用于生成组合不同抽象层的多组件系统的混合层故障树的计算机实现的方法

摘要

本发明涉及一种用于生成多组件系统的故障树的方法。多组件系统包括作为不同抽象层的逻辑功能系统层和物理系统层。物理系统层可以对应于例如实现逻辑功能系统层的功能方面的软件和/或硬件。该方法首先提供用于逻辑功能系统层提供逻辑功能故障树，以及用于物理系统层的物理故障树，后者具有与逻辑功能故障树中的元件相对应的元件。接下来，通过以系统性方式组合两个故障树的方面来生成混合层故障树。本发明特别与分析安全关键系统相关。然而，本概念并不限于这些应用，并且可以应用于故障树分析适用的一般用例。本发明的解决方案有利地提供了一种将多组件系统的逻辑功能和技术物理方面这两者考虑在内来生成故障树的系统性方法。因此，所得到的故障树可以在系统的生命周期期间容易地扩展、修改和/或重用。

说明书

本发明涉及一种用于生成组合了不同抽象层的多组件系统的混合层故障树的计算机实现的方法。本发明进一步涉及一种包括被配置为执行这样的方法的处理器的设备。本发明特别地涉及组件故障树。

在嵌入式系统的许多应用领域、诸如航空航天、铁路、医疗保健、汽车和工业自动化中，安全关键系统的重要性持续增长。因此，随着增长的系统复杂性，为了保证这些应用领域中的高质量需求，对安全保证的需求正在增加。

安全保证的目的是确保系统不会导致可能伤害人或危害环境的危险情形。在安全关键系统的应用领域中，安全保证是借助于标准来定义的，参见例如国际电工委员会（IEC）61508“Functional Safety of Electrical/Electronic/Programmable ElectronicSafety-related Systems”（1998）。

传统上，在安全方面对系统的评估基于自下而上的安全分析方法，诸如故障模式和影响分析（FMEA），参见IEC 60812“Analysis Techniques for System Reliability -Procedure for- Failure Mode and Effects Analysis (FMEA)”（1991）。替代地，根据参考实现对系统的评估基于自上而下的方法，诸如故障树分析（FTA），参见，例如Vesely等人的“Fault Tree Hand- book”（US Nuclear Regulatory Commission，1981）。通过这样的技术，标识系统故障状态、其原因以及对系统安全的影响效果是可能的。

当处理复杂技术系统时，将复杂系统分解成可管理的部分是一个基本原则。然而，许多安全和可靠性建模技术不支持以期望的方式进行分层分解。FTA提供了成为模块的分解，关于故障影响层次而不是系统架构的拆解。利用组件故障树（CFT），提供了一种基于模型和组件的FTA的方法技术，其支持模块化和组合式安全分析策略，参见例如Kaiser等人的“A New Component Concept for Fault Trees”（Proceedings of the 8th AustralianWorkshop on Safety Critical Systems and Software, Volume 33, pp. 37-46, 2003）以及Kaiser等人的“Advances in Component Fault Trees”（Safety and ReliabilitySafe Societies in a Changing World, Proceedings of ESREL 2018, pp. 815-823,Taylor & Francis (CRC Press), 2018）。

在CFT的情况下，每个技术组件由扩展的故障树表示。除了内部基本故障事件和门（例如，布尔与门、或门等），每个组件可以具有输入和输出端口。通过连接这些端口，组件可以集成到更高级别的系统模型中。所有组件可以独立开发，并存储在单独的文件或组件库中。

从数学上讲，每个CFT从其输入端口和内部事件到其输出端口表示逻辑函数。也在故障树模型内使用这样的组件方法技术在工业实践的开发期间提供了益处，例如增加的安全分析模型可维护性。

在工业实践中，故障树通常是手动构建的（基于专家的知识），并且典型地包括两个部分：基于系统的功能分解的上部分和表示系统的技术故障行为的下部分，其可以实现为软件和/或硬件。

然而，没有系统性方法来构建这样的故障树。因此，在更大和更复杂的故障树中，不同抽象层的这种混合可能导致混淆。此外，这样的故障树的维护和演进（例如由于系统规范的修改）是麻烦的并且容易出错的。

另一方面，为复杂系统自动生成故障树的基于模型的方法是基于系统模型的，根据基于模型的系统工程方法，该系统模型仅表示逻辑/功能或技术/物理系统架构。

针对该背景，存在对于分析安全关键系统的先进技术的需要。特别地，存在对于生成故障树的系统性方法的需要，该故障树可以在系统的生命周期期间容易地扩展、修改和/或重用。

该目的通过具有权利要求1的特征的方法、具有权利要求9的特征的设备、具有权利要求10的特征的计算机程序产品和具有权利要求11的特征的数据存储介质来实现。

根据本发明的第一方面，提供了一种用于生成组合不同抽象层的多组件系统的混合层故障树的计算机实现的方法。多组件系统包括逻辑功能系统层和物理系统层。该方法包括提供用于逻辑功能系统层的逻辑功能故障树和用于物理系统层的物理故障树。每个故障树包括至少一个顶级故障事件，其中逻辑功能故障树中的每个顶级故障事件在物理故障树中具有对应的顶级故障事件。每个故障树进一步包括与多组件系统的组件相关联的元件，其中逻辑功能故障树中的每个元件在物理故障树中具有对应的元件，其中存在于逻辑功能故障树的元件中的输入故障端口和输出故障端口在物理故障树中具有对应的输入故障端口和输出故障端口。每个故障树进一步包括每个故障树的元件与顶级故障事件之间的外部互连，该外部互连指定相应系统层中的故障传播。该方法进一步包括通过连续执行以下操作来生成混合层故障树：将逻辑功能故障树的顶级故障事件、包括相应输入故障端口和相应输出故障端口的元件以及外部互连添加到混合层故障树；将混合层故障树的元件内的任何输入故障端口与如逻辑功能系统层中定义的每个相应元件内的对应输出故障端口互连；对于混合层故障树中的每个元件，添加在物理故障树的对应元件中附加地实现的任何输入故障端口和输出故障端口；将在物理故障树中附加地实现的元件添加到混合层故障树，所述元件包括相应的输入故障端口和相应的输出故障端口；将物理故障树中附加地实现的外部互连添加到混合层故障树；以及从物理故障树中的元件添加混合故障树中尚未实现的任何内部故障行为。

根据本发明的第二方面，提供了一种设备。该设备包括被配置为形成根据本发明的方法的处理器。

本发明的一个想法是提供一种以基于模型的故障传播为基础生成（组件）故障树的概念，该概念采用逻辑/功能系统架构和物理系统架构这两者的组件故障树。本方法通过创建综合的组件故障树，简化了为安全专家和评估人员所熟悉的以系统性方式进行的故障树创建，所述综合的组件故障树可以在系统的生命周期期间容易地扩展或修改。此外，故障树的创建可以是（半）自动化的，并且部分故障树可以被重用。

为此，本发明提供了组合不同的抽象层（即逻辑功能系统层和物理系统层）的多组件系统的混合层故障树。作为第一步骤，以技术人员已知的通常方式为逻辑功能系统层提供逻辑功能故障树。

接下来，以类似的方式提供物理系统层的物理故障树。然后，这两个树的各方面被组合成混合层故障树。因此，本发明遵循基于模型的系统工程的通常实践，其中相应的系统在逻辑/功能级别上和抽象物理级别上建模。

系统的逻辑/功能架构可以通过使用任何架构描述语言（诸如SysML等）来建模。在功能架构的基础上，指定日志功能（组件）故障树来表示系统功能的故障行为以及功能之间的故障传播。逻辑功能故障树包括针对逻辑架构内每个功能的故障树元件和一个或若干个顶级故障事件，表示系统的危险（例如，如在危险和风险评估期间所标识的）。

所述元件和顶级故障事件之间的外部互连（可能包括通常的布尔门）指定了逻辑/功能系统层中的故障传播。每个这样的元件可以以一个或若干个输出端口和/或输入端口为特征，如对于CFT已知的。使用布尔门的故障树元件的顶级故障事件和输出端口的互连对应于危险到个体功能故障的分解。

此外，CFT元件的输入端口与其他CFT元件的输出端口的互连指定了系统的功能/逻辑架构内的故障传播。最后，每个CFT元件可以包括以通常方式连接元件内的输入/输出故障端口的内部故障行为，即，布尔门、基本故障事件和/或内部连接。因此，内部故障行为对系统逻辑功能层的功能故障的内部分解进行建模。

系统的物理架构也可以使用架构描述语言（诸如SysML等）来建模。此外，还指定逻辑功能层的哪些功能是由物理架构的哪些元件使用相应模型元件之间的依赖性来实现的。

基于功能和物理架构之间的这些关系，物理系统架构的底层系统分析模型从相应功能架构的CFT导出。为物理架构的每个元件创建CFT元件，其中：

- 对于功能架构的CFT内的每个顶级故障事件，创建物理架构的CFT内的顶级故障事件，

- 对于由物理架构中的特定元件实现的功能架构的CFT元件的每个输出端口以及每个输入端口，在物理故障树的相应CFT元件内创建输出/输入端口，并且

- 在功能故障树中和在物理故障树中的端口/故障事件之间创建依赖性。

接下来，可以通过添加特定于物理层的另外的内部故障行为（基本故障事件、布尔门和内部互连）来完成物理故障树。所得物理故障树从技术/物理的视角表示系统的故障行为。

基于功能以及物理系统架构和在这些抽象级别上定义的CFT，系统性地生成混合层CFT，它将这两层混合成一个综合的CFT。为此，来自逻辑功能故障树的功能方面首先被引入混合层故障树，即，顶级故障事件、元件、外部互连和内部互连。

然后，来自物理故障树的附加方面被添加到混合层故障树，包括附加输入/输出端口、附加元件、附加外部互连以及与独立于功能层的物理层元件的内部故障行为相关的方面，即，布尔门、基本故障事件和物理层元件内对应的内部互连。

所得到的混合层故障树以系统性方式组合了逻辑功能系统层和物理系统层这两者的方面。该解决方案将逻辑功能系统层和物理系统层分离，从而为针对多组件系统的后续修改和/或更新提供了一定的优势。

根据第三方面，本发明提供了一种包括可执行程序指令的计算机程序产品，所述可执行程序指令被配置为当被执行时，执行根据第一方面的实施例的方法。

根据第四方面，本发明提供了一种包括可执行程序指令的非暂时性计算机可读数据存储介质，所述可执行程序指令被配置为当被执行时，执行根据第一方面的实施例的方法。

该非暂时性计算机可读数据存储介质可以包括任何类型的计算机存储器（特别是半导体存储器，诸如固态存储器）或由其组成。数据存储介质还可以包括CD、DVD、蓝光光盘、USB存储棒、存储卡（例如，SD卡）等或由其组成。

根据第五方面，本发明提供了表示或被配置为生成可执行程序指令的数据流，该可执行程序指令被配置为当被执行时，执行根据第一方面的实施例的方法。

在从属权利要求中发现了本发明的有利实施例和改进。

根据本发明的实施例，来自物理故障树中的元件的所添加内部故障行为可以经由布尔或门与混合故障树中已经实现的内部连接互连。

根据本发明的实施例，物理系统层可以对应于逻辑功能系统层的软件和/或硬件实现。

根据本发明的实施例，混合故障树可以通过在元件处迭代地将混合故障树扩展成布尔表达式而在布尔代数内表达。

混合故障树可以从顶级故障事件、特别是经由外部和内部互连和输出/输入端口而朝向基本事件进行扩展，或者反之亦然。

随附附图被包括在内以提供对本发明的进一步理解，并且被并入本说明书并构成本说明书的一部分。附图图示了本发明的实施例，并且与说明书一起用于解释本发明的原理。通过参考以下详细描述，本发明的其他实施例和本发明的许多所意图优点将因为它们变得更好理解而容易领会。

附图的元件相对于彼此不一定是按比例的。在各图中，除非另有指示，否则相同的附图标记标示相同或功能上相同的组件。

图1示出了具有执行根据本发明实施例的方法的处理器的设备；

图2示出了图1的方法中提供的逻辑功能故障树；

图3示出了图2的逻辑功能故障树与图1的方法中提供的物理故障树之间的对应性；

图4是图3的物理故障树的详细视图；

图5-10示出了通过组合图2的逻辑功能故障树和图4的物理故障树，利用图1的方法生成混合层故障树的连续步骤。

尽管本文图示和描述了特定实施例，但是本领域的普通技术人员应当领会，在不脱离本发明的范围的情况下，可以用各种替代和/或等同的实现代替所示出和描述的特定实施例。一般地，本申请旨在覆盖本文讨论的特定实施例的任何适配或变型。

一般地，本文描述的技术可以应用于各种种类和类型的安全关键系统。例如，本文描述的技术可以应用于多组件系统，例如控制或致动器系统。这样的控制或致动器系统可以为某些机器提供控制功能性或激活功能性。

多组件安全关键系统的一些元件可以实现为硬件，而一些组件可以替代地或附加地使用软件来实现。可能的是，针对其采用了该技术的安全关键系统包括输出，该输出提供用于致动或控制一个或多个机器的致动器力或控制信号。

可以受益于本文所述技术的安全关键系统的具体示例包括但不限于：包括有源和/或无源电子组件的电子电路，所述电子组件诸如晶体管、线圈、电容器、电阻器等；诸如火车或客车或飞机之类的载具的传动系；装配线，包括传送带、机器人、可移动部件、控制部分、用于检验制成品（后端测试）的测试部分；医疗系统，诸如包括磁共振成像或计算机断层摄影的成像系统、粒子治疗系统；发电厂；等等。

本文描述的各种示例特别涉及组件故障树（CFT）。例如，在Kaiser等人的“A newcomponent concept for FTs”（Proceedings of the 8th Australian Workshop onSafety Critical Systems and Software, Volume 33, pp.37-46, 2003）中描述了CFT。CFT为FT分析提供了一种基于模型和组件的方法技术，其支持模块化和组合式安全分析策略。

CFT包括多个元件。所述元件与系统的组件相关联。CFT还包括元件之间的多个互连。所述互连与系统组件之间的依赖性相关联。这样的依赖性可以对控制信号的输入/输出或力的流动进行建模。

CFT可以对系统的错误行为进行建模。系统的错误行为可以由CFT使用分层分解的方法来建模。在这里，系统的整体行为可以基于组件的个体行为来预测。换句话说，导致整体系统行为的因果链可以由组件的错误的因果链来建模。

CFT可以包括相邻元件之间的布尔互连，以对贯穿于系统的错误的传播进行建模。CFT可以使用图来对系统进行建模；这里，图的节点可以对应于元件，并且图的边可以对应于互连。

图1示出了具有执行根据本发明实施例的方法M的处理器11的设备10。计算机实现的方法M生成组合系统的不同抽象层的多组件系统的混合层故障树1。多组件系统可以是例如安全关键系统等。将针对混合层故障树1的一个特定示例参考图2-4和5a-f详细解释方法M。

混合层故障树1通过组合系统的不同抽象层（即逻辑功能系统层和物理系统层），来对多组件系统进行建模。逻辑功能系统层表示系统的功能行为。另一方面，物理系统层对应于逻辑功能系统层的技术/物理实现，并且可以构成功能层的基于软件以及基于硬件的实现。

方法M包括下层M1，M1提供用于逻辑功能系统层的逻辑功能故障树2和用于物理系统层的物理故障树3。

图2中示出了示例性逻辑功能故障树2。逻辑功能故障树2包括单个顶级故障事件4。然而，对于本领域技术人员来说应当显而易见的是，其他实施例可以以具有多个顶级故障事件4的逻辑功能故障树2为特征。逻辑功能故障树2进一步包括与多组件系统的组件相关联的两个示例性元件6。

上部元件6包括输出端口17，其经由外部互连9连接到顶级故障事件4。这样的外部互连9表示多组件系统的组件之间的依赖性，并且在文献中也称为边。它们例示了在元件6和顶级故障事件4之间的故障传播。在图2的特定示例中，外部互连9是简单的线路连接。然而，本领域技术人员应当容易认识到，更复杂的场景是可能的，其中若干线路连接可以通过各种布尔门（例如布尔与门、布尔或门等等）连接。

上部元件6进一步包括输入端口16，其与下部元件6的输出端口17互连。两个元件6都包括内部故障结构/行为12，其中基本故障事件5、内部互连13和布尔门（例如，布尔或门14）以通常的方式互连输出故障端口8和/或输入故障端口7。在图2的示例中，下部元件6仅以输出故障端口8为特征，输出故障端口8是未指定的基本故障事件5的目标。

图3中示出了示例性物理故障树3连同图2的对应逻辑功能故障树2。可以看出，逻辑功能故障树2中的每个元件6在物理故障树3中具有对应元件6，其中存在于逻辑功能故障树2的元件6中的输入故障端口7和输出故障端口8在物理故障树3中具有对应输入故障端口7和输出故障端口8（参见左边的逻辑功能故障树2和右边的物理故障树3之间的虚线）。

然而，物理故障树3包括不具有功能对应性的与系统纯物理方面相关的附加方面。这在图4中展示，图4描绘了包括所提到的附加方面的物理故障树3的详细视图。如这里可以看到的，物理故障树3遵循逻辑功能故障树2的基本结构，但是包括左下的示例性附加元件6，该附加元件6从输出端口17跨外部互连9到输入端口16连接到上部元件6。

例如，左下的元件6可以对应于简单的电源，其在系统中没有任何功能角色。此外，与逻辑功能故障树2中的对应元件6相比，元件6包含附加的内部故障结构/行为12，即，附加基本事件5、互连13、布尔门（例如，布尔与门15）等等。

再次参考图1，方法M进一步包括下层M2a，M2a将逻辑功能故障树2的顶级故障事件4、元件6（包括相应的输入故障端口7和相应的输出故障端口8）以及外部互连9（包括元件6之间以及顶级故障事件4与元件6之间的逻辑功能结构中的任何布尔门）添加到混合层故障树1（参见图5，其描绘了在方法M的该步骤之后的混合层故障树1）。

因此，在方法M的该步骤处，仅有两个元件6被添加到混合层故障树1，这两个元件6是图2的逻辑功能故障树2中存在的仅有元件6。顶级故障事件经由外部互连9连接到上部元件6的输出故障端口8（参见图5）。

此外，上部元件6的右下输入故障端口7连接到右下元件6的输出故障端口8。应当注意，在方法M的该步骤处，左下元件6还没有被包括在混合层故障树1中，并且因此对应输出故障端口8和输入故障端口7也没有被包括。

应当进一步注意，逻辑功能故障树2中的元件6的内部故障行为12没有被复制到混合层故障树1上。

方法M进一步包括下层M2b，M2b将混合层故障树1的元件6内的任何输入故障端口7与逻辑功能系统层2中定义的每个相应元件6内的对应输出故障端口8互连（参见图6，其描绘了在方法M的该步骤之后的混合层故障树1）。

因此，图5中上部元件6的输出故障端口8与上部元件6的右下输入故障端口7连接，符合图2的逻辑功能故障树2的规范。

方法M进一步包括下层M2c，M2c针对混合层故障树1中的每个元件6（即，此时存在于混合层故障树1中的每个元件6，即图6中的上部元件6和右下元件6）添加在物理故障树3的对应元件6中附加地实现的任何输入故障端口7和输出故障端口8（参见图7）。

在图5a-f的具体示例中，仅有一个输入故障端口7被添加到图6中的上部元件6，即图7中左下的输入故障端口7。

方法M进一步包括下层M2d，M2d将在物理故障树3中附加地实现的元件6添加到混合层故障树1，该元件6包括相应的输入故障端口7和相应的输出故障端口8以及对应的内部故障行为12（参见图8）。在图5a-f的具体示例中，仅左下的元件6被添加到图7中的混合层故障树1，该元件6包括作为一个基本故障事件5的目标的一个输出故障端口8。

方法M进一步包括下层M2e，M2e将在物理故障树3中附加地实现的外部互连9添加到混合层故障树1（参见图9）。因此，在图5a-f的示例中，在图8中的上方元件6与左下元件6之间添加一个单个外部互连9。

方法M进一步包括下层M2f，M2f从物理故障树3中的元件6添加在被包括在混合故障树1中的来自逻辑功能故障树3的元件6中尚未实现的任何内部故障行为12（即，尚未包括在上部元件6和右下元件6中的任何内部故障行为12，比较图9和图4）。

因此，图4的物理故障树3中的上部和右下元件6的另外方面被添加到图9中的元件6（参见图10）。来自物理故障树3中的元件6的添加的内部故障行为12然后直接（右下元件6）或经由布尔或门（上部元件6）与对应输出故障端口8互连。

作为结果，生成混合层故障树1，其将多组件系统的两个抽象层组合成单组件故障树，即一方面是逻辑功能层，并且另一方面是技术物理层。接下来，可以评估混合层故障树1，例如，它可以在元件6处迭代地扩展成明确布尔表达式，其从顶级故障事件4经由外部和内部互连9、13和输出/输入端口8、7朝向基本事件5进行，或者反之亦然。

该方法使得能够基于逻辑/功能系统架构和技术/物理系统架构这两者的CFT描述为系统进行CFT系统性创建。此外，可以使用上述算法自动创建CFT。该方法通过创建综合CFT，简化了为安全专家和评估人员所熟悉的FT创建，该综合CFT可以在系统开发生命周期期间容易地扩展或修改。

可以在功能/逻辑层或物理/技术层中的专用点处进行修改和扩展（在功能/逻辑层中进行功能分解的修改，在物理/技术层中通过硬件和软件的功能进行技术实现），并且然后可以自动（再）生成新的综合CFT。

与创建经典FT的现有手动方法形成对比，综合的混合层CFT的部分可以重用（例如，在不同的项目中）。此外，在系统设计修改的情况下，并非必须重新查看和适配完整的FT，而是将改变的影响缩小到CFT模型在相应抽象层处的具体部分。本发明一般为评估大规模工业系统提供益处。

在前述详细描述中，各种特征被一起分组在一个或多个示例中或以流线型化本公开为目的的示例中。要理解的是，以上描述旨在是说明性的，而不是限制性的。它旨在涵盖所有的替代物、修改和等同物。在查阅了以上说明书后，许多其他示例对于本领域技术人员来说应当是清楚的。

选取和描述所述实施例是为了最好地解释本发明的原理及其实际应用，从而使得本领域的其他技术人员能够在具有如适合所设想的特定用途的各种修改的情况下最好地利用本发明和各种实施例。在查阅了以上说明书后，许多其他示例对于本领域技术人员来说应当是显而易见的。