故障树中的环闭合和规范化表示的制作方法

文档序号:29033637发布日期:2022-02-24 16:28阅读:193来源:国知局
故障树中的环闭合和规范化表示的制作方法

1.本发明的各种示例通常涉及使用故障树对多部件控制或致动器系统进行建模。本发明的各种示例具体地涉及故障树中的环闭合(ring closure)。


背景技术:

2.嵌入式系统的许多应用领域(诸如,航空航天、铁路、健康护理、汽车和工业自动化)中的安全关键系统的重要性正在持续地增长。因此,与增长的系统复杂性一起,对安全保障以及它的努力的需要也正在增加以便保证这些应用领域中的高质量需求。安全保障的目标是确保系统不导致可能伤害人或危及环境的危险情况。在安全关键系统的应用领域中,借助于标准来定义安全保障,参见例如国际电工委员会(iec) 61508 "functional safety of electrical/electronic/programmable electronic safety related systems" (1998)。
3.传统上,在安全方面的系统的评定是基于自下而上的安全分析方案,诸如失效模式和影响分析(fmea),参见iec 60812 "analysis techniques for system reliability
ꢀ‑ꢀ
procedure for failure mode and effects analysis (fmea)" (1991)。替代地,根据参考实施方式的系统的评定是基于自上而下的方案,诸如故障树(ft)分析(fta),参见例如vesely, w.e., goldberg, f.f., roberts, n.h., haasl, d.f.:fault tree handbook, us nuclear regulatory commission (1981)。通过这种技术,可能的是识别系统失效状态、它们的原因以及对系统安全有冲击的影响。
4.系统的架构经常包含环路。环路的示例是闭环控制器。闭环控制指代这样的过程:将会使物理变量(例如,环境温度)达到特定值,同时使其稳定以防干扰。基于测量指示物理变量的可观测量而获得的反馈被用于设置影响物理变量的致动器的操作。控制器是这样的部件:获取实际值并且从设置点和实际值之差导出控制信号。控制器然后激活补偿控制偏差的最终控制元件,例如加热器。
5.由于失效传播模型例如经常使用布尔逻辑来驱动故障树(ft),所以环路/环闭合是有问题的。因为布尔逻辑通常不能包含环路,所以存在用于在这种模型中防止环路的技术,例如,如kai h
ö
fig, joe zhensheng guo, and amir kazeminia. streamlining architectures for integrated safety analysis using design structure matrices (dsms). safety and reliability: methodology and applications, 2014中所述。对于自动地组成失效传播模型的应用,例如当产生架构时,这种预防性技术不能有帮助。这种环路经常不能被防止,它们简单地在系统的组成期间从失效传播模型的已有部件和已有部分逐渐形成(develop)。因此,需要一种能够处理在使用布尔逻辑的失效传播模型中的环路的技术。
6.已观察到:对包括环闭合的故障树执行分析可能是有问题的。例如,如果故障树包括环闭合,则有时也许不可能确定故障树的最小割集。在loop normalizing algorithm:kai h
ö
fig, marc zeller, francesco montrone, and stefan rothbauer中描述最小割
集分析。


技术实现要素:

7.因此,存在对处理分析安全关键系统的高级技术的需要。特别地,存在对处理包括环闭合的ft的高级技术的需要。
8.通过独立权利要求的特征来满足这种需要。从属权利要求的特征定义实施例。
9.一种计算机实施的方法包括:使用ft对多部件控制或致动器系统进行建模。ft包括多个元素。所述多个元素与系统的部件关联。ft还包括所述多个元素中的元素之间的多个互连。所述多个互连与部件之间的功能依赖性关联。所述方法还包括:检测ft的一个或多个环闭合。所述方法还包括:对于所述一个或多个环闭合中的每个环闭合:在ft中由各(respective)变量替换各环闭合的至少一个各边。通过这种替换,获得占位符ft。然后,确定占位符ft的规范化表示。
10.一种计算机程序或计算机程序产品或计算机可读存储介质包括程序代码,所述程序代码能够由至少一个处理器执行。执行程序代码使所述至少一个处理器执行一种方法。所述方法包括:使用ft对多部件控制或致动器系统进行建模。ft包括多个元素。所述多个元素与系统的部件关联。ft还包括所述多个元素中的元素之间的多个互连。所述多个互连与部件之间的功能依赖性关联。所述方法还包括:检测ft的一个或多个环闭合。所述方法还包括:对于所述一个或多个环闭合中的每个环闭合:在ft中由各变量替换各环闭合的至少一个各边。通过这种替换,获得占位符ft。然后,确定占位符ft的规范化表示。
11.一种装置包括控制电路。控制电路能够执行程序代码。执行程序代码使控制电路执行一种方法。所述方法包括:使用ft对多部件控制或致动器系统进行建模。ft包括多个元素。所述多个元素与系统的部件关联。ft还包括所述多个元素中的元素之间的多个互连。所述多个互连与部件之间的功能依赖性关联。所述方法还包括:检测ft的一个或多个环闭合。所述方法还包括:对于所述一个或多个环闭合中的每个环闭合:在ft中由各变量替换各环闭合的至少一个各边。通过这种替换,获得占位符ft。然后,确定占位符ft的规范化表示。
12.应该理解,在不脱离本发明的范围的情况下,上述特征和还将要在以下解释的那些特征可以不仅以指示的各组合被使用,而且以其它组合或孤立地被使用。
附图说明
13.图1是根据各种示例的ft的示意性示图。
14.图2是根据各种示例的包括环闭合的ft的示意性示图。
15.图3是根据各种示例的装置的示意性示图。
16.图4是根据各种示例的方法的示意性示图。
17.图5示意性地图示根据各种示例的与图2的ft关联的占位符ft。
18.图6示意性地图示根据各种示例的与图5的占位符ft的割集关联的析取(disjunctive)规范化图。
19.图7示意性地图示根据各种示例的与图2的ft关联的析取规范化图。
具体实施方式
20.在下面,将参照附图详细地描述本发明的实施例。应该理解,不应该在限制性意义上理解下面对实施例的描述。本发明的范围并不意图由以下描述的实施例或由附图限制,所述实施例或附图被理解为仅是说明性的。
21.附图应该被视为示意性表示,并且附图中图示的元件未必按照比例示出。相反地,各种元件被表示,以使得它们的功能和通用目的对于本领域技术人员而言变得清楚。附图中示出或本文中描述的功能块、装置、部件或者其它物理或功能单元之间的任何连接或耦合还可由间接连接或耦合实施。部件之间的耦合还可经无线连接而被建立。功能块可被实施在硬件、固件、软件或者其组合中。
22.以下,描述用于安全保障的技术。多部件系统(诸如,致动器和控制系统)的安全保障帮助增加在操作这种系统中的安全性。
23.以下,描述用于可靠地并且在计算上便宜地分析包括环闭合的ft的技术。
24.ft包括元素(有时称为节点)和互连(有时称为边)。ft可具有一个或多个输入;并且可具有一个或多个输出。ft通常描述错误状态的传播。
25.ft的环闭合(有时简称为环路)通常描述这样的场景:ft的元素的输入取决于同一元素的输出。作为通常规则,环闭合能够包括ft的一个或多个互连和/或ft的一个或多个元素。环闭合能够有时具有平行延伸的多个分支。
26.作为通常规则,各种选项可用于检测环闭合。例如,可从ft的输出朝着ft的一个或多个输入追溯多个失效传播路径。然后,对于每个失效传播路径,能够检查各失效传播路径是否形成环闭合。用于检测环闭合的另一选项包括尝试通过使用参考算法(诸如,最小概念分析(mca))来确定包括一个或多个环闭合的ft的规范化表示。然后,如果获得参考算法的错误反馈,则这可指示环闭合。已在欧洲专利申请18172377.6中更详细地描述这种技术,该欧洲专利申请18172377.6的内容被全部合并在本文中。
27.用于检测环闭合的另一选项包括执行参考规范化算法,例如mca。然后,如果mca产生错误反馈(例如,因为ft的某个元素被处理两次),则这可以是环闭合的标识。
28.然后,如果环闭合被检测到,则也许可能采用合适的对策来减缓环闭合对安全保障的负面影响。
29.例如,环闭合能够由预定义表达式替换。可从多个候选预定义表达式选择所述预定义表达式。可能并非从被建模的系统的架构导出所述预定义表达式。相反地,所述预定义表达式可以是避免环闭合并且仍然在某种更大或更小程度上合适地对系统的失效行为进行建模的通用表达式。例如,环闭合可通过使用一个或多个变量而被替换。
30.更具体地,下面的情况将会是可能的:对于一个或多个环闭合中的每个环闭合,各环闭合的至少一个各边由各变量替换。所述变量能够用作各环闭合的占位符。通过这种替换,获得占位符ft。占位符ft本身能够没有环闭合(因为环闭合被变量掩蔽)。然后,将会可能确定占位符ft的规范化表示。这是因为,对于没有环闭合的占位符ft,预定义算法(例如,mca)可能不会产生错误。
31.作为通常规则,能够使用各种规范化表示。规范化表示能够提供由ft建模的布尔依赖性的减小的复杂性的益处。特别地,规范化表示可不包括或仅在有限程度上包括多个布尔表达式之间的冗余。例如,多个冗余错误传播路径可被组合成单个路径。替代地或者另
外,规范化表示可提供从输入到输出的ft的预定义数量的边。示例性规范化表示包括在合取规范化形式中的析取规范化形式。例如,在析取规范化形式中,多个输入分支的or(或)组合可被考虑,其中每个输入分支是ft的一个或多个输入元素的and(与)组合。另一示例性规范化表示是karnaugh-veitch图或quine-mccluskey方法的输出。
32.通常,本文中描述的技术可在各种种类和类型的安全关键系统中找到应用。例如,本文中描述的技术可在多部件控制或致动器系统中找到应用。这种控制或致动器系统可为某些机器提供控制功能或激活功能。多部件安全关键系统的一些元件可被实施为硬件,而一些部件可替代地或者另外使用软件来实施。可能的是,采用所述技术的安全关键系统包括输出,该输出提供用于驱动或控制一个或多个机器的致动器力或控制信号。可受益于本文中描述的技术的安全关键系统的具体示例包括但不限于:电子电路,包括有源和/或无源电子部件,诸如晶体管、线圈、电容器、电阻器等;用于交通工具(诸如,火车或客车或飞机)的传动系统;装配线,包括传送带、机器人、可移动部分、控制部、用于检查制成品(后端测试)的测试部;医疗系统,诸如成像系统(包括磁共振成像或计算机断层扫描)、粒子治疗系统;发电厂;等等。
33.图1图示关于ft 101的方面。例如,在vesely, w.e., goldberg, f.f., roberts, n.h., haasl, d.f.::"ft handbook" us nuclear regulatory commission (1981)中描述ft 101的概念的细节。ft 101能够被用于对本文中描述的各种示例中的系统的失效行为进行建模。因此,ft 101可促进安全保障。失效行为可被使用以便测试所述系统是否可安全地操作。失效行为可被使用以便识别系统的设计的缺点。
34.ft 101由包括节点(在图1中由几何形状图示)和边(在图1中由几何形状之间的线图示)的图实施。
35.如图1中所图示,ft 101包括定义输入的节点111-114。
36.例如,节点111-112可对基本事件进行建模。基本事件可对应于操作失效事件,即,可根据是否存在失效事件而采用逻辑真或逻辑假。操作失效事件可对应于由ft 101建模的系统的操作的某个缺陷。例如,操作失效事件可对应于电子部件(诸如,电阻器或开关)的失灵。例如,操作失效事件可对应于阀(诸如,减压阀等)的失灵。例如,操作失效事件可对应于冷却系统的失灵。存在由操作失效事件建模的失灵的种类和类型的许多可能性;给出的示例仅是说明性示例,并且可想到各种各样不同种类和类型的操作失效事件。
37.节点113、114可形成从另一ft(图1中未图示)的一个或多个另外的节点接收失效状态的输入端口。
38.ft 101还包括定义布尔运算符的节点121、122。节点121的布尔运算符被实施为节点111和节点113的状态的逻辑or组合;而节点122的布尔运算符被实施为节点112和节点114的状态的逻辑and组合。除了and和or操作之外,其它操作是可能的,诸如nand(与非)或xor(异或)。
39.ft 101还包括定义输出的节点131、132。
40.ft 101的节点由边141-146连接。
41.基于ft 101,可能的是对失效事件(例如,与节点111和112中的一个或多个节点关联的操作失效事件)的失效传播路径进行建模。特别地,能够检查失效事件的失效传播路径是否影响一个或多个顶部节点131、132的状态,即,ft 101的输出。
42.图1的示例中的ft 101没有环闭合。即,ft 101的元素111-116中的没有一个元素的输入受各元素111-116的输出影响。在其它示例中,ft可包括环闭合。这种场景被图示在图2中。
43.图2图示关于ft 102的方面。在图2的场景中,ft 102包括定义输入的节点111-112(在图2中标记为a和b)。ft 102包括实施布尔运算符的节点121-123和经布尔运算符121-123与节点111-112互连的顶层节点131。如图2中所图示,ft 102包括环闭合180(虚线),因为布尔运算符122的输入也取决于布尔运算符122的输出。在图2的示例中,环闭合180包括两个分支(前节点122到节点121,或者前节点122到节点123);但可通常包括更多或更少的环闭合。
44.图3图示关于装置501的方面。
45.装置501包括人机接口(hmi)502。例如,hmi可被配置为从用户接收信息和/或将信息输出给用户。例如,hmi可包括下面的一项或多项:键盘;鼠标;扬声器;语音控制;监视器;等等。hmi 502是可选的。
46.装置501还包括处理器503,例如,多核处理器。处理器503被配置为从存储器504(例如,非易失性存储器)接收程序代码。处理器503和存储器504形成控制电路。处理器503被配置为执行程序代码。执行程序代码能够使处理器503执行如本文中所述的例如关于下面操作的技术:使用ft对多部件控制或致动器系统进行建模;例如通过追溯ft的失效传播路径来检测ft中的环闭合;由预定义表达式(诸如,变量)替换环闭合,以获得占位符ft;应用一个或多个算法以确定ft或占位符ft的规范化表示;等等。
47.装置501还包括接口505。例如,控制数据可经接口505而被输出。例如,也许可能借助于经接口505传送的控制数据来控制多部件控制或致动器系统的操作。接口505是可选的。
48.图4是根据各种示例的方法的流程图。例如,根据图4的流程图的方法可由装置501的处理器503执行。
49.在框1001中,使用ft对系统(诸如,多部件控制或致动器系统或者另一类型的包括硬件和/或软件部件的系统)进行建模。ft可由包括节点和边的图定义。一些节点可对应于ft的基本事件;其它节点实施布尔逻辑。例如,通过定义失效传播等,所述边定义在系统的部件之间的相互依赖性。
50.在ft内定义与系统的一个或多个部件的失灵关联的操作失效事件。这可包括将操作失效事件分派给ft的多个节点中的至少一些节点。
51.接下来,在框1002中,检测一个或多个环闭合。这可包括从ft的输出朝着ft的一个或多个输入追溯失效传播路径。因此,可从ft的顶层到底层跟踪失效传播路径。通过迭代地朝着ft的根(即,朝着ft的一个或多个输入)扩展链路,可迭代地实施这一点。然后,对于各种失效传播路径,能够检查各失效传播路径是否形成环闭合。
52.如果未识别出环闭合,则不需要采取行动。
53.如果识别出环闭合,则环闭合暂时由占位符替换。在框1003,通过利用变量替换环闭合来实施这一点。详细地讲,如果一个或多个环闭合被检测到,则在框1003中,对于检测到的一个或多个环闭合中的每个环闭合,各环闭合的至少一个各边由各变量替换。这提供占位符ft。
54.然后,在框1004中,确定占位符ft的规范化表示。
55.规范化表示能够方便分析和进一步处理。例如,某些分析任务(诸如,检测错误的主要原因、确定故障概率、确定故障相互依赖性等)可基于规范化表示而被高效地实施。
56.接下来,结合图5,将解释框1003的细节,即,由各变量替换各环闭合的至少一个各边。
57.图5图示占位符ft 601的方面。基于ft 102获得根据图5的占位符ft 601。占位符ft 601方便使用参考算法(例如,割集分析等)来确定规范化表示。
58.在图5的场景中,连接节点123的输出与ft 102的节点122的输入的边146(参见图2)已被变量611(在图5中标记为“x”)替换。
59.如以上结合图2所解释,环闭合180包括多个分支和边142、144、145-156。在图5的示例中,仅边146被变量611替换;而边142、144-145未被替换。边146妨碍ft 102的决策:即,边146是通向节点122的输入的环闭合180的最后边,节点122形成布尔逻辑,该布尔逻辑具有也取决于它的输出的输入。即,边146是通向形成环闭合的起点的节点122的最后边。另一方面,其它边142、144-145不影响基于ft 102做决定的能力,并且因此,不需要被替换。边142、144-145不是环闭合180的最后边。
60.接下来,将解释关于框1004的细节。框1004基于占位符ft 601而操作。在框1004中,确定占位符ft 601的规范化表示。这能够包括确定占位符ft的割集。确定占位符ft的割集被图示在表1中。
61.表1:占位符ft 601的割集分析。
62.如图1中所图示,通过占位符ft 601的节点131采用真值(在表1中=“1”)来定义割集。在表1中,最小割集也被图示,但通常不需要确定最小割集。
63.然后,可能的是将割集变换为析取规范化图。这种析取规范化图701被图示在图6中。析取规范化图701的逻辑对应于占位符ft 601的逻辑。析取规范化图包括对布尔or逻辑进行建模的单个节点627和形成节点627的输入的多个分支,其中每个分支具有对布尔and逻辑进行建模的各节点621-626。每个分支的输入对应于根据表1的割集。
64.作为通常规则,其它规范化图(例如合取规范化图)可用。
65.然后可能的是,在占位符ft 601的规范化表示(例如,根据图6的析取规范化图701)中,对于所述一个或多个环闭合180中的每个环闭合180,由各边替换每个各变量以由
此获得包括环闭合180的原始ft 102的规范化表示。这被图示在图7中。图7图示与图6的析取规范化图701对应但包括边146的析取规范化图702。
66.ft 102的析取规范化图702能够然后结合各种分析方法来使用。示例将会包括确定karnaugh-veitch图或quine-mccluskey方法的输出。
67.虽然已关于某些优选实施例示出和描述本发明,但在阅读并且理解本说明书时,本领域技术人员将会想到等同物和修改。本发明包括所有这种等同物和修改,并且仅由所附权利要求的范围限制。
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1