法律状态公告日
法律状态信息
法律状态
2019-12-13
授权
授权
2016-12-21
实质审查的生效 IPC(主分类):G06F17/50 申请日:20141117
实质审查的生效
2015-05-27
公开
公开
技术领域
本公开总体涉及安全分析,更具体地,涉及使用面向组件的故障树的复杂系统(诸如飞行器)的安全分析。
背景技术
复杂系统(诸如飞行器)一般可以由若干系统组成,并且能够实现比其单独系统更多的功能。在许多复杂系统(包括飞行器或其他系统,诸如在航空航天、汽车、海洋、医疗和电子工业中的系统)中的技术进步已导致许多互相依赖的系统,其中的至少一些可以在不同的地理位置由来自不同公司的不同团队设计。这些系统的一个或更多个的失效或故障的分析往往要求作为认证过程的部分。这种分析通常由系统分析员组手动执行,而没有参考能够促进这种分析的过程。随着复杂系统和它们组成的系统变得更集成,传统分析方法就所涉及的覆盖广度和劳动力成本而言,可能不再实用。
在航空航天工业中存在若干安全分析实践。例如,故障树分析(FTA)是自顶向下分析,其中通过使用演绎逻辑(例如,布尔逻辑)来分析失效结果的原因,演绎逻辑组合起作用的失效。故障传播建模(FPM)是开发捕获关于穿过系统的故障传播的信息的模型(故障传播模型)的过程。故障传播模型经常在基于模型的安全分析(MBSA)中使用,其是一种新兴的方法,其中系统设计和安全评估过程开发用于自动产生一致的安全产物集的通用模型。
因此,期望有一种在现有实践的基础上进行改进的系统和方法。
发明内容
在复杂系统(诸如飞行器)的设计、开发和认证期间经常使用利用故障传播模型的技术(诸如MBSA)。故障传播模型使得人们能够看到/可视穿过组件和系统的失效传播,并且因此验证或认证复杂系统的安全和可靠性。这些模型也会有利于安全分析员和设计工程师。这些模型可以使失效模型更接近设计工程师,并且因此便于他们对复杂系统的故障容限和安全特征的理解。然而,用于开发故障传播模型的当前工具对于最终用户往往是不太直观的,并且经常使用计算机编程类型语言。
一个在安全分析中表示逻辑的最广泛使用的模型是故障树模型。故障树有效地产生认证交付,诸如最小割集和系统失效概率。当前MBSA工具能够执行失效传播模拟,虽然它们不能容易地提供最小割集、系统级故障树等,但是其能够由安全分析员认证。现在没有能够提供MBSA的所有益处和在安全认证中主要使用的FT方法的所有优点的解决方案。
本公开的示例性实施例总体涉及一种使用面向组件的故障树的用于复杂系统的安全分析的改进系统。示例实施例以若干不同方式(诸如通过开发能够同时解决系统设计界的分析需要和安全认证需要的故障传播模型)促进安全分析。根据构成系统的组件能够建模系统,并且可以由相应故障树建模组件。然后,根据示例实施例,基于故障的组件模型可以利用系统组件内部的失效模式来构建。基于故障的组件模型和它们相应的故障树接着可以被装配成包括其组件的故障树的集合的基于故障的系统模型。这可以避免要求使用不直观的语言。示例实施例因此可以能够使用基于故障的系统模型用于可视化设计模型上的故障传播和用于同一模型的安全认证。
根据示例实施例的一方面,安全分析系统被提供,并包括系统建模器和模型分析系统。系统建模器经配置以接收构成系统的相应组件的基于故障的组件模型。基于故障的组件模型包括表示为故障树的传递函数,传递函数的每个描述在相应组件失效或到组件的输入失效时相应组件的行为。在一些例子中,组件失效可以被描述为子组件失效的故障树,并且该故障树可以与组件输入和控制的状态组合以形成组件传递函数。
系统建模器也经配置以将基于故障的组件模型装配成系统的基于故障的系统模型,其中基于故障的系统模型表示为基于故障的组件模型的故障树的组合。然后,模型分析系统经配置以使用基于故障的系统模型执行安全分析。
在一些例子中,基于故障的组件模型可以在包括表示相应组件的块的框图中被图形化地表示。在这些例子中,系统建模器经配置以将基于故障的组件模型装配为基于故障的系统模型可以包括经配置以将基于故障的系统模型图形化地表示为框图,诸如包括连接彼此的块的可靠性框图或功能流框图(FFBD)。该框图有时可以被称为故障传播模型。
在一些例子中,系统建模器经配置以接收基于故障的组件模型可以包括经配置以从存储器接收基于故障的组件模型,基于故障的组件模型被存储在基于故障的组件模型的库中。
在一些例子中,安全分析系统可以进一步包括组件建模器,其经配置以开发组件的基于故障的组件模型。在这些例子中,组件建模器可以经配置以构建基于故障的组件模型和基于故障的组件模型的传递函数。基于故障的组件模型的至少一些的每个可以包括相应组件的输出和失效事件,也许还包括输入。传递函数描述相应组件的输入、输出和失效事件之间的逻辑关系。并且,系统建模器经配置以接收基于故障的组件模型可以包括经配置以直接或间接从组件建模器接收基于故障的组件模型。
在又一些例子中,至少一些基于故障的组件模型的每个进一步可以包括外部输入或控制,并且传递函数描述外部输入、控制、相应组件的输出和失效事件之间的逻辑关系。在这些进一步实施中,系统建模器经配置以装配基于故障的组件模型可以包括经配置以将基于故障的组件模型的输出连接到另一个基于故障的组件模型的输入,或连接到输出到另一个基于故障的组件模型的输入的布尔逻辑操作(例如,与、或、非)。例如,在基于故障的系统模型被表示为FFBD的例子中,组件输出可以通过适当的布尔逻辑操作或门连接到其他组件的输入(一个或更多个)。
在一些例子中,模型分析系统经配置以执行安全分析可以包括经配置以使用基于故障的系统模型执行故障树分析,并基于其产生一个或更多个失效状况的一个或更多个最小割集和概率。
在一些例子中,模型分析系统经配置以执行安全分析可以包括经配置以根据基于故障的组件模型或基于故障的系统模型的至少一些产生故障传播模型。在这些例子中,故障传播模型可以包括一个或更多个失效传播路径和沿着失效传播路径(一条或更多条)的输入和输出的失效概率。
在示例实施例的另一些方面,提供一种用于执行安全分析的方法和计算机可读存储介质。在此讨论的特征、功能和优点可以在各种示例实施例中单独实现或可以在其他示例实施例中被组合,其进一步细节可以参考下面的具体实施方式和附图了解。
附图说明
因此,已经以通用术语描述了本公开的示例实施例,现将对附图做出介绍,其不一定按比例绘制,其中:
图1是根据示例实施例的安全分析系统的图示;
图2和图3分别示出根据本公开的示例实施例的合适的组件建模器和系统建模器;
图4示出根据本公开的示例实施例的基于故障的组件模型的图形化表示的例子;
图5示出根据本公开的示例实施例的故障树传递函数的例子;
图6、7、8A和图8B分别示出根据本公开的示例实施例的包括电池、灯泡和开关的闪光灯的组件的合适的基于故障的模型的例子;
图9、10、11和图12进一步示出根据本公开的示例实施例的针对下面情况相应一个的开关的故障树传递函数的行为:(a)开关良好,接通命令,(b)开关良好,断开命令,(c)开关故障,一直关闭或常闭,和(d)开关故障,一直打开或常开;
图13以上述闪光灯的可靠性框图的形式示出根据本公开的示例实施例的基于故障的系统模型;
图14示出根据本公开的示例实施例的可靠性框图,其对应于图13的可靠性框图,但是包括图6、7和图8所示的电池、灯泡和开关的基于故障的组件模型;以及
图15示出根据本公开的示例实施例的方法中的各种操作。
具体实施方式
现在将参考附图在下面更全面地描述本公开的一些实施例,附图中示出本公开的一些但不是所有的实施例。实际上,本公开的各种实施例可以以许多不同的形式体现并且不应该解释为限于这里阐述的实施例;更确定地说,提供这些示例实施例使得本公开将彻底和完整,并且将向本领域技术人员更完全地传达本公开的范围。而且,某个事物可以显示为或描述为在别的事物的上面(除非另有说明)可以相反在下面,反之亦然;并且类似地,某个事物显示为或描述为在别的事物左边可以相反在右边,反之亦然。贯穿全文相同的附图标记指示相同的元件。
本公开的示例实施例总体涉及安全分析,并且更具体地,涉及使用基于面向组件的故障树的复杂系统(诸如飞行器)的安全分析。示例实施例将结合航空航天应用被主要描述,其中复杂系统可以是飞行器。然而,应该理解,可以结合航空航天工业内和航空航天工业外(例如,汽车、海洋、电子)两者的各种其他应用利用示例实施例。准确和一致的安全分析是重要的,因为其能够影响设备操作的多方面,包括安全、操作、维护、工程支持等。
复杂系统(诸如飞行器)一般可以由装配组件的层级构成。例如,复杂系统可以包括若干零件,其中每个包括一个或更多个特征。零件可以被装配成若干组装件、子系统等(一般每个为“子系统”)。并且,子系统(单独或者具有各种零件)进而可以装配成其他子系统或复杂系统本身。在各种例子中,然后,复杂系统背景中的“组件”可以指(零件的)特征、(子系统的)零件或(复杂系统的)系统;并且复杂系统背景中的“系统”可以指组件(诸如,零件、子系统或复杂系统)的集合。在飞行器背景中,一个或更多个组件可以被设计为通常称为线路可更换单元(LRU)的飞行器的模块化组件,其中单个飞行器可以包括若干LRU和其他组件。
如在此所述,系统可以出现由一个或更多个组件故障或失效(通常为“失效”)引起的失效状况(有时被称为危险)。系统可以以若干不同方式(诸如,故障、退化或失效)的任何一种方式失效,不同方式的每种可以指失效模式(如在此所述,提到失效有时可以同样更具体地应用到失效模式)。在一些例子中,失效情况或情景(通常称为“情景”)可以描述系统失效,以导致系统失效状况的一个或更多个组件故障开始。失效结果可指作为失效结果的组件或系统的操作;即失效模式具有的在组件或系统的操作、功能或状态上的结果(一个或更多个)。并且在一些例子中,失效或失效结果可以变成失效状况。
现参考图1,根据本公开的示例实施例示出安全分析系统100。系统可以包括任何数目的不同子系统(每个是单独系统)用于执行一个或更多个功能或操作。如图所示,例如,安全分析系统100可以包括组件建模器102、系统建模器104和/或模式分析系统106。虽然示出作为安全分析系统100的零件,但是组件建模器102、系统建模器104和/或模型分析系统106的一个或更多个可以替代地被从安全分析系统100分开,但可与安全分析系统100通信。也应该理解,一个或更多个子系统可以用作或操作为单独系统,而不管其他子系统如何。并且进一步,应该理解,与图1所示的那些相比,安全分析系统100可以包括一个或更多个额外或可更换的子系统。
安全分析系统100的组件建模器102一般可以经配置以开发复杂系统的相应组件的基于故障的组件模型。每个基于故障的组件模型可以描述相应组件的行为,并包括使各种输入和/或控制与组件的相应输出相关的传递函数。根据示例实施例,传递函数可以表示为故障树,所述故障树描述在组件的一个或更多个失效时或到组件的一个或更多个输入失效时组件的行为。传递函数可以描述在一个或更多个失效时的组件的输出,其独立于或进一步依赖于一个或更多个输入和/或输出。这可以有利于经常使用故障树进行安全分析的安全分析员。该逻辑也可以更容易被适当的监督机构(诸如,美国联邦航空管理局(FAA)、欧洲航空安全局(EASA)等)理解。
系统建模器104可以经配置以开发复杂系统的相应一个或更多个系统的一个或更多个基于故障的系统模型。如上面所解释的,系统可指组件的装配件。在一些例子中,然后,系统建模器104可以经配置以将系统的组件的基于故障的组件模型装配成相应系统的基于故障的系统模型。然后,类似于基于故障的组件模型,基于故障的系统模型可以描述相应系统的行为,并且可以包括使各种输入和/或控制与系统的相应输出相关的传递函数。该传递函数可以表示为系统的组件的故障树的组合,并且输入、控制和输出可更具体地指组件的输入、控制和输出。
模型分析系统106可以经配置以使用基于故障的系统模型执行安全分析,诸如根据任何数量的不同安全分析技术。例如,模型分析系统106可以执行故障树分析,其中失效结果的原因可以使用组合起作用的失效的逻辑来分析。模型分析系统106可以执行其安全分析,并且基于其产生一个或更多个安全产物,诸如一个或更多个失效状况的概率和最小割集。
在一些例子中,模型分析系统106可以基于各种基于故障的模型(基于故障的组件模型和/或基于故障的系统模型)和/或割集产生一个或更多个故障传播模型,并且其可以描述穿过组件或系统的一个或更多个失效的传播。这些故障传播模型可以用于任何数量的不同目的,诸如通过模型分析系统106来执行基于模型的安全分析(MBSA)。在一些例子中,各种基于故障的模型和/或割集可以用于传播失效,并促进MBSA故障传播模型的可视化,MBSA故障传播模型的可视化可以使用若干不同用户界面来建立。在这方面,故障传播模型可以包括一个或更多个失效传播路径和沿着失效传播路径(一条或更多条)的输入和输出的失效概率。
现将参考图2和图3,图2和图3分别示出根据本公开的示例实施例的合适组件建模器102和系统建模器104的更具体的例子。
图2示出组件建模器200,在一个示例实施例中,其可以对应于组件建模器102。组件建模器200一般可以经配置以开发复杂系统的相应组件的基于故障的组件模型。如图所示,例如,组件建模器200可以包括基于故障的组件建模器202、组件故障树构造器204和适当的基于故障的组件模型存储器206,其可以彼此耦合以形成组件建模器200。
基于故障的组件建模器202可以经配置以接收描述复杂系统及其系统和/或组件的设计数据,以及描述复杂系统及其系统和/或组件的可能的失效的安全数据。设计数据可以包括例如与复杂系统及其组件的体系结构、操作模式和/或行为/相互作用相关的数据。体系结构数据可以包括例如复杂系统的体系结构的模型、功能、系统、功能流(例如,能量、物质、信息)等。体系结构数据可以包括复杂系统的安全关键系统和流(例如,能量、物质、信息)的模型和/或操作员(例如,飞行员)命令的模型、一个或更多个传感器(例如,空中数据)等。
操作模式数据可以包括复杂系统的操作模式的模型。这可以包括复杂系统的各种组件和/或系统的操作模式,诸如那些穿过组件/系统边界可见的。在一个例子中,该模型可以包括操作相关的行为,诸如飞行阶段相关的行为。行为/相互作用数据可以包括,例如,复杂系统的组件和/或系统的行为和/或相互作用的模型(行为/相互作用模型)。在一些例子中,该行为/相互作用模型可以包括组件/系统之间的一个或更多个逻辑关系,并且其逻辑关系(一个或更多个)可以由相应系统之间的逻辑接口反映。组件/系统与一个或更多个其他组件/系统之间的逻辑接口可以指示在其中相应组件/系统失效时应该预期到影响(例如,实际影响、减少冗余、“无影响”等)的系统。可以由(诸如,由接口控制文档(ICD)提供的)适当数据提供逻辑接口。在一些例子中,该行为/相互作用模型可以包括传递函数(在某个抽象级别)。
安全数据可以包括,例如,与失效模式、失效状况和/或复杂系统及其组件的共因失效相关的数据。失效模式数据可以包括复杂系统及其组件的失效模式的模型,或者更准确地说是复杂系统及其组件可能经历的失效模式。合适的失效模式的一些例子可以包括相应系统的若干系统或操作的失效断开(失去功能),诸如,液体冷却、设备托架冷却、空调、电气总线、泵、变压整流器等。合适失效模式的其他例子可以包括制动器的损耗或退化、失效的推力反向器等。
失效状况数据可以包括复杂系统及其组件的失效状况的模型。这可以包括可以由复杂系统及其组件呈现的失效状况,根据其可以呈现失效状况的逻辑和/或故障状况可以导致或起作用的失效模式。在一些例子中,该模型可以反映失效状况可以导致或起作用的模型传播(级联)失效和结果。传播的失效的例子可以包括由于负载脱落引起的卫星通信的丢失、由于总线失去电力引起的收发器的损耗、由于失去液体冷却引起的发动机控制器的损耗等。
失效状况的模型也可以包括失效状况的严重性(或危险级)和/或概率。在一些例子中,严重性可以指示失效状况对复杂系统的占用者和/或操作的影响,并且概率可以指示失效状况发生的机会。在一个例子中,失效状况、逻辑、等级和概率可以由系统安全性评估(SSA)和/或功能危险评估(FHA)给出。在一个例子中,严重性可以数字化表示,诸如从“1”到“5”的顺序逐渐严重。在另一个例子,可以由类别给出严重性,诸如通过以下顺序逐渐严重:“没有安全影响”、“较小”、“较大”、“危险”以及“灾难”。
共因失效数据可以包括复杂系统及其组件的共因失效的模型。该模型关注于可以否则视为独立的失效的依赖性。这些依赖性可以以若干不同的方式反映,诸如通过物理和/或功能接近性(例如,区域接近性)或相互作用、共享组件等。
不管设计和安全数据的确切内容,基于故障的组件建模器202可以经配置以根据设计和安全数据构建复杂系统的相应组件的基于故障模型。对于每个组件,设计和安全数据可以反映到组件的一个或更多个外部输入、一个或更多个控制(命令)和/或来自组件的一个或更多个输出。设计和安全数据也可以反映组件的一个或更多个内部事件和状态,并且设计和安全数据可以反映描述输入、控制、输出、事件和状态之间的逻辑关系(一个或更多个)的一个或更多个传递函数。输入可以包括,例如,从另一个组件到组件的输入、从其他组件获取其输入(例如,在功能流框图表示的情况下)的布尔逻辑操作(例如,与、或、非)的输出等;并且控制可以包括,例如来自组件操作员的命令。输出可以包括,例如响应于输入或事件的来自组件的输出。事件可以包括,例如,一个或更多个主要事件、外部事件和/或共因事件,其中的一个或更多个可以是组件所经历的失效(或失效事件)。类似地,状态可以包括,例如,组件的一个或更多个操作、功能或状态,其中的一个或更多个可以是失效结果。并且如上面所建议的,在一些例子中,这些失效或失效结果的一个或更多个可以变成失效状况。
传递函数可以以若干不同的方式描述输入、控制、输出、事件和状态之间的逻辑关系(一种或更多种)。根据本公开的示例实施例,传递函数可以描述基于失效的事件和状态(即失效和失效结果)的逻辑关系(一种或更多种)。传递函数可以描述输入、控制、输出、失效事件和失效结果之间的逻辑关系(一种或更多种)。
由基于故障的组件建模器202构建的组件的基于故障模型可以以若干不同的方式表示。在一些例子中,基于故障的建模器202可以经配置以在框图中图形化地表示基于故障的组件模型。图4示出基于故障的组件模型的这种框图400表示的例子。如图所示,框图400包括表示组件的块402,并示出到组件的外部输入404和控制406,以及来自组件的输出408。组件块的内部,该图包括表示描述外部输入404、控制406、输出408、失效事件和失效结果之间的逻辑关系(一种或更多种)的传递函数的块410;以及耦合到传递函数块的一个或更多个点412(例如,示为圆圈),其表示在该处失效事件可以被注入到组件中的点。
根据示例实施例,传递函数可以表示为故障树,其可以由组件建模器200的组件故障树构建器204来构建。换句话说,组件故障树构建器204可以经配置以构建故障树,从而表示由基于故障的组件建模器202构建的基于故障的组件模型的传递函数。故障树一般可以图形化地表示为可以导致组件失效状态(失效结果)的失效状态(失效事件)的集合。
故障树也可以表示部分成功模型。包括在故障注入点处的布尔值的元组并且输入状态和输出状态可以形成状态向量,并且组件可以基于在故障注入点处的失效或维修或输入状态(一个或更多个)的变化而从状态到状态转换。在一些例子中,传递函数的这种表示和得到的基于故障的模型可以仅应用到特定情景;然而,通过邻近示出其他情景的控制状态和输入来扩展传递函数/基于故障的模型以表示更一般的成功状态是可能的。
布尔变量仅可以描述两个状态,其对于成功/失效模型会是足够的。如果需要超过两种状态,会要求若干布尔变量来对状态建模。一般地,n个变量可以描述多达2n个状态。更具体地,例如,2个变量可以描述多达4个状态,3个变量可以描述多达8个状态等等。这会导致多余的状态。
图5示出根据本公开的示例实施例的简单故障树500。如所示的,故障树500包括多个节点,其包括一个或更多个表示相应的一个或更多个组件失效结果(一个被示为门节点或失效结果502)的门节点,以及多个表示相应失效的事件节点(两个被示为事件节点或失效504、506)。节点由一个或更多个布尔逻辑操作508和定向链路510、512、514互连。
在故障树500中,事件节点或失效504、506可以是树的叶子节点,并且可以表示组件的随机独立的失效和/或到组件的输入。剩余的节点是门节点或失效结果502。门节点表示失效结果,并且使用一个或更多个布尔逻辑操作508(例如,与、或、非)整合事件或其他门。节点由定向链路510、512、514互连,以形成定向树。
为了更具体地示出包括本公开的故障树传递函数示例实施例的基于故障的模型,考虑由包括电池、开关和灯泡的组件组成的闪光灯(系统)的情况。图6、7、8A和图8B(图8A和图8B集合成图8)根据本公开的示例实施例分别示出针对电池600、灯泡700和开关800的合适的基于故障的模型的例子。如图6所示,基于故障的电池模型可以将电池600描述为简单双态装置,其可以由下面的状态图(真值表)描述,其中输入和输出可以由布尔值给出:
电池状态图
在一些例子中,基于故障的电池模型的传递函数可以由事件节点简化示出。在其他例子中,传递函数可以由与多个门和事件等效的门节点或故障树示出。等效门节点可以允许门输入和电池输出的名字被示出,这在其与闪光灯的其他组件的装配中会是有益的(如下面所解释的)。
基于故障的灯泡模型700会比电池的基于故障的模型600复杂,因为灯泡的输出取决于其内部状态和输入电力两者。如图7所示,基于故障的灯泡模型700可以包括由布尔逻辑或操作702和定向链路510、512、514互连的多个节点。基于故障的灯泡模型700可以将灯泡描述为更复杂的双态装置,其可以由下面的状态图(真值表)描述:
灯泡状态图
虽然开关800可以由接通命令或断开命令来驱动,但是其经历两个失效模式——即,常开和常闭。这会与电池600和灯泡700形成对比,电池600和灯泡700的每个可以具有一个失效模式。因此,如图8A所示,更具体地如图8B所示,基于故障的开关模型可以将开关800描述为甚至更复杂的三状态装置(开关正常、常开和常闭)。该开关模型可以包括由布尔逻辑或操作702、布尔逻辑与操作802和定向链路510、512、514互连的多个节点,并且可以产生下面的状态传递函数:
开关传递函数
为了将上面的开关传递函数转换成故障树,状态可以被转换成布尔变量,其中的两个(开关_失效和模式)可以对开关800的三个状态(“正常”、“失效-常开”、“失效-常闭”)进行建模。这可以如下面表格所示:
开关的布尔变量的定义
并且针对上述转换为布尔符号之后,开关状态图可以表示为下面所示的。在此,如果开关没有失效,则失效模式没有意义,但是对于三个布尔变量的任何值,传递函数必须是正确的,因此包括那些多余的行:
开关传递函数
当包括布尔输入状态时,存在表示内部状态元组的三个布尔变量(开关失效、开关失效模式、命令)。并且存在表示通过开关的内部传递函数的8个元组,诸如下面状态图所示:
开关状态图
如开关的布尔变量定义中所反映的,在上面开关状态中,T=失效,并且F=正常;在失效模式中,T=常开,并且F=常闭;在命令(cmd.)中,T=断开,并且F=接通;以及在输出结果中,T=没有输出,并且F=输出与输入相同(输出=输入)。
注意,如果开关已经失效,命令状态可能没有影响,并且开关传递函数可以仅取决于失效模式。相反,如果开关正确操作,则传递函数可以仅取决于命令。如果开关正常操作,则失效模式变量可能没有意义。元组(行)3和4表示相同的状态(状态、命令状态和输出的组合),如行7和8那样。使用四个布尔状态表示三个物理状态可以引起冗余。开关的完整故障树传递函数可以如图8A中大体所示,并且更具体地如图8B所示。图9、10、11和图12进一步示出下面情况相应一个的故障树传递函数的行为:(a)开关正常,接通命令,(b)开关正常,断开命令,(c)开关已失效,常闭,以及(d)开关已失效,常开。在这些图中,灰色阴影指示事件或门是真,而黑色指示假;这些图展示叶子节点值到输出_状态的传播。
现返回到图2,在基于故障的组件建模器202和组件故障树构建器204构建包括相应故障树传递函数的组件的基于故障的模型时或之后,基于故障的模型可以(通过建模器或构建器)被传递到若干不同目的地的任何一个。在一个例子中,基于故障的组件模型可以被传递到基于故障的组件模型存储器206,用于诸如在基于故障的组件模型的库中存储和以后检索。该存储器可以与组件建模器200驻留在一起,或可以与组件建模器200分离,并且与组件建模器200通信。基于故障的组件模型可以以若干不同方式的任何一个格式化以及存储,并且因此,它们的存储可以是若干不同类型的任何一个。合适类型的存储的例子包括文件存储、数据库存储、云存储等。
图3示出系统建模器300,其在一个示例实施例中可以对应于系统建模器104。系统建模器300一般可以经配置以开发复杂系统的相应系统的一个或更多个系统模型,并且其中每个系统可以由组件构成。如图所示,例如,系统建模器300可以包括基于故障的组件模型存储器302和基于故障的系统建模器304,其可以彼此耦合以形成系统建模器300。
基于故障的系统建模器304可以经配置以接收复杂系统的系统的组件的基于故障模型。从组件建模器(例如,组件建模器200)可以直接或间接接收基于故障的组件模型。在一些例子中,基于故障的组件模型可以存储在基于故障的组件模型存储器302(例如,在基于故障的组件模型的库中)中,其在一个例子中可以对应于图2所示的基于故障的组件模型存储器206。在一些例子中,系统可以包括组件的多个实例;并且在这些例子中,基于故障的系统建模器304可以经配置以接收组件的基于故障模型,并且在系统中可以针对其每个实例复制它。
基于故障的系统建模器304可以经配置以根据其相应组件的基于故障的模型构建系统的基于故障模型。例如,基于故障的系统建模器304可以经配置以将系统的基于故障的组件模型装配成基于故障的系统模型,其中系统的组件的输入和输出可以适当连接彼此。换句话说,对于至少一些基于故障的组件模型的每个,基于故障的系统建模器304可以将基于故障的组件模型的输出连接到另一个基于故障的组件模型的输入,或连接到输出到另一个基于故障的组件模型的输入的布尔逻辑操作(例如,与、或、非)。在一个例子中,基于故障的系统建模器304可以经配置以在系统的框图(诸如可靠性框图(有时称为依赖性框图)、功能流框图(FFBD)等)中图形化地表示基于故障的系统模型。在这个框图中,系统可以被表达为表示彼此连接的其组件的块。
图13以上面提及的包括电池1302、开关1304和灯泡1306的闪光灯例子的可靠性框图1300的形式示出基于故障的系统模型。如图所示,电池1302的输出是到开关1304的输入,开关1304的输出可以是到灯泡1306的输入,并且其中开关可以接收一个或更多个控制(接通、断开)。虽然图14进而示出对应于图13的可靠性框图1300的可靠性框图1400,但是可靠性框图1400包括电池600、灯光700和开关800的基于故障的组件模型。
根据本公开的示例实施例,基于故障的系统模型以及构成它的基于故障的组件模型可以是类似于设计模型但包括失效模型的方面的组合模型。这种方法可以提供成功和失效模型之间的有益折中。基于故障的系统模型相对于故障注入模型也可以是有优势的,因为系统的完整故障树可以直接从包括它们相应故障树的基于故障的组件模型的组合中看到。并且能够计算准确的概率和完整的割集。另外,基于故障的组件模型的库可以被装配用于重复使用(例如,在基于故障的组件模型存储器302中)。在一些例子中,库可以包括由基于故障的组件模型的一个或更多个其他库组成的基于故障的组件模型。
返回到图1,如上面解释的,模型分析系统106可以使用基于故障的系统模型执行复杂系统的安全分析,并且基于分析产生一个或更多个安全产物。在诸如由图14所示的可靠性框图1400所表示的基于故障的系统模型中,所谓的“顶部事件”可以表示系统中的高级别失效事件,其可以被考虑为系统的失效或操作结果。在一些例子中,模型分析系统106可以产生或否则计算安全产物,诸如,至少一些顶部事件的失效概率和最小割集,并且也许还是基于故障的系统模型中的顶部事件下的至少一些中间失效事件的失效概率和最小割集。模型分析系统106可以经配置以若干不同的方式产生或否则计算失效概率和最小割集。例如,模型分析系统106可以根据在其中失效事件(顶部或中间)的布尔表达式可以被减少为使用布尔代数规则的“乘积之和”的形式的技术来开发最小割集。并且,在一些例子中,模型分析系统106可以由真值表技术、二元决策图技术等直接计算失效概率或间接使用诸如容斥、不交和(sum-of-disjoint-products)等技术根据最小割集计算失效概率。
当执行诸如MBSA的技术时,安全产物(诸如最小割集)可以表示系统失效行为并且显示系统的许多安全方面。例如,考虑在系统的一个组件中仅具有单个项(诸如失效模式)的最小割集。在该例子中,最小割集可以被解释以理解系统顶部事件可以由该组件的单个点失效触发,这可以几乎总是不可取的。割集中的更多项可以暗示不同组件的多个独立失效会被要求潜在与操作命令相结合以创建系统顶部事件。这不会由系统设计者以其他方式预见,并且因此MBSA可以促进这种安全方案的发现,这可以由在系统的设计和/或可操作过程中的变化来补救。每个最小割集的概率也可以示出在系统的寿命期间失效事件可以被触发的频率。
如上面所建议的,由模型分析系统106执行的安全分析可以在复杂系统的设计、开发和认证期间被使用。在飞行器的背景中,监管机构(诸如,FAA(联邦航空局)、EASA(电气设备服务协会)等)通常对飞行器的安全认证规定严格的要求,并且这些要求可能不会容许在飞行器设计中的“单个失效”。在MBSA揭示仅具有一项的最小割集的实例中,飞行器设计者会增加系统和飞行器的冗余或失效预防方法。而且,根据系统失效事件的严重性,安全认证的要求可以限制失效事件的概率或频率。MBSA产生的顶部事件和中间事件概率和割集概率可以揭示飞行器设计是否符合要求。诸如MBSA的技术可以用于产生诸如中间事件的失效概率以及割集和其概率的产物,并且还提供这些产物的视觉叠加,这可以针对安全和认证提高飞行器设计的有效性。
图15示出根据本公开的示例实施例的方法1500中的各种操作。如在块1502所示,方法1500可以包括接收构成系统的相应组件的基于故障的组件模型。基于故障的组件模型可以包括表示为故障树的传递函数,其每个描述在相应组件失效或到组件的输入失效时相应组件的行为。方法1500也可以包括将基于故障的组件模型装配成系统的基于故障的系统模型,如块1504所示。在此,基于故障的系统模型可以包括表示为基于故障的组件模型的故障树的组合的传递函数。并且如块1506所示,方法1500可以包括使用基于故障的系统模型执行安全分析。
根据本公开的示例实施例,安全分析系统100及包括组件建模器102、系统建模器104和模型分析系统106的其子系统可以通过各种手段实现。类似地,包括它们相应元件的每个的组件建模器200和系统建模器300的例子可以根据示例实施例通过各种方式/手段实现。并且示例实施例的方法1500可以通过各种手段实现。用于实现在此描述的系统、子系统和其相应元件以及方法的手段可以包括硬件(单独或在一个或更多个计算机程序代码指令的指导下)、程序指令或来自计算机可读存储介质的可执行计算机可读程序代码指令(有时一般称为“计算机程序”,例如,软件、固件等)。
在一个例子中,提供一个或更多个设备,其经配置以用作或否则实现在此描述和示出的系统、子系统和相应元件,从而诸如实现在此描述和示出的方法的操作。在涉及多于一个设备的例子中,相应装置可以以若干不同的方式(诸如直接或间接经由有线或无线网络等)彼此连接或以其他方式彼此通信。
通常,本公开的示例实施例的设备可以包含、包括一个或更多个固定或便携式的电子装置或体现在一个或更多个固定或便携式的电子装置中。合适的电子装置的例子包括智能电话、平板计算机、笔记本计算机、台式计算机、工作站计算机、服务器计算机等。设备可以包括每个若干组件(例如,诸如连接到存储器(存储装置)的处理器(例如处理器单元))中的一个或更多个。
处理器通常是任何一块能够处理信息(例如,诸如数据、计算机程序和/或其他合适的电子信息)的计算机硬件。处理器包括电子电路的集合,一些电子电路可以封装为集成电路或多个互连的集成电路(集成电路有时更通用地被称为“芯片”)。处理器可以经配置以执行计算机程序,其可以存储在处理器上或否则存储在(相同或另一个设备的)存储器中。
处理器可以是若干处理器、多处理器核或某个其他类型的处理器,这取决于具体的实施方式。进一步,处理器可以使用若干异构处理器系统(其中在单个芯片上存在主处理器和一个或更多个次处理器)来实现。作为另一个说明性例子,处理器可以是对称多处理器系统,其包括相同类型的多个处理器。在另一个例子中,处理器可以体现为或否则包括一个或更多个专用集成电路(ASIC)、现场可编程门阵列(FPGA)等。因此,虽然处理器能够执行计算机程序以执行一个或更多个功能,但是各种示例的处理器能够执行一个或更多个功能,而不需要计算机程序的辅助。
存储器通常是任何一块能够临时或永久存储信息(例如,诸如数据、计算机程序和/或其他合适信息)的计算机硬件。存储器可以包括易失和/或非易失存储器,并且可以是固定的或可移除的。合适的存储器的例子包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、闪速存储器、拇指驱动器、可移动计算机磁盘、光盘、磁带或以上的某种组合。光盘可以包括只读光盘存储器(CD-ROM)、读/写光盘(CD-R/W)、DVD等。在各种情况中,存储器可以被称为计算机可读存储介质(如能够存储信息的非临时性装置一样),其可以区别于计算机可读传输介质(诸如,能够携带信息从一个位置到另一个位置的电子短暂信号)。在此描述的计算机可读介质通常可以被称为计算机可读存储介质或计算机可读传输介质。
除了存储器之外,处理器也可以连接到用于显示、传输和/或接收信息的一个或更多个接口。接口可以包括通信接口(例如,通信单元)和/或一个或更多个用户接口。通信接口可以经配置以传输和/或接收信息,诸如传输到其他设备(一个或更多个)、网络(一个或更多个)等和/或从其他设备(一个或更多个)、网络(一个或更多个)等接收信息。通信接口可以经配置以通过物理(有线)通信链路和/或无线通信链路传输和/或接收信息。合适的通信接口的例子包括网络接口控制器(NIC)、无线NIC(WNIC)等。
用户接口可以包括显示器和/或一个或更多个用户输入接口(例如,输入/输出单元)。显示器可以经配置以呈现或以其他方式显示信息给用户,其一些合适的例子包括液晶显示器(LCD)、发光二极管显示器(LED)、等离子显示面板(PDP)等。用户输入接口可以是有线的或无线的,并且可以经配置以从用户接收信息输入到设备,诸如用于处理、存储和/或显示。用户输入接口的合适例子包括麦克风、图像或视频捕获装置、键盘或小键盘、操纵杆、触敏表面(从触摸屏分离或集成到触摸屏)、生物传感器等。用户接口可以进一步包括用于与外围设备(诸如,打印机、扫描仪等)通信的一个或更多个接口。
如上面所示,程序代码指令可以存储在存储器中,并且由处理器执行,以实施在此描述的系统、子系统和其相应元件的功能,从而诸如实现在此描述和示出的方法的操作。如将要理解的,任何合适的程序代码指令可以从计算机可读存储介质装载到计算机或其他可编程设备,以产生特定机器,使得特定机器变成用于实现在此指定的功能的手段。这些程序代码指令也可以存储在计算机可读存储介质中,所述程序代码指令能够引导计算机、处理器或其他可编程设备以特定方式工作,从而生成特定机器或特定的制造物品。存储在计算机可读存储介质中的指令可以产生制造品,其中制造品变成用于实现在此描述的功能的手段。程序代码指令可以从计算机可读存储介质获取,并且装载到计算机、处理器或其他可编程设备,以配置计算机、处理器或其他可编程设备执行有待在计算机、处理器或其他可编程设备上执行或由计算机、处理器或其他可编程设备有待执行的操作。
程序代码指令的获取、装载和执行可以顺序地进行,以使一次一个指令被获取、装载和执行。在一些示例实施例中,获取、装载和/或执行可以并行进行,以使多个指令一起被获取、装载和/执行。程序代码指令的执行可以产生计算机实现的过程,以使由计算机、处理器或其他可编程设备执行的指令提供用于实现在此描述的功能的操作。
处理器的指令的执行或计算机可读存储介质中指令的存储支持用于执行特定功能的操作的组合。也将理解的是,一个或更多个功能和功能的组合可以由专用的基于硬件的计算机系统和/或处理器实现,所述计算机系统和/或处理器执行特定功能或专用硬件和程序代码指令的组合。
此外,本公开包括根据以下条款的实施例:
1.计算机可读存储介质,其具有存储在其中的计算机可读程序代码,计算机可读程序代码响应于处理器的执行,导致设备至少:
接收构成系统的相应组件的基于故障的组件模型,所述基于故障的组件模型包括表示为故障树的传递函数,其每个描述所述相应组件失效或到所述组件的输入失效时相应组件的行为;
将所述基于故障的组件模型装配成所述系统的基于故障的系统模型,所述基于故障的系统模型包括表示为所述基于故障的组件模型的所述故障树的组合的传递函数;以及
使用所述基于故障的系统模型执行安全分析。
2.根据条款1所述的计算机可读存储介质,其中所述基于故障的组件模型在包括表示相应组件的块的框图中被图形化地表示,并且所述设备被导致将所述基于故障的组件模型装配成所述基于故障的系统模型包括被导致将所述基于故障的系统模型图形化地表示为包括彼此连接的块的框图,所述框图是可靠性框图或功能流框图。
3.根据条款1所述的计算机可读存储介质,其中所述设备被导致接收所述基于故障的组件模型包括被导致从存储器接收所述基于故障的组件模型,所述基于故障的组件模型存储在基于故障的组件模型的库中。
4.根据条款1所述的计算机可读存储介质,其还具有存储在其中的计算机可读程序代码,该计算机可读程序代码响应于所述处理器的执行,导致所述设备进一步以:
开发所述组件的所述基于故障的组件模型,所述设备被导致构建所述基于故障的组件模型和所述基于故障的组件模型的所述传递函数,
其中至少一些所述基于故障的组件模型的每个包括相应组件的输出和失效事件,并且所述传递函数描述所述相应组件的所述输出和失效事件之间的逻辑关系,以及
其中所述设备被导致接收所述基于故障的组件模型包括被导致直接或间接从组件建模器接收所述基于故障的组件模型。
5.根据条款4所述的计算机可读存储介质,其中至少一些所述基于故障的组件模型的每个进一步包括外部输入或控制,并且所述传递函数描述所述外部输入或控制、所述相应组件的输出和失效事件之间的逻辑关系,以及
其中所述设备被导致装配所述基于故障的组件模型包括被导致以将基于故障的组件模型的输出连接到另一个基于故障的组件模型的输入,或连接到输出到另一个基于故障的组件模型的输入的布尔逻辑操作。
6.根据条款1所述的计算机可读存储介质,其中所述设备被导致执行所述安全分析包括被导致使用所述基于故障的系统模型执行故障树分析,并基于其产生一个或更多个失效状况的一个或更多个最小割集和概率。
7.根据条款1所述的计算机可读存储介质,其中所述设备被导致执行所述安全分析包括被导致根据所述基于故障的组件模型或基于故障的系统模型的至少一些生成故障传播模型,所述故障传播模型包括一个或更多个失效传播路径和沿着所述一个或更多个失效传播路径的输入和输出的失效概率。
这些公开所属的领域的技术人员将想到在此阐述的本公开的许多修改和其他实施方式,它们使从前面说明和相关附图中呈现的教导中获益。因此,应该理解,本公开不限于所公开的具体实施,并且修改和其他实施旨在被包括在所附权利要求的范围内。另外,虽然前面的说明和相关附图在元件和/或功能的某些示例组合的背景中描述示例实施,但是应该理解,元件和/或功能的不同组合可以由可替代的实施方式提供,而不脱离所附权利要求的范围。在这方面,例如,与上面明确描述的那些不同的元件和/或功能的组合也是可预期的,如可在一些所附权利要求中阐述的。虽然在此采用具体术语,但是它们仅用于通用和描述意义,而不是为了限制的目的。
机译: 使用面向组件的故障树对复杂系统进行安全性分析
机译: 使用面向组件的故障树对复杂系统进行安全性分析
机译: 使用面向组件的故障树对复杂系统进行安全性分析
