分析系统、特别是安全关键系统的可用性的方法和装置

摘要

分析系统、特别是安全关键系统的可用性的方法和装置。一种用于分析包括子系统的系统的可用性的装置和方法，所述子系统每个具有带有在所述系统上的相应故障影响的至少一个故障模式，所述装置包括：退化模式树DMT生成单元，其适于自动地生成退化模式树DMT，其包含基于存储在数据库中的预定通用系统元模型来表示偏离所述系统的正常操作状态的所述系统的退化系统状态的至少一个退化模式元素，所述数据库包括表示子系统、故障模式、故障影响和诊断措施的故障模式和影响分析FMEA元素以及处理单元，其适于评估生成的退化模式树DMT以用于计算所述系统的可用性。

说明书

安全关键技术系统可以包括每个由部件构成的多个子系统。这些部件可以包括硬件和/或软件部件。安全关键系统可以包括具有分布式子系统和/或系统部件的复杂系统。某些子系统可以由嵌入式系统形成。针对此类复杂系统，检查潜在故障对整个系统的功能的后果是必要的。

可以使用故障模式和影响分析FMEA来检查潜在故障对被研究系统的功能的后果。当前在大多数技术领域中使用FMEA分析的不同变化来分析安全关键系统。由于安全关键系统通常包括高技术复杂性，所以自动化和工具支持在研究和工业中具有长的历史。虽然可以在手动维护表格中使用常规故障模式和影响分析FMEA来分析紧凑的嵌入式系统，但复杂的系统容易导致不可管理的长表格，尤其是如果涉及到用于开发特定系统的较大开发队伍的话。在常规故障模式和影响分析中，通常出于文件的原因以文本方式描述措施（measure）且其指代特定故障模式及其对系统的影响的检测。此类常规故障模式和影响分析方法具有多个缺点。描述的措施指代故障模式的检测而不是描述被研究系统的全局系统状态。有时，证明（document）某个故障模式被特定诊断措施充分地覆盖可能就足够了，例如以证明所有单点故障都已被覆盖。然而，对于具有高可用性要求的系统而言，特别是对于安全关键系统而言，知道诊断措施多长时间使系统进入其中系统处于安全状态但不能履行其所有功能的退化模式一次是重要的。

此外，文本描述措施并不支持系统的不同退化模式的分析。由于可存在许多不同的措施以防止单点故障，所以其中的一小部分可导致相同的退化状态，而不同的部分可导致系统的另一退化状态。文本描述并未提供一致的分析以区别多个退化模式以用于执行复杂技术系统的复杂FMEA分析。通常，FMEA表、特别是用于复杂系统的电子数据表是长的且包含许多不同的诊断措施。例如，对于诸如电子电路中的电容器之类的被研究系统的部件而言，诸如“短路”之类的故障模式可以具有“放大因数超过限制”的影响。可以例如用诊断措施“脉冲测试将检测到此故障”来检测此类影响。这是要采取的措施的文本描述，但是不存在在此措施为活动（active）的情况下系统将处于的系统状态的描述。甚至附加文本字段不允许分析系统的可用性，因为其可遍布整个FMEA分析发生多次。

对于常规FMEA分析的诊断措施“脉冲测试将检测到此故障”而言，不能给出在此措施被激活的情况下系统的反应如何的描述。可能用于部件电容器的“短路”故障模式的措施导致其中没有功能可用直至被调查系统被重置且电容器已被调换的系统状态。另一方面，在诸如晶体管之类的另一部件上的诸如“引脚2上开路”之类的另一故障模式也可被诊断措施“脉冲测试将检测到此故障”检测到，但是将导致被调查系统的不同退化状态，例如系统的所有功能仍可用但其中速度降低。再次地，附加文本描述并未启用在被调查系统相当复杂的情况下降低可用性的不同模式的分析。

因此，本发明的目的是提供一种方法和装置，其克服上述缺点且其允许分析包括多个子系统和/或部件的复杂系统的可用性。

用包括权利要求1的特征的方法来达到此目的。

本发明根据第一方面提供了一种用于分析系统的可用性的方法，包括步骤：

基于存储在数据库中的预定通用系统元模型而自动地生成退化模式树DMT，其包含表示偏离所述系统的正常操作状态的所述系统的退化系统状态的至少一个退化模式元素（element），所述数据库包括表示子系统、故障模式、故障影响和诊断措施的故障模式和影响分析FMEA元素，以及

评估生成的退化模式树DMT以计算所述系统的可用性。

可以自动地执行退化模式树DMT的生成和评估，从而允许在系统的运行时间期间和/或在系统的规划阶段期间分析包括多个子系统和/或部件的复杂系统。

由于可用性的计算是自动地执行的，所以根据本发明的第一方面的方法远远不如常规FMEA分析那么易于出错。

在根据本发明的第一方面的方法的可能实施例中，所述元模型的每个故障模式元素具有关联故障影响元素，其保持关于故障模式实例对被调查系统的故障影响的信息。

在根据本发明的第一方面的方法的可能实施例中，所述元模型的每个故障影响元素具有关联措施元素，其表示适于保护所述系统免于发生相应故障影响的诊断措施。

在根据本发明的第一方面的方法的另一可能实施例中，所述元模型的每个措施元素被关联到退化模式元素，其保持关于所述系统的退化模式的信息。

在根据本发明的第一方面的方法的另一可能实施例中，针对每个退化模式元素，提供了全局退化模式门元素，其表示用于所述系统的相应退化模式的所有可能故障影响和诊断措施组合的分离。

在根据本发明的第一方面的方法的又一可能实施例中，针对被关联到退化模式元素的每个措施元素，提供了一种措施门元素，其表示被关联到所述系统的故障模式的一对诊断措施和故障影响，并指示相应故障模式和措施组合对所述系统的相应退化模式的贡献。

在根据本发明的第一方面的方法的可能实施例中，全局退化模式元素由或（OR）门形成。

在根据本发明的第一方面的方法的另一可能实施例中，所述措施门元素由与（AND）门形成。

在根据本发明的第一方面的方法的另一可能实施例中，所述系统元模型的每个故障模式和影响分析FMEA元素包括唯一标识符。

本发明根据第二方面还提供了一种用于分析包括权利要求10的特征的系统的可用性的装置。

根据本发明的第二方面，本发明提供了一种用于分析包括子系统的系统的可用性的装置，所述子系统每个具有至少一个故障模式，其具有对所述系统的相应故障影响，所述装置包括：

退化模式树DMT生成单元，其适于自动地生成退化模式树DMT，其包含基于存储在数据库中的预定通用系统元模型来表示偏离所述系统的正常操作状态的所述系统的退化系统状态的至少一个退化模式元素，所述数据库包括表示子系统、故障模式、故障影响和诊断措施的故障模式和影响分析FMEA元素，以及

处理单元，其适于评估生成的退化模式树DMT以用于计算所述系统的可用性。

根据第三方面，本发明还提供了一种包括多个子系统的系统，子系统每个具有至少一个故障模式，其具有对所述系统的相应的故障影响，

所述系统包括根据本发明的第二方面的装置，其被配置成在所述系统的运行时间期间分析所述系统的可用性。

在根据本发明的第三方面的系统的可能实施例中，该系统是包括安全关键子系统和/或系统部件的安全关键系统。

在根据本发明的第三方面的系统的可能实施例中，所述系统的每个子系统包括系统部件，其包括硬件部件和/或软件部件。

根据第四方面，本发明还提供了一种系统规划工具，其适于在所述系统的规划阶段期间执行根据本发明的第一方面的方法。

根据第五方面，本发明还提供了一种存储可执行指令的计算机程序产品，该可执行指令适于执行根据本发明的第一方面的方法。

下面，参考附图来更详细地描述本发明的不同方面的可能实施例。

图1示出了具有可以通过使用根据本发明的方法和装置来分析的可用性的安全关键系统的示例性实施例；

图2示出了根据本发明的一个方面的用于分析诸如图1中所示的系统的可用性的装置的可能示例性实施例的框图；

图3示出了用于图示出根据本发明的一个方面的用于分析诸如图1中所示的系统的可用性的方法的可能示例性实施例的流程图；

图4示出了用于图示出可以被根据本发明的方法和装置使用以用于分析诸如图1中所示的技术系统的可用性的通用系统元模型的图表；

图5示出了用于图示出可以用根据本发明的方法和装置生成和评估的示例性退化模式树的图表。

如在图1中可以看到的，复杂技术系统SYS1可以包括多个不同的子系统2-i，其中每个子系统2-i可以包括经由本地网络相互通信的软件和/或硬件部件。在如图1中所示的示例性系统1中，可以将不同的子系统2-i链接到系统1的全局通信总线3，从而允许系统1的子系统2-i相互通信。在图1中所示的示例性系统1中，子系统2-1、2-2、2-3被经由有线链路连接到系统通信总线3，而子系统2-4、2-5被经由无线链路连接到通信总线3。在图1中所示的示例性实施例中，系统1可以包括也被连接到通信总线3并可访问FMEA数据库5的服务器4，如图1中所示。诸如工程师或系统设计者之类的用户也被经由用户终端直接地链接到系统的通信总线3，如图1中所示。每个子系统2-i可以继而包括包含软件和硬件部件的子系统。每个子系统可以具有至少一个故障模式，其具有对系统1的相应故障影响。系统1的服务器4可以包括用以在系统的运行时间期间或在系统1的规划或构建阶段期间分析系统1的可用性的分析装置。

图2用框图图示出适于分析诸如图1中所示的技术系统1的可用性的分析装置6的可能示例性实施例。可以在被调查系统1的服务器4上实现分析装置6。如在图2中可以看到的，分析装置6可访问数据库，诸如图1中所示的FMEA数据库5。装置6包括退化模式树DMT生成单元6A，其适于自动地生成退化模式树DMT，其包含基于存储在数据库中的预定通用系统元模型来表示偏离所述系统1的正常操作状态的所述系统1的退化系统状态的至少一个退化模式元素，所述数据库包括表示子系统、故障模式、故障影响和诊断措施的故障模式和影响分析FMEA元素。退化模式树生成单元6A自动地生成退化模式树DMT，并将生成的退化模式树DMT供应给如图2中所示的装置6的处理单元6B以计算被调查系统1的可用性。在可能的实施例中，处理单元6B包括至少一个处理器，其被配置成处理接收到的退化模式树DMT以用于在系统1的运行时间期间计算所述系统1的当前可用性。在替换实施例中，处理单元6B被配置成在系统的规划阶段期间或在系统1的维护或修理期间计算被调查系统1的可用性。计算的系统1的可用性可以被装置6经由用户接口输出给系统1的系统工程师。在另一可能实施例中，计算的可用性被装置6的处理单元6B经由接口输出到被调查系统1的远程控制单元。在可能的实施例中，系统1的控制单元接收计算的系统1的可用性并响应于计算的系统可用性来控制系统1的至少一个系统部件C和/或子系统2-i。

图3示出了用于分析如图1中所示的系统1的可用性的方法的示例性实施例的流程图。所示的方法可以由诸如图2中所示的分析装置6例如在服务器4上执行，所述服务器4形成如图1中所示的被调查系统1的一部分。如在图3中可以看到的，在第一步骤S1中，基于存储在数据库（例如图1中所示的FMEA数据库5）中的预定通用系统元模型来自动地生成退化模式树DMT，其包含表示所述系统1的退化系统状态的至少一个退化模式元素，所述退化系统状态偏离所述系统1的正常操作状态，所述数据库包括表示系统的子系统、故障模式、故障影响和诊断措施的故障模式和影响分析FMEA元素。图4示出了用于图示出被根据本发明的方法和装置用来自动地生成退化模式树DMT的系统元模型的可能实施例的图表。

在本方法的另一步骤S2中，自动地评估生成的退化模式树DMT以计算被调查系统1的可用性。可以在系统1的运行时间期间或在系统1的规划阶段期间执行评估。

图4示出了用于图示出可以被用于根据本发明的第一方面的分析方法的通用系统元模型的图表。元模型提供系统1的以可用性为中心的分析所需的相关元素和关系。元模型能够反映典型FMEA元素，但是通过使用更多的关系来扩展FMEA分析。这样，用于全局退化模式的分析被启用，从而启用以可用性为中心的FMEA分析。如在图4中可以看到的，被调查系统1可以包括多个组件或子系统。每个组件是构建逻辑单元的系统1的一组可被分析元素。组件的每个元素是诸如电子器件或电子元素之类的零件或部件C。每个零件或系统部件具有关联的一组故障模式。故障模式可以描述零件或部件可以具有的特定的一种故障。因为零件具有出故障的量化的行为（behavior），其可以被称为以时间计的故障（failure in time）FIT，所以故障模式具有用以向特定故障模式分配零件的量化故障行为的百分比部分的百分比。如在图4中可以看到的，所述元模型的每个故障模式元素具有关联的故障影响元素，其保持关于故障模式实例对系统的故障影响的信息。该影响可以被分类并按种类量化。例如，可以将每个影响分类成种类安全、危险和不关心以将影响标记为无害（安全）、对分析的结果没有影响（不关心）或有害（危险）。此外，影响具有关联措施。措施保护系统免于发生影响，例如如果在被分析系统的运行时间期间检测到影响且系统1被设定成停工状态（安全状态）以防止相应的影响的话。因为在系统的运行时间期间检测到故障模式实例的机制大部分并不是100%有效的，所以该影响具有关联有效性，例如量化的百分比值（诊断覆盖范围）。为了允许例如在比如MySQL或ACCESS之类的数据库内的影响以编程方式的群集（clustering），所有元素包括允许明确地对其进行识别的标识符。

如在图4中可以看到的，所示元模型的每个故障影响元素具有关联措施元素，其表示适于保护系统免于发生相应故障影响的诊断措施。元模型的每个措施元素被关联到退化模式元素，其保持关于系统的退化模式的信息。针对被关联到退化模式元素的每个措施元素，提供措施门元素，其表示被关联到系统的故障模式的一对诊断措施和故障影响，并指示相应故障模式和措施组合对系统的相应退化模式的贡献。同样如图4中所示，系统元模型的每个故障模式和影响分析元素包括唯一标识符。在可能的实施例中，如图4中所示的全局退化模式元素可以由或（OR）门形成。此外，图4中所示的措施门元素可以由与（AND）门形成。

诊断措施通常改变系统当前用其来工作或操作的被调查系统1的操作模式。每个诊断措施具有关联退化模式。退化模式元素包含全局描述，其保持关于退化模式的信息，例如在此退化模式活动的情况下系统处于哪个状态中。为了允许作为中心的分析，所有退化模式与如图4中所示的退化模式树DMT元素相关。

使用元素“退化模式树”、“措施门”和“全局退化模式门”，元模型提供用于系统1的定量或定性分析的数据结构。在允许与比如MySQL或ACCESS之类的数据库的关系的数据结构内使用所需FMEA元素（例如FMEDA、组件、零件、故障模式、措施、影响）来执行第一FMEA分析是可能的。在第二步骤中，在FMEA开发过程期间，可以使退化模式与措施相关。使用此信息，自动地生成退化模式树DMT。

针对每个退化模式元素，可以创建新元素，例如“全局退化模式门”。此元素表示用于特定退化模式的所有可能影响和措施组合的分离。例如，如果选择布尔树（Boolean tree）作为用于分析的期望数据结构，则在树中用或门来表示此元素。每个“全局退化模式门”元素得到相关的多个“措施门”元素。

图4中所示的元模型的每个“措施门”元素表示一对影响和措施，与属于“全局退化模式”元素的“退化模式”元素有关的每个措施一个。例如，如果选择布尔树作为用于分析的期望数据结构，则在树中将此元素表示为与门，并作为输入与在布尔树中用“全局退化模式门”元素所表示的或门相关。“措施门”元素表示特定故障模式和措施组合对退化模式的贡献。为了对此进行表示，利用数据结构来识别相应的“故障模式”元素、“零件”元素和“措施”元素并将其与数据模型的“措施门”元素相关。

FMEA分析在分析上覆盖现实世界中的所有系统实例（或产品）。为了允许诊断，记录现实世界技术系统1的故障模式的影响。每个子系统或子系统部件可以具有各种故障模式，并且因此可以在系统的运行时间期间观察可记录影响。这些记录的影响被关联到在FMEA中被证明的影响以在系统的运行时间期间监视当前或实际故障率。

图4中所示的关联的方向证明相关。箭头的方向仅仅是概念上的，元模型的实施方式（例如在数据库结构中）双向工作。被连接到该关联的量化也是示例性的，并且可针对FMEA的不同域或不同类型而改变。例如，记录事件属于系统且每个记录影响属于确切地一个系统而不是每个系统的元素记录事件与系统文档之间的关联可以具有零个或任何任意数目的记录事件。

为了举例说明由根据本发明的方法和装置的如图4中所示的通用系统元模型的使用和退化模式树DMT的生成，在下表中和在图5中图示出用于FMEA和所得到的退化模式树DMT的抽象示例。该表格示出了FMEA的元素。表格的每行证明了特定零件的故障模式、其影响和相应诊断措施。另外，退化模式已被插入。图5示出了使用布尔注释的相应生成退化模式树DMT。退化模式树DMT具有来自FMEA数据结构的两个关联“退化模式”元素A和B，如上表中所示。

零件故障影响措施退化模式11a1m1A12a2m2A13b1m1B24b2m2B25a3m1A

针对每个退化模式，用或（OR）标记的元素所表示的一个“全局退化模式门”被关联到退化模式。此元素具有用&符号标记的关联“措施门”元素，每个影响及其相应措施一个。元模型和数据结构允许针对影响a1、a2、a3、b1和b2的全局分析，包括措施m1和m2的影响。针对定量分析，可以使用来自零件的故障率或以时间计的故障FIT、与故障模式有关的故障率的分数（百分比）和措施的有效性（诊断覆盖范围）来量化每个“措施门”（&），例如如下：

FIT(&) = FIT（故障模式）*百分比（影响）*百分比（措施）。

用于“全局退化模式门”的量化然后将是：

FIT(或) = FIT(&1)+…+FIT(&n)。

使用如图4中所示的元模型，可以克服常规FMEA分析的缺点。诸如图5中所示的退化模式树DMT包含所有不同的退化模式。每个退化模式描述了偏离系统1的全部功能的模式。如图5中所示的树的顶部元素允许分析被调查系统1的全部功能的不可用性。可以使用单个退化模式元素来分开地分析每个退化模式。

可以将系统的FMEA分析存储在诸如MySQL或ACCESS数据库之类的数据结构内。分析系统1的角色（role）、例如分析员、设计者和工程师团队可以使用根据本发明的以可用性为中心FMEA分析来分析影响的效果。归档数据被使用到系统实施方式的有线或无线连接、例如使用事件记录机制关联到某些影响。因为元模型的所有元素都使用唯一标识符，所以可以在数据库系统中使用关系来解决常规FMEA分析的上述问题。如果影响要求调查，则可以自动地生成退化模式树DMT并针对要求或字段数据进行检查。