用于对技术系统进行建模的方法与流程

安全关键系统在嵌入式系统的许多应用领域（诸如航空航天、铁路、卫生保健、汽车和工业自动化）中的重要性持续地增长。因此，连同增长的系统复杂性一起，对安全评估以及其努力的需要也急剧地增加，以在这些应用领域中保证高质量需求。

安全评估过程的目标是识别导致危险情况的所有故障并且证明它们的概率是足够低的。在安全关键系统的应用领域中，安全保证过程借助于安全标准来定义。

传统上，系统在安全方面的分析由自底向上的安全分析方法（诸如故障模式和效果分析（fmea））和自顶向下的方法（诸如故障树分析（fta））组成，以识别故障模式、它们的原因以及对系统安全的影响的效果。

在组件故障树（cft）的情况下，存在用于fta的基于模型和组件的方法，其支持模块化和组合安全分析策略。故障树元素与它们的开发工件相关，并且可以连同相应的开发工件一起被重用。然而，对于故障树，不存在表达事件的时间序列的概率。相比之下，对于该马尔可夫链是基于状态的分析技术，并且使得能够对具有容错能力的复杂系统进行安全性和可靠性分析。然而，由于模型的大小的指数爆炸和马尔可夫链的缺失的可组合性，马尔可夫链的使用被限制。为了克服这些限制并组合组件故障树和马尔可夫链的优势，需要针对马尔可夫链的组件概念。在该工作中，我们提出了针对马尔可夫链的组件概念，使得以马尔可夫链的形式构建安全工件并将其与系统开发元素（诸如组件）相关联是可能的。因此，这样的组件马尔可夫链元素可以连同相应的开发工件一起被重用。此外，针对类似于组件故障树的马尔可夫链支持模块化和组合安全分析策略。由此，可以构建和分析由组件故障树和马尔可夫链元素的任何组合组成的所谓的混合故障树（hft）。

马尔可夫链可以被集成在故障树中，作为故障树的基本事件的替代。由此，基本事件由马尔可夫链表示。然而，这样的方法被限于具有恰好一个错误状态的马尔可夫链。此外，针对马尔可夫链的现有组件概念只能与特定组件（例如，不从其他组件获得输入的传感器组件）相关联。

本发明的技术目的是改进多个技术组件的可靠性分析和安全评估过程。

该目的通过根据独立权利要求的主题来解决。优选的实施例受制于从属权利要求、说明书或附图。

根据第一方面，该目的通过一种用于对具有多个技术组件的技术系统进行建模的方法来解决，所述方法包括以下步骤：将组件马尔可夫链分配给每个组件，该组件马尔可夫链具有：马尔可夫链，用于表示相应组件的各种状态；至少一个输入一个故障模式，用于外部触发从马尔可夫链的一个状态到马尔可夫链的另一个状态中的转移；以及每个马尔可夫链的至少一个输出故障模式，用于将故障传播到其他组件。以这种方式，可以使用分而治之（divide-and-conquer）策略针对包括多个组件的大规模系统实现安全分析建模。一旦建立，马尔可夫链可以连同相关联的技术系统组件一起被重用。

在该方法的优选技术实施例中，马尔可夫链包括组件的初始状态以及错误状态的集合。该实施例具有以下技术优势：该组件由健康的初始状态表示，从该初始状态可以发生到错误状态中的转移。

在该方法的另外的优选技术实施例中，从一个状态到另一个状态的每个转移由表示组件的故障率或修复率的概率来定义。该实施例具有以下技术优势：可以高效地对组件的故障和修复进行建模。

在该方法的另外的优选技术实施例中，该组件包括与组件马尔可夫链的一个或若干个输入故障模式逻辑连接的输入端口。该实施例具有以下技术优势：该组件具有用于与其他外部组件输入耦合的接口。

在该方法的另外的优选技术实施例中，该组件包括与组件马尔可夫链的一个或若干个输出故障模式逻辑连接的输出端口。该实施例具有以下技术优势：该组件具有用于与其他外部组件输出耦合的接口。

在该方法的另外的优选技术实施例中，一个组件的输出端口与另一个组件的输入端口逻辑连接。该实施例具有以下技术优势：可以高效地对包括多个组件的大规模系统进行建模。

在该方法的另外的优选技术实施例中，将组件马尔可夫链变换成用于定性分析的组件故障树元素。该实施例具有以下技术优势：组件马尔可夫链被简化以实现快速定性结果。

在该方法的另外的优选技术实施例中，从马尔可夫链的初始状态通过一系列状态到达触发输出故障模式的每个错误状态的概率被相乘。该实施例具有实现快速变换的技术优势。

在该方法的另外的优选技术实施例中，如果两个状态之间的转移具有表示故障率的固定概率，则创建基本事件。该实施例具有高效地变换组件马尔可夫链的技术优势。

在该方法的另外的优选技术实施例中，否则创建or门，并且所述转移所依赖的所有输入故障模式都被连接到or门。该实施例还具有高效地变换组件马尔可夫链的技术优势。

在该方法的另外的优选技术实施例中，对于组件马尔可夫链的每个输出故障模式以及对于从组件马尔可夫链的初始状态通向连接到输出故障模式的错误状态的所有不同路径，表示转移的组件故障树元素内的具有连接的输入故障模式的基本事件或or门通过and门连接。该实施例还具有高效地变换组件马尔可夫链的技术优势。

在该方法的另外的优选技术实施例中，技术组件包括硬件模块或软件模块。该实施例具有可以分析各种组件的技术优势。

根据第二方面，该目的通过一种用于对技术系统进行建模的组件马尔可夫链来解决，该组件马尔可夫链包括：马尔可夫链，用于表示组件的各种状态；至少一个输入故障模式，用于外部触发从马尔可夫链的一个状态到马尔可夫链的另一个状态中的转移；以及至少一个输出故障模式，用于将故障传播到其他组件。组件马尔可夫链提供与根据第一方面的方法相同的技术优势。

根据第三方面，该目的通过一种技术组件来解决，该技术组件包括用于存储表示组件马尔可夫链的数据结构的存储模块，所述组件马尔可夫链包括：马尔可夫链，用于表示组件的各种状态；至少一个输入故障模式，用于外部触发从马尔可夫链的一个状态到马尔可夫链的另一个状态中的转移；以及至少一个输出故障模式，用于将故障传播到其他组件。该技术组件提供与根据第一方面的方法相同的技术优势。特别地，在建立技术系统时，可以从存储模块检索技术组件的组件马尔可夫链。存储模块可以是非易失性存储设备，比如rom存储设备或闪存存储设备。

根据第四方面，该目的通过可加载到计算机的存储器中的计算机程序来解决，该计算机程序包括软件代码部分，用于当计算机程序在计算机上运行时，执行根据第一方面的方法。计算机可以具有用于数字存储计算机程序的存储器和用于处理存储的计算机程序的处理器。该计算机程序提供与根据第一方面的方法相同的技术优势。

在下面描述的附图中图示了系统和方法的实施例：

图1示出了经典故障树和组件故障树；

图2示出了示例性马尔可夫链；

图3示出了示例性组件马尔可夫链；

图4示出了示例性混合故障树；以及

图5示出了变换成用于定性分析的cft元素的示例性组件马尔可夫链。

图1在左侧示出了经典故障树100，并且在右侧示出了组件故障树200。在树100和200两者中，顶事件或输出事件te1和te2被建模。经典故障树100和组件故障树200包括由or门和and门表示的布尔公式。基本事件a和in由布尔公式处理成顶事件te1和te2。

除了也在经典故障树100内建模的布尔公式之外，组件故障树200的模型允许将具体顶事件te1和te2与其中可能出现这些故障的组件101的相应输出端口o1相关联。经由输入端口i1提供对组件101的输入。

顶事件te1例如出现在端口o1处。在故障树模型中也使用组件的该方法，可以观察到开发期间的益处，例如安全分析模型的增加的可维护性。

马尔可夫链（mc）是自顶向下的分析技术。马尔可夫链表示各种系统状态以及它们之间的关系。马尔可夫链通常由一系列有向图描述，其中图的边缘，即所谓的转移，用从时间n处的一个状态去往时间n+1处的另一个状态的概率来标记。以这种方式，可以定义所谓的转移率。从一个状态到另一个状态的转移率是故障或修复率的函数。马尔可夫链的每个状态是互斥的，因为在任何给定时间，系统只能处于所述状态中的一个中。特别地，在容错系统中，通过应用马尔可夫技术然后使用故障树，可以更适当地实现这样的系统的安全评估过程和评价。

组件故障树（cft）200是与诸如组件101的系统开发元素相关联的布尔模型。它具有与经典故障树100相同的表达能力。像经典故障树100一样，组件故障树200也被用于对安全关键系统的故障行为建模。该故障行为被用于记录系统是安全的，并且也可以被用于识别系统的设计的缺陷。在组件故障树200中，单独的组件故障树元素与组件101相关。使用与具体输出o1相关的输出故障模式对在组件101的输出端口处可见的故障进行建模。为了对具体故障如何从组件101的输入端口i1传播到输出端口o1进行建模，使用输入故障模式in。使用诸如“or”和“and”的布尔门以及基本事件来对还影响输出故障模式te1和te2的内部故障行为进行建模。通过移除输入和输出故障模式元素，可以将每个组件故障树200变换为经典故障树100。

这可以被组合成针对马尔可夫链的一般组件概念。在下文中，使用示例来正式描述和说明该方法。

首先，我们假设系统s由组件的集合组成。每个组件包括输入端口的集合和输出端口的集合。

组件的输出端口o1与另一组件（其中）的输入端口之间的信息流由连接的集合表示

。

马尔可夫链是有向图，其由状态的集合组成，其具有从其开始的初始状态，以及错误状态的集合。马尔可夫链的状态之间的关系由如下转移的集合来定义：

。

从状态到状态的每次转移由表示故障率或修复率的概率来定义：

。

因此，马尔可夫链由如下元组来定义

。

图2示出了具有初始状态1、中间状态2和错误状态3的马尔可夫链300的示例。该示例性马尔可夫链300由以下公式定义：

。

为了指定可以与任何开发工件相关联的组件马尔可夫链（cmc），比如系统的技术组件101，扩展马尔可夫链300的定义。

另外，组件马尔可夫链元素可能具有输入故障模式的集合，所述输入故障模式表示具有故障率的组件101的范围之外的传入故障。每种输入故障模式可以触发组件马尔可夫链的一个或若干个转移。该关系由输入故障模式依赖性的集合来表示：

。

每个输入故障模式依赖性可以定义因子，它对输入故障模式的故障率进行缩放。转移与一个或多个输入故障模式的互连改变了从状态到状态的转移的概率：

。

此外，组件马尔可夫链可以具有表示故障传播到具有故障率的其他组件的输出故障模式的集合。当到达特定错误状态时触发每个输出故障模式，因为组件马尔可夫链的错误状态表示故障模式。该关系由输出故障模式依赖性的集合来表示：

。

如果到达错误状态，则触发输出故障模式。因此，。

因此，组件马尔可夫链由如下元组来定义：

。

图3示出了针对组件马尔可夫链400的示例。该示例性组件马尔可夫链400由以下公式来定义：

与

。

因此，示例性组件马尔可夫链400的转移率的概率如下：

。

组件马尔可夫链可以以和cft元素与组件101相关联相同的方式与技术系统组件相关联：

，其中。

由此，可以将组件马尔可夫链的输入和输出故障模式映射到组件的输入和输出端口上，这是可能的。基于上面的定义，可以定性或定量地分析组件马尔可夫链400。

图4示出了示例性混合故障树（hft）500，以说明对具有组件101-1、101-2和101-3的组件马尔可夫链400的分析。以下示例性混合故障树500由以下公式来定义：

。

对于定性分析，组件马尔可夫链400被变换成组件故障树元素。该变换以两个步骤来执行：

1.如果两个状态之间的转移具有固定概率，即在输入故障模式和转移之间不存在输入故障模式依赖性，并且该概率表示故障率λ和修复率μ，则创建基本事件。否则，创建or门，并且转移所依赖的所有输入故障模式都被连接到该门。

2.对于组件马尔可夫链400的每个输出故障模式以及对于从组件马尔可夫链400的初始状态通向连接到输出故障模式的错误状态的所有不同路径，表示转移的cft元素内具有连接的输入故障模式的基本事件或or门通过and门来连接。如果存在多于一条路径，则所有and门通过or门来连接，然后该or门被连接到输出故障模式。

图5示出了变换成用于定性分析的cft元素600的示例性组件马尔可夫链400。对于示例性混合故障树500，如图4中所描绘的那样，用于定性分析的组件马尔可夫链如下变换成cft。

在定量分析中，组件马尔可夫链的每个输出故障模式的故障概率被定义为

。

由此，通过对从马尔可夫链的初始状态到该错误状态的每个状态的序列的概率进行求和，来计算到达触发输出故障模式的错误状态的概率。

一系列转移的概率被定义为所有转移率的乘积。

由于可以如上所述计算组件马尔可夫链400的每个输出故障模式的故障率，因此组件马尔可夫链400可以以任何方式与cft元素组合并且集成到混合故障树中。对于如图4中描绘的示例性混合故障树，假设基本事件的以下故障率：

。

因此，输入故障模式a的故障率是。

因此，组件马尔可夫链的定量分析导致：

。

针对马尔可夫链的组件概念允许马尔可夫链的模块化规范以及与诸如技术组件的系统开发元素相关联。

技术组件可以是软件模块，比如面向对象编程（oop）中的对象。技术组件还可以是硬件模块，比如电子电路或专用集成电路（asic）。技术组件还可以包括硬件和软件的组合。

由于该方法使得能够组合组件马尔可夫链，因此可以使用分而治之策略对包括多个组件的大规模系统进行建模，并且马尔可夫链可以连同相关联的技术系统组件一起被重用。

因此，降低了针对复杂技术系统构建马尔可夫模型的复杂性。此外，组件马尔可夫链模型可以以任何方式与组件故障树（cft）模型组合，以便构建混合故障树，然后其可以被定性地分析，例如通过最小割集分析或定量分析。

可以以各种组合提供关于特定实施例讨论或示出的所有特征，以便同时实现它们的有利效果。

所有方法步骤可以通过适用于执行相应方法步骤的相应装置来实现。由特定装置提供的所有功能可以是该方法的方法步骤。

保护的范围由权利要求给出，并且不受说明书中讨论的或图中示出的特征限制。