 사건(119)은 엘리먼트(130)에 의해 모델링된 시스템의 컴포넌트의 기능불량과 연관된 작동 고장 사건(111)과 동일한 계층 수준으로 배열된다. 부울 AND 연산자(151)가 작동 고장 사건(111)의 상태와 진단 고장 사건(119)의 상태를 결합한다. 이후, 부울 OR 연산자(152)가 부울 AND 연산자(151)의 출력의 상태와 입력 포트(113)의 상태를 결합한다. 따라서, (I) 입력 포트(113)가 시스템 에러 상태를 표시하면, 그리고/또는 (Ⅱ) 고장 사건들(111, 119) 둘 모두가 트리거링되면, 최상위 포트(117)는 시스템 에러 상태를 표시한다.
도 5의 예에서, 진단 고장 사건(119)에 의해 모델링된 진단 조치는, 입력 포트(113)를 따라 전파 경로를 갖는 시스템 고장 상태를 검출할 수 없다. 그러나, 다른 예들에서, 개개의 진단 고장 사건에 의해 모델링된 진단 조치가, 입력 포트(113)를 따라 전파 경로를 갖는 그러한 시스템 고장 상태를 검출할 수 있는 것이 가능할 것이다. 여기서, 개개의 작동 고장 사건의 상태와 입력 포트(113)의 상태를 결합하기 위해 부울 AND 연산자가 사용될 수 있다.
도 2-도 5의 설명으로부터 인식될 바와 같이, 복수의 엘리먼트들 및 이 엘리먼트들 사이의 복수의 상호연결들을 포함하는 CFT를 사용하여 제어기 또는 작동기 시스템을 모델링하는 것이 가능하다. 복수의 엘리먼트들 중 적어도 일부 엘리먼트들에 작동 고장 사건들이 할당될 수 있다. 작동 고장 사건들은 시스템의 개개의 컴포넌트의 기능불량과 연관된다. 추가로, 시스템의 개개의 컴포넌트와 연관된 진단 조치의 기능불량과 연관된 진단 고장 사건들이 복수의 엘리먼트들 중 적어도 일부 엘리먼트들에 할당된다. 이후, 그러한 구조를 갖는 CFT에 기반하여, 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 포함하는 시스템 고장 상태들을 신뢰성 있게 검출하는 것이 가능하다. 이를 위해, 그리고 적절하게 구성된 디바이스가 사용될 수 있다.
도 6은 디바이스(501)에 대한 양상들을 예시한다.
디바이스(501)는 인간 기계 인터페이스(HMI; human machine interface)(502)를 포함한다. 예컨대, HMI는, 사용자로부터 정보를 수신하고 그리고/또는 정보를 사용자에게 출력하도록 구성될 수 있다. 예컨대, HMI는 이하의 것: 키보드(keyboard); 마우스(mouse); 라우드스피커(loudspeaker)들; 음성 제어; 모니터(monitor); 등 중 하나 또는 그 초과를 포함할 수 있다. HMI(502)는 선택적이다.
디바이스(501)는 프로세서(503), 예컨대 멀티코어(multicore) 프로세서를 더 포함한다. 프로세서(503)는 메모리(memory)(504), 예컨대 비-휘발성 메모리로부터 프로그램 코드(program code)를 수신하도록 구성된다. 프로세서(503)는 프로그램 코드를 실행하도록 구성된다. 프로그램 코드를 실행하는 것은 프로세서(503)로 하여금, 예컨대 FT, 예컨대 CFT를 사용하여 멀티-컴포넌트 제어 또는 작동기 시스템을 모델링하는 것; FT, 이를테면 CFT의 소정의 포지션들 또는 엘리먼트들에 작동 고장 사건들 및/또는 진단 고장 사건들을 할당하는 것; 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 식별하기 위해, 진단 고장 사건들과 작동 고장 사건들을 상관시키는 것; FT, 이를테면 CFT의 MCA를 수행하는 것; FT, 이를테면 CFT를 통해 시스템 고장 상태의 에러 전파 경로를 결정하는 것; 등에 대해 본원에서 설명된 기법들을 수행하게 할 수 있다.
디바이스(501)는 인터페이스(505)를 더 포함한다. 예컨대, 제어 데이터가 인터페이스(505)를 통해 출력될 수 있다. 예컨대, 인터페이스(505)를 통해 송신되는 제어 데이터에 의하여 멀티-컴포넌트 제어 또는 작동기 시스템의 작동을 제어하는 것이 가능할 수 있다. 인터페이스(505)는 선택적이다.
도 7은 다양한 예들에 따른 방법의 흐름도이다. 예컨대, 도 7의 흐름도에 따른 방법은 디바이스(501)의 프로세서(503)에 의해 실행될 수 있다.
박스(box)(1001)에서, 시스템 ― 이를테면, 하드웨어 및/또는 소프트웨어 컴포넌트들을 포함하는 멀티-컴포넌트 제어 또는 작동기 시스템 또는 다른 유형의 시스템 ― 은 FT, 이를테면 CFT를 사용하여 모델링된다. FT, 이를테면 CFT는, 노드들 및 에지들을 포함하는 그래프에 의해 정의될 수 있다. 노드들 중 일부는 FT, 이를테면 CFT의 기본 사건들에 대응할 수 있다.
특히, 박스(1002)에서, 시스템의 하나 또는 그 초과의 컴포넌트들의 기능불량과 연관된 작동 고장 사건들이 FT, 이를테면 CFT 내에서 정의된다. 이는, CFT의 복수의 엘리먼트들 중 적어도 일부 엘리먼트들에 작동 고장 사건들을 할당하는 것을 포함할 수 있다.
박스(1003)에서, 진단 조치의 기능불량과 연관된 진단 고장 사건들이 정의된다. 예컨대, 진단 조치들은 시스템의 개개의 컴포넌트들과 연관될 수 있다. 따라서, 박스(1003)는 CFT의 복수의 엘리먼트들 중 적어도 일부 엘리먼트들에 진단 고장 사건들을 할당하는 것을 포함할 수 있다.
이후, 박스(1004)에서, 작동 고장 사건들은 진단 고장 사건들과 상관된다. 이는, 상기 상관에 기반하여 박스(1005)에서 유휴 시스템 고장 상태들을 식별하도록 허용한다.
진단 고장 사건들과 작동 고장 사건들의 상관은 다양한 작동 고장 사건들의 에러 전파 경로들을 분석하는 것을 포함할 수 있다. 주어진 작동 고장 사건의 에러 전파 경로는 최상위 사건과 연관될 수 있으며, 이 최상위 사건은 결국, 개개의 시스템 고장 상태에 대한 특징이다. 예컨대 대응하는 최상위 사건까지 줄곧, 주어진 작동 고장 사건의 에러 전파 경로를 분석함으로써, 개개의 시스템 고장 상태를 검출하기에 적당한 적어도 하나의 진단 조치가 있는지 여부가 체크될(checked) 수 있으며; 그러한 체크(check)에 따라, 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 구분하는 것이 가능하다. 예컨대, 주어진 작동 고장 사건의 에러 전파 경로를 따라 하나 또는 그 초과의 진단 고장 사건들이 위치되는지 여부가 체크될 수 있다. 긍정적으로(In the affirmative), 개개의 시스템 고장 상태가 유휴 상태가 아니라는 것이 판단될 수 있는데, 그 이유는 그들과 연관된 진단 조치들에 의해, 에러 전파 경로를 따라 놓이는 하나 또는 그 초과의 진단 고장 사건들이 정상 검출될 수 있기 때문이다. 여기서, 개개의 진단 조치의 기능불량의 공산 ― 즉, 진단 고장 사건이 고장 상태로 트리거링될 공산 ― 이 비교적 낮아서, 시스템 고장 상태가 신뢰성 있게 드러날 수 있다는 것이 가정될 수 있다.
그러한 분석은, MCA를 고려함으로써 용이하게 될 수 있다. 특히, 박스(1004)에서의 상관은 CFT의 MCA에 기반할 수 있다. 때때로, MCS들은 모든 시스템 고장 상태들에 대해, 즉, 모든 최상위 사건들에 대해 결정될 수 있으며; 때때로, MCS 분석의 대상이 되는 최상위 사건들의 서브세트(subset)가 예컨대 수동으로 선택될 수 있다.
CFT의 각각의 기본 사건은 시스템의 개개의 컴포넌트의 기능불량을 표현하는데, 즉 작동 고장 사건이거나, 또는 개개의 컴포넌트와 연관된 진단 조치의 기능불량을 표현하는데, 즉 진단 고장 사건이다. 따라서, 어떤 진단 고장 사건들도 포함하지 않는 MCA로부터 획득되는 각각의 컷 세트(CS; cut set)는, 적절한 진단 조치에 의하여 검출할 가능성 없이 최상위 사건을 트리거링하는 유휴 시스템 고장 상태를 표현한다. 따라서, 각각의 시스템 고장 상태의 MCS를 결정하며, MCS에 포함되는 진단 고장 사건들의 수를 결정하는 것이 가능할 것이다. 이후, 개개의 MCS에 포함되는 결정된 진단 고장 사건들의 수에 기반하여, 개개의 시스템 고장 상태를 유휴 시스템 고장 상태로서 또는 비-유휴 시스템 고장 상태로서 식별하는 것이 가능하다. 다시, MCS에서 진단 고장 사건들에 의해 모델링되는 하나 또는 그 초과의 진단 액션들의 고장의 공산은, 연관된 시스템 고장 상태를 유휴 상태 또는 비-유휴 상태로서 라벨링(labeling)할 때 고려될 수 있거나 또는 고려되지 않을 수 있다. 예컨대, 적어도 1 개 또는 적어도 2 개 또는 적어도 3 개의 진단 고장 사건들을 갖는 모든 MCS는 비-유휴 시스템 고장 상태들을 정의할 수 있다.
특히, 1과 동일한 차수를 가지며, 단지 단일 작동 고장 사건만을 포함하는 CS들이 더욱 면밀히 조사되어야 한다. 그 이유는 1과 동일한 차수를 갖는 그러한 CS들이 단일 고장 지점들을 닮기 때문이다. 여기서, 진단 고장 사건의 상태와 작동 고장 사건의 상태를 결합하기 위해 사용되는 부울 AND 연산자(도 5 참조)가, 반드시 차수가 2(또는 그 초과)인 적어도 하나의 진단 고장 사건을 포함하는 CS들을 야기한다는 것이 주목되어야 한다. 또한, 시스템, 이를테면 전기 회로에 도입되는 중복성 메커니즘(mechanism) ― CFT/FT에서, 통상적으로 AND 게이트에 의해 표현됨 ― 이 2 또는 그 초과의 차수의 CS들로 이어진다. 중복성이 부울 AND 연산자에 의해 표현되는 경우, 따라서 연결된 중복 부품들은, 고장을 전파하기 위하여 고장나야 한다. 이는 더 높은 차수의 CS를 야기하는데, 그 이유는 AND 부울 연산자가, AND 부울 연산자 없이 표현되는 단일 부품과 비교하여 컷 세트의 차수를 증가시키기 때문이다.
본원에서 설명된 다양한 기법들은, 유휴 시스템 고장 상태들을 방지하기 위하여 멀티-컴포넌트 시스템의 각각의 컴포넌트에 진단 조치가 제공되는 것이 요구되지 않는다는 발견에 기반한다. 예컨대, 전기 회로의 경우, 기능불량의 가능성을 가지며 그에 따라 개개의 CFT에서 작동 고장 사건과 연관되는 각각의 전기 컴포넌트가 전용 진단 조치를 갖는 것이 요구되지 않는다. 예컨대, 스위치들의 세트(set)가 직렬로 배선되면(도 3 및 도 4 참조), 사슬 내의 모든 작동 고장 사건들의 에러 전파 경로들을 드러내고, 이로써 유휴 시스템 고장 상태들을 방지하기 위하여, 이 직렬연결(series)의 마지막 스위치에 진단 조치가 제공되면 충분하다. 다시 말해서, ― 예컨대, 다양한 시스템 고장 상태들의 에러 전파 경로들을 체크함으로써 ― 진단 고장 사건들과 작동 고장 사건들의 상관에 기반하여, 동일한 비-유휴 시스템 고장 상태와 연관된 시스템의 중복 진단 조치들을 식별하는 것이 가능해진다. 이후, 대응하는 진단 조치들을 제거함으로써, 시스템을 단순화하는 것이 가능할 것이다. 일부 예들에서, 이는, MCA를 사용하여 개개의 시스템 고장 상태의 MCS를 결정하며, MCS에 포함되는 진단 고장 사건들의 수를 결정함으로써 달성될 수 있다. 이후, 개개의 MCS에 포함되는 결정된 진단 고장 사건들의 수에 기반하여, 동일한 시스템 고장 상태와 연관된 시스템의 중복 진단 조치들을 식별하는 것이 가능하다. 예컨대, MCS는 복수의 진단 고장 사건들을 포함하고, 이들 진단 고장 사건들 중 적어도 일부가 중복적이어서, 연관된 진단 조치들이 시스템으로부터 제거될 수 있다는 것이 판단될 수 있다.
따라서, 다른 한편으로, 시스템에 추가될 하나 또는 그 초과의 추가 진단 조치들에 대한 후보 포지션들을 결정하는 것이 가능하다. 후보 포지션들은, 그 밖의 유휴 시스템 고장 상태의 에러 전파 경로를 따라 위치될 수 있다. 여기서, 최적화를 사용하여 후보 포지션들이 결정되는 것이 가능할 것이다. 하나 또는 그 초과의 추가 진단 조치들의 카운트가 최적화의 최적화 기준으로서 간주될 수 있다. 예컨대, 그 밖의 유휴 시스템 고장 상태를 분명하게 검출하기 위해 요구되는 하나 또는 그 초과의 추가 진단 조치들의 카운트를 최소화시키는 경향성이 있을 수 있다. 다시 말해서, 진단 조치들의 세트가 CFT에 기반하여 최적화되고, 이 CFT가 또한, 개개의 진단 고장 사건들을 포함하고, 이로써 다양한 시스템 고장 상태들의 에러 전파 경로들을 모델링하는 것이 가능하다.
도 8은 CFT(102)에 대한 양상들을 개략적으로 예시한다. 도 8의 예의 CFT(102)는 도 3의 예에 따른 전자 시스템(230)을 모델링한다. 도 8은 추가로, 컴포넌트(233)와 연관된 전용의 추가 진단 조치, 및 그에 따라 엘리먼트(133)에 포함되는 개개의 진단 고장 사건(119)에 대한 양상들을 개략적으로 예시한다.
추가 진단 고장 사건(119)이 포함되지 않으면서, 최상위 사건(top event)(118A)의 시스템 고장 상태와 연관된 MCS는 다음에 의해 주어지며:
Figure 112018058351780-pat00011
총 3 개의 CS들은 다음과 같다:
Figure 112018058351780-pat00012
Figure 112018058351780-pat00013
Figure 112018058351780-pat00014
여기서, CS131은 정상-개방된(normally-opened) 스위치(231)와 연관된 엘리먼트(131)의 작동 고장 사건(111)에 대응하고; CS132는 정상-개방된 스위치(232)와 연관된 엘리먼트(132)의 작동 고장 사건(111)에 대응하며; 그리고 CS133은 정상-폐쇄된(normally-closed) 스위치(233)와 연관된 엘리먼트(133)의 작동 고장 사건(111)에 대응한다.
그러한 CS들 각각은 1의 차수와 같다. 따라서, 진단 고장 사건(119)과 연관된 진단 조치 없이, CS들 각각은 유휴 시스템 고장 상태를 야기하는데, 그 이유는 어떤 진단 고장 사건들도 개개의 CS들에 포함되지 않기 때문이다. 따라서, 연관된 최상위 사건(118A)은 잠재적으로 위험하다. 적절한 진단 조치를 제공하는 것은, 최적화 또는 다른 적절한 알고리즘(algorithm)에 의하여 달성될 수 있다. 예컨대, 컴포넌트들(231 - 233)의 각각의 컴포넌트에 대한 개개의 진단 조치를 제공하는 것은 중복성을 초래할 것이다. MCS 분석의 결과들 및 기저 시스템(230)의 구조에 관한 정보에 기반하여, 시스템(230)의 아키텍처(architecture)에 따라 ― 즉, 시스템의 컴포넌트들의 어레인지먼트(arrangement)에 따라 ― 다음과 같이 CS들을 순서화(order)하는 것이 가능하다:
Figure 112018058351780-pat00015
도 8에서 예시된 바와 같이, 시스템(230)의 직렬 아키텍처에 기인하여, 직렬연결의 마지막 컴포넌트(233)에 대해서만 진단 조치를 제공할 것이 요구된다. 대응하는 진단 조치는 엘리먼트들(131 - 133)의 작동 고장 사건들(111)과 연관된 모든 에러 전파 경로들을 드러내 보일 수 있다. 이는 진단 고장 사건(119) 및 부울 AND 연산자(151)에 의해 달성된다.
요약하면, 위에서는, 시스템들, 이를테면 멀티-컴포넌트 제어기 작동기 시스템들에서 유휴 시스템 고장 상태들을 식별하는 것을 가능하게 하는 기법들이 설명되었다. 일반적으로, FT 또는 CFT를 사용하여 종속성 그래프에 의해 모델링될 수 있는 임의의 시스템은 본원에서 설명된 기법들의 대상이 될 수 있다. 유휴 시스템 고장 상태들이 신뢰성 있게 식별될 수 있다.
예들에 따라, 기법들은 CFT에 의존한다. 여기서, CFT는, 특히 시스템이 다수의 전자 컴포넌트들을 포함하는 전자 회로이면, 시스템의 아키텍처에 관한 지식에 기반하여 자동적으로 생성될 수 있다. 그러한 접근법은, 시스템이 수정될 때마다 CFT의 분석을 반복할 가능성을 제공한다. 따라서, 참조 기법들에 따라 유휴 시스템 고장 상태들을 식별하기 위해 시스템을 평가하는 수동의, 시간-소모적인 그리고 에러 발생이 쉬운 작업이 자동적으로 구현되어서, 간과들 등에 대한 위험이 감소될 수 있다.
유휴 시스템 고장 상태들을 식별하는 것에 대안적으로 또는 추가적으로, 손실된 또는 중복적인 진단 조치들을 식별하는 것이 또한 가능하다. 진단 조치들의 수는 최적화될 수 있는데, 그 이유는 임의의 유휴 시스템 고장 상태들을 방지하기 위해, 요구되는 진단 측정들의 세트를 결정하는 것이 가능하기 때문이다.
본원에서 설명된 기법들은, 시스템에서 고장이 발생한 후에 근본 원인을 발견하는 것을 추가로 용이하게 할 수 있다. 이것은, 분석의 결과들이, 연관된 진단 조치에 의해 드러나는 가능한 작동 고장 사건들의 세트를 드러내 보일 수 있기 때문에 가능하다.
본 발명이 소정의 바람직한 실시예들에 대해 도시 및 설명되었지만, 본 명세서를 읽고 이해할 때 당업자들에게 등가물들 및 수정들이 발생할 것이다. 본 발명은 모든 그러한 등가물들 및 수정들을 포함하며, 첨부된 청구항들의 범위에 의해서만 제한된다.
예시를 위해, 위의 다양한 예들이 CFT와 관련하여 설명되었지만, CFT는 설명된 기법들의 기능에 밀접한 관련이 있는 것이 아니다. 다양한 예들은 또한, 보통의 FT를 사용하여 구현될 수 있다. 여기서, 소정의 진단 고장 사건들과 연관되는 상이한 컴포넌트들 사이를 구분하는 것은 요구되지 않을 수 있다. 그보다는, 진단 고장 사건들은, 모델링되는 시스템에서의 그들의 논리적 어레인지먼트에 따라, FT의 아키텍처에 임베딩될(embedded) 수 있다.

Claims (11)

  1. 결함 트리들을 사용하여 유휴 시스템 고장 상태(dormant system failure state)들을 식별하기 위한 컴퓨터(computer)로 구현되는 방법으로서,
    - 컴포넌트 결함 트리(component fault tree)(102)를 사용하여 멀티-컴포넌트(multi-component) 제어 또는 작동기 시스템(system)(230)을 모델링(modeling)하는 단계 ― 상기 컴포넌트 결함 트리(102)는, 상기 시스템(230)의 컴포넌트들(231-233)과 연관된 복수의 엘리먼트(element)들(131-133), 및 상기 시스템(230)의 상기 컴포넌트들(231-233) 사이의 기능 종속성들과 연관된, 상기 복수의 엘리먼트들(131-133) 중의 엘리먼트들(131-133) 사이의 복수의 상호연결들을 포함함 ―,
    - 상기 시스템(230)의 개개의 컴포넌트(231-233)의 기능불량(malfunctioning)과 연관된 작동 고장 사건(operational failure event)들(111)을 상기 복수의 엘리먼트들(131-133) 중 적어도 일부 엘리먼트들(131-133)에 할당하는 단계,
    - 상기 시스템(230)의 개개의 컴포넌트(231-233)와 연관된 진단 조치(diagnostic measure)의 기능불량과 연관된 진단 고장 사건(diagnostic failure event)들(119)을 상기 복수의 엘리먼트들(131-133) 중 적어도 일부 엘리먼트들(131-133)에 할당하는 단계,
    - 상기 진단 고장 사건들(119)과 상기 작동 고장 사건들(111)을 상관시키는 단계, 및
    - 상기 상관시키는 단계에 따라, 상기 시스템(230)의 복수의 시스템 고장 상태(failure state)들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태(non-dormant system failure state)들을 식별하는 단계
    를 포함하는,
    결함 트리들을 사용하여 유휴 시스템 고장 상태들을 식별하기 위한 컴퓨터로 구현되는 방법.
  2. 제1항에 있어서,
    상기 상관시키는 단계는 상기 컴포넌트 결함 트리(102)의 최소 컷 세트 분석(minimum cut set analysis)에 기반하는,
    결함 트리들을 사용하여 유휴 시스템 고장 상태들을 식별하기 위한 컴퓨터로 구현되는 방법.
  3. 제1항에 있어서,
    상기 상관시키는 단계는,
    - 각각의 작동 고장 사건(111)에 대해: 상기 컴포넌트 결함 트리(102)를 통해, 연관된 시스템 고장 상태의 에러 전파 경로(error propagation path)(170)를 결정하는 단계, 및
    - 상기 에러 전파 경로(170)를 따라 적어도 하나의 진단 고장 사건(119)이 위치되는지를 체크하는(checking) 단계
    를 포함하는,
    결함 트리들을 사용하여 유휴 시스템 고장 상태들을 식별하기 위한 컴퓨터로 구현되는 방법.
  4. 제1항에 있어서,
    상기 상관시키는 단계는,
    - 상기 복수의 시스템 고장 상태의 각각의 시스템 고장 상태에 대해: 최소 컷 세트 분석을 사용하여 개개의 시스템 고장 상태의 최소 컷 세트를 결정하며, 상기 최소 컷 세트에 포함되는 진단 고장 사건들(119)의 수를 결정하는 단계, 및
    - 상기 복수의 시스템 고장 상태의 각각의 시스템 고장 상태에 대해: 개개의 최소 컷 세트에 포함되는 결정된 진단 고장 사건들(119)의 수에 기반하여, 개개의 시스템 고장 상태를 유휴 시스템 고장 상태로서 또는 비-유휴 시스템 고장 상태로서 식별하는 단계
    를 포함하는,
    결함 트리들을 사용하여 유휴 시스템 고장 상태들을 식별하기 위한 컴퓨터로 구현되는 방법.
  5. 제1항에 있어서,
    - 상기 상관시키는 단계에 따라, 동일한 비-유휴 시스템 고장 상태와 연관된, 상기 시스템(230)의 중복 진단 조치들을 식별하는 단계
    를 더 포함하는,
    결함 트리들을 사용하여 유휴 시스템 고장 상태들을 식별하기 위한 컴퓨터로 구현되는 방법.
  6. 제1항에 있어서,
    - 상기 복수의 시스템 고장 상태의 각각의 시스템 고장 상태에 대해: 최소 컷 세트 분석을 사용하여 개개의 시스템 고장 상태의 최소 컷 세트를 결정하며, 상기 최소 컷 세트에 포함되는 진단 고장 사건들(119)의 수를 결정하는 단계, 및
    - 상기 복수의 시스템 고장 상태의 각각의 시스템 고장 상태에 대해: 개개의 최소 컷 세트에 포함되는 결정된 진단 고장 사건들(119)의 수에 기반하여, 동일한 시스템 고장 상태와 연관된, 상기 시스템(230)의 중복 진단 조치들을 식별하는 단계
    를 더 포함하는,
    결함 트리들을 사용하여 유휴 시스템 고장 상태들을 식별하기 위한 컴퓨터로 구현되는 방법.
  7. 제1항에 있어서,
    - 식별된 유휴 시스템 고장 상태들 중 적어도 일부에 대해: 유휴 시스템 고장 상태의 작동 고장 사건(111)의 에러 전파 경로(170)를 따라 적어도 하나의 추가 진단 조치를 위한 후보 포지션(position)들을 결정하는 단계
    를 더 포함하는,
    결함 트리들을 사용하여 유휴 시스템 고장 상태들을 식별하기 위한 컴퓨터로 구현되는 방법.
  8. 제7항에 있어서,
    상기 적어도 하나의 추가 진단 조치를 위한 후보 포지션들은 최적화를 사용하여 결정되며, 상기 적어도 하나의 추가 진단 조치의 카운트(count)는 상기 최적화의 최적화 기준인,
    결함 트리들을 사용하여 유휴 시스템 고장 상태들을 식별하기 위한 컴퓨터로 구현되는 방법.
  9. 적어도 하나의 프로세서(processor)(503)를 포함하는 디바이스(device)(501)로서, 상기 프로세서(503)는,
    - 컴포넌트 결함 트리(102)를 사용하여 멀티-컴포넌트 제어 또는 작동기 시스템(230)을 모델링하고(model) ― 상기 컴포넌트 결함 트리(102)는, 상기 시스템(230)의 컴포넌트들(231-233)과 연관된 복수의 엘리먼트들(131-133), 및 상기 시스템(230)의 상기 컴포넌트들(231-233) 사이의 기능 종속성들과 연관된, 상기 복수의 엘리먼트들(131-133) 중의 엘리먼트들(131-133) 사이의 복수의 상호연결들을 포함함 ―,
    - 상기 시스템(230)의 개개의 컴포넌트(231-233)의 기능불량과 연관된 작동 고장 사건들(111)을 상기 복수의 엘리먼트들(131-133) 중 적어도 일부 엘리먼트들(131-133)에 할당하고,
    - 상기 시스템(230)의 개개의 컴포넌트(231-233)와 연관된 진단 조치의 기능불량과 연관된 진단 고장 사건들(119)을 상기 복수의 엘리먼트들(131-133) 중 적어도 일부 엘리먼트들(131-133)에 할당하고,
    - 상기 진단 고장 사건들(119)과 상기 작동 고장 사건들(111)을 상관시키며, 그리고
    - 상기 상관시키는 것에 따라, 상기 시스템(230)의 복수의 시스템 고장 상태들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 식별하도록
    구성되는,
    적어도 하나의 프로세서(503)를 포함하는 디바이스(501).
  10. 제9항에 있어서,
    상기 적어도 하나의 프로세서(503)는 추가로, 제2항 내지 제8항 중 어느 한 항의 방법을 수행하도록 구성되는,
    적어도 하나의 프로세서(503)를 포함하는 디바이스(501).
  11. 결함 트리들을 사용하여 유휴 시스템 고장 상태들을 식별하기 위한 방법으로서,
    - 결함 트리(101, 102)를 사용하여, 제어 또는 작동기 시스템(230)을 모델링하는 단계,
    - 상기 시스템(230)의 기능불량과 연관된 작동 고장 사건들(111)을 정의하는 단계,
    - 상기 시스템(230)의 진단 조치들의 기능불량과 연관된 진단 고장 사건들(119)을 정의하는 단계,
    - 상기 진단 고장 사건들(119)과 상기 작동 고장 사건들(111)을 상관시키는 단계, 및
    - 상기 상관시키는 단계에 따라, 상기 시스템(230)의 복수의 시스템 고장 상태들 중 유휴 시스템 고장 상태들 및 비-유휴 시스템 고장 상태들을 식별하는 단계
    를 포함하는,
    결함 트리들을 사용하여 유휴 시스템 고장 상태들을 식별하기 위한 방법.
KR1020180067558A 2017-06-12 2018-06-12 유휴 시스템 고장 상태들을 식별하기 위한 결함 트리들을 사용하는 안전 보장 KR101967327B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP17175479.9 2017-06-12
EP17175479.9A EP3416013B1 (en) 2017-06-12 2017-06-12 Safety assurance using fault trees for identifying dormant system failure states

Publications (2)

Publication Number Publication Date
KR20180135422A KR20180135422A (ko) 2018-12-20
KR101967327B1 true KR101967327B1 (ko) 2019-04-09

Family

ID=59091328

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180067558A KR101967327B1 (ko) 2017-06-12 2018-06-12 유휴 시스템 고장 상태들을 식별하기 위한 결함 트리들을 사용하는 안전 보장

Country Status (5)

Country Link
US (1) US10359773B2 (ko)
EP (1) EP3416013B1 (ko)
JP (1) JP6639550B2 (ko)
KR (1) KR101967327B1 (ko)
CN (1) CN109032109B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210053650A (ko) 2019-11-04 2021-05-12 충북대학교 산학협력단 자율 드론 비행 안전성 검사를 위한 위협 분석 기법 및 시스템

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3151122A1 (en) * 2015-10-02 2017-04-05 Siemens Aktiengesellschaft Method and apparatus for generating a fault tree
EP3270249B1 (en) * 2016-07-15 2020-08-26 Siemens Aktiengesellschaft Method and apparatus for a computer-based generation of component fault trees
US10690722B1 (en) * 2019-02-08 2020-06-23 Real Intent, Inc. Methods and systems for efficient identification of glitch failures in integrated circuits
EP3764182A1 (en) * 2019-07-12 2021-01-13 Siemens Aktiengesellschaft Ring-closures in fault trees and normalized representation
CN112100693B (zh) * 2020-09-14 2022-10-11 北京航空航天大学 一种基于petri网的芯片安全分析方法
CN112668210A (zh) * 2021-02-18 2021-04-16 江西洪都航空工业集团有限责任公司 基于故障树的飞机复杂系统任务可靠性建模预计方法
KR102603387B1 (ko) * 2021-12-22 2023-11-17 건국대학교 산학협력단 계층 모델을 사용한 클라우드-포그-엣지 연속체 기반의 IoMT 시스템의 의존성 및 보안 정량화 장치 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020166082A1 (en) 2001-03-02 2002-11-07 Ramadei Michael J. System and method for recognizing faults in machines
WO2011148891A1 (ja) 2010-05-24 2011-12-01 日本電気株式会社 システムモデルからの静的なフォルトツリー解析のシステムと方法
WO2015151014A1 (en) 2014-03-31 2015-10-08 Bombardier Inc. Specific risk toolkit

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09319777A (ja) * 1996-05-27 1997-12-12 Sharp Corp 電気回路の故障解析方法
DE19742446B4 (de) * 1997-09-26 2006-05-24 Daimlerchrysler Ag Fehlerdiagnoseverfahren
JP2010181212A (ja) * 2009-02-04 2010-08-19 Toyota Central R&D Labs Inc 故障診断システム、故障診断方法
US8527441B2 (en) * 2011-03-10 2013-09-03 GM Global Technology Operations LLC Developing fault model from service procedures
JP5978875B2 (ja) * 2012-09-14 2016-08-24 三菱化学株式会社 作図プログラム、作図方法、および作図装置
CN103020436B (zh) * 2012-11-30 2015-08-12 工业和信息化部电子第五研究所 元器件失效归零分析方法与系统
CN103049346B (zh) * 2012-12-11 2015-03-18 工业和信息化部电子第五研究所 基于失效物理的元器件故障树构建方法和系统
JP6066081B2 (ja) * 2013-09-03 2017-01-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation フォールトツリーを生成する装置及び方法
US10095813B2 (en) * 2013-11-18 2018-10-09 The Boeing Company Safety analysis of a complex system using component-oriented fault trees
DE102015213581A1 (de) 2015-07-20 2017-01-26 Siemens Aktiengesellschaft Verfahren zur Modellierung eines Komponentenfehlerbaums und Computerprogrammprodukt
EP3151122A1 (en) * 2015-10-02 2017-04-05 Siemens Aktiengesellschaft Method and apparatus for generating a fault tree

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020166082A1 (en) 2001-03-02 2002-11-07 Ramadei Michael J. System and method for recognizing faults in machines
WO2011148891A1 (ja) 2010-05-24 2011-12-01 日本電気株式会社 システムモデルからの静的なフォルトツリー解析のシステムと方法
WO2015151014A1 (en) 2014-03-31 2015-10-08 Bombardier Inc. Specific risk toolkit

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210053650A (ko) 2019-11-04 2021-05-12 충북대학교 산학협력단 자율 드론 비행 안전성 검사를 위한 위협 분석 기법 및 시스템

Also Published As

Publication number Publication date
CN109032109A (zh) 2018-12-18
EP3416013A1 (en) 2018-12-19
EP3416013B1 (en) 2019-07-24
JP6639550B2 (ja) 2020-02-05
JP2019003612A (ja) 2019-01-10
CN109032109B (zh) 2020-08-07
KR20180135422A (ko) 2018-12-20
US20180356810A1 (en) 2018-12-13
US10359773B2 (en) 2019-07-23

Similar Documents

Publication Publication Date Title
KR101967327B1 (ko) 유휴 시스템 고장 상태들을 식별하기 위한 결함 트리들을 사용하는 안전 보장
JP2004150440A (ja) システム上で診断を行うための方法
CN105912413B (zh) 分析系统、特别是安全关键系统的可用性的方法和装置
CN110489773B (zh) 故障树中的闭环
Saddem et al. Causal temporal signature from diagnoser model for online diagnosis of discrete event systems
CN112204485A (zh) 用于解决多部件系统的自动故障树分析中的闭环的计算机实现的方法和设备
WO2013172325A1 (ja) 識別システム、識別方法及びプログラム
US20210049060A1 (en) Method for identifying and evaluating common cause failures of system components
Lahtinen Hardware failure modelling methodology for model checking
Rodriguez-Guerra et al. Fault-tolerant control study and classification: Case study of a hydraulic-press model simulated in real-time
Reed et al. Verification and validation of system health management models using parametric testing
EP3969974B1 (en) Ring-closures in fault trees and normalized representation
Schroeder et al. A factory health monitor: System identification, process monitoring, and control
Marangé et al. Diagnosability evaluation by model-checking
Stanton A fault monitoring architecture for the diagnosis of hardware and software faults in manufacturing systems
CN116802578A (zh) 用于解决多组件系统的自动故障树分析中的闭合环路的计算机实现方法和设备
RU2297659C1 (ru) Интегрированная система автоматического координированного управления объектом
Jockenhövel-Barttfeld et al. Estimation of specific common cause factors for digital I&C modules in the PSA
Liu et al. Test of the fault behaviors of the component model in the virtual commissioning
Summers et al. Random, Systematic, and Common Cause Failure: How do you manage them?
Gergely et al. Coverage influence on the dependability of PLC architectures
CN114357914A (zh) 基于灵敏度分析的可靠性权衡分析
Gabbar et al. Design of Integrated Fault Diagnostic System (FDS)
Mellegård et al. A Light-Weight Defect Classification Scheme for Embedded Automotive Software Development
Mouchaweh et al. DETECTABILITY AND DIAGNOSABILITY OF DISCRETE EVENT SYSTEMS-Application on manufacturing systems

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant