使用用于标识休眠系统失效状态的故障树的安全保证的制作方法

本发明的各种示例一般涉及使用故障树（例如组件故障树）来对多组件控制或致动器系统进行建模。本发明的各种示例具体地涉及将操作失效事件与用于标识休眠系统失效状态的故障树的诊断失效事件进行关联。

背景技术

在嵌入式系统的许多应用领域（诸如航空航天、铁路、医疗保健、汽车和工业自动化）中，安全关键系统的重要性不断地增长。因此，随着增长的系统复杂度，针对安全保证以及对其付出的需求也正在增加以便保障在这些应用领域中的高质量要求。安全保证的目的是确保系统不导致可能伤害人或者危害环境的有危险的情形。在安全关键系统的应用领域中，安全保证是借助标准（参见例如，国际电工技术委员会（iec）61508“functionalsafetyofelectrical/electronic/programmableelectronicsafetyrelatedsystem”（1998））而限定的。

传统上，就安全性而言，系统的评估基于自底而上的安全分析方法，诸如失效模式和效果分析（fmea），参见iec60812“analysistechniquesforsystemreliability–procedureforfailuremodeandeffectsanalysis（fmea）”（1991）。可替换地，根据参考实现的系统的评估基于自顶而下的方法，诸如故障树分析（fta），参见例如vesely,w.e.,goldberg,f.f.,roberts,n.h.,haasl,d.f.:faulttreehandbook。美国核能管理委员会（1981）。通过这样的技术，可能的是标识系统失效状态、它们的起因、以及具有对于系统安全的影响的效果。

然而，在这样的方法中，可能难以标识休眠系统失效状态。休眠系统失效状态（有时也称为隐藏系统失效状态）对应于要求标识特定的诊断行动的系统的失效，即系统的一个或多个组件的失效。休眠系统失效状态是对于操作和维护人员非立即明显的失效。例如在国际标准iso14224（2016-12-15）；c.6部分中描述了休眠系统失效状态。

例如，在参考实现中，休眠系统失效状态典型地是基于关于系统设计（例如，铁道机车车辆的电路图）的信息而手动地标识的。然而，这样的参考实现面临某些约束和缺点。因为如今的系统的复杂度持续地增长，标识休眠系统失效状态所要求的付出大幅度增加。更进一步地，手动标识休眠系统失效状态可能是易于出错的。更进一步地，典型地要求手动指定用以缓解休眠系统失效状态的诊断测量，这也是易于出错的并且可能要求显著的付出。

技术实现要素：

wo2015/151014a1公开了一种可以访问一个或多个树结构的故障树分析工具。每个树结构可以是与例如飞行器的控制系统或者子系统关联的故障树。故障树分析工具可以输出基于树结构的一个或多个列表。列表可以包括定义用于树结构的事件和每个事件的可能性的事件列表。可以执行风险计算。

us2012/166082公开了一种用于诊断在机器中的一个或多个故障或者一个或多个潜在的故障的系统和方法。基于来自折叠识别模块的输出，具有故障树的专家系统模块被引导通过仅仅故障树的截断部分。

us2015/067400a1公开了一种在生成要被分析的对象的故障树时丢弃不需要的元素的系统。配置信息标识由对象和对功能块和逻辑关系进行连接的多个信号线组成的多个功能块。排除目标信息标识在没有信息丢失的情况下可能被从多个信号线排除的信号线。

yang，zong-xiao，etal.“fuzzyfaultdiagnosticsystembasedonfaulttreeanalysis.”fuzzysystem,1995.internationaljointconferenceofthefourthieeeinternationalconferenceonfuzzysystemsandthesecondinternationalfuzzyengineeringsymposium.,proceedingsof1995ieeeint.vol.1.ieee，1995。公开了一种用于使用来自故障树分析的信息和数据的不确定性/不精确性的处理故障诊断的方法。故障树分析提供了用于标识在处理中的失效的过程。

因此，存在针对分析安全关键系统的先进技术的需求。特别是存在针对促进对休眠系统失效状态进行标识的技术的需求。

该需求是由独立权利要求的特征满足的。从属权利要求的特征限定了实施例。

一种计算机实现的方法，包括使用组件故障树（cft）来对多组件控制或致动器系统进行建模。cft包括与系统的组件关联的多个元素。cft进一步包括在多个元素中的各元素之间的多个相互连接。相互连接与在系统的组件之间的功能依赖性关联。方法进一步包括向元素中的至少一些分配与系统的相应的组件的失灵相关联的操作失效事件。方法进一步包括向元素中的至少一些分配与关联于系统的相应的组件的诊断测量的失灵相关联的诊断失效事件。方法进一步包括将操作失效事件与诊断失效事件进行关联，并且取决于操作失效事件与诊断失效事件的所述关联，标识系统的多个失效状态中的休眠系统失效状态和非休眠系统失效状态。

一种设备包括至少一个处理器。该至少一个处理器被配置为执行方法。该方法包括使用cft来对多组件控制或致动器系统进行建模。cft包括与系统的组件关联的多个元素。cft进一步包括在多个元素中的各元素之间的多个相互连接。相互连接是与在系统的组件之间的功能依赖性关联的。方法进一步包括向元素中的至少一些分配与系统的相应的组件的失灵关联的操作失效事件。方法进一步包括向元素中的至少一些分配与关联于系统的相应的组件的诊断测量的失灵相关联的诊断失效事件。方法进一步包括将操作失效事件与诊断失效事件进行关联，并且取决于操作失效事件与诊断失效事件的所述关联，标识系统的多个失效状态中的休眠系统失效状态和非休眠系统失效状态。

一种计算机程序产品包括可以由至少一个处理器执行的程序代码。由该至少一个处理器执行程序代码可以引起该至少一个处理器执行方法。该方法包括使用cft来对多组件控制或致动器系统进行建模。cft包括与系统的组件关联的多个元素。cft进一步包括在多个元素中的各元素之间的多个相互连接。相互连接是与在系统的组件之间的功能依赖性关联的。方法进一步包括向元素中的至少一些分配与系统的相应的组件的失灵关联的操作失效事件。方法进一步包括向元素中的至少一些分配与关联于系统的相应的组件的诊断测量的失灵相关联的诊断失效事件。方法进一步包括将操作失效事件与诊断失效事件进行关联，并且取决于操作失效事件与诊断失效事件的所述关联，标识系统的多个失效状态中的休眠系统失效状态和非休眠系统失效状态。

一种计算机程序包括可以由至少一个处理器执行的程序代码。由该至少一个处理器执行程序代码可以引起该至少一个处理器执行方法。该方法包括使用cft来对多组件控制或致动器系统进行建模。cft包括与系统的组件关联的多个元素。cft进一步包括在该多个元素中的各元素之间的多个相互连接。相互连接是与在系统的组件之间的功能依赖性关联的。方法进一步包括向元素中的至少一些分配与系统的相应的组件的失灵关联的操作失效事件。方法进一步包括向元素中的至少一些分配与关联于系统的相应的组件的诊断测量的失灵相关联的诊断失效事件。方法进一步包括将操作失效事件与诊断失效事件进行关联，并且取决于操作失效事件与诊断失效事件的所述关联，标识系统的多个失效状态中的休眠系统失效状态和非休眠系统失效状态。

一种方法包括使用故障树（ft）来对控制或致动器系统进行建模。方法进一步包括定义与系统的失灵关联的操作失效事件。方法进一步包括定义与系统的诊断测量的失灵关联的诊断失效事件。方法进一步包括将操作失效事件与诊断失效事件进行关联，并且取决于所述关联，标识系统的多个系统失效状态中的休眠系统失效状态和非休眠系统失效状态。

一种设备包括至少一个处理器。该至少一个处理器被配置为执行方法。方法包括使用故障树（ft）来对控制或致动器系统进行建模。方法进一步包括定义与系统的失灵关联的操作失效事件。方法进一步包括定义与系统的诊断测量的失灵关联的诊断失效事件。方法进一步包括将操作失效事件与诊断失效事件进行关联，并且取决于所述关联，标识系统的多个系统失效状态中的休眠系统失效状态和非休眠系统失效状态。

一种计算机程序产品包括可以由至少一个处理器执行的程序代码。由该至少一个处理器执行程序代码可以引起该至少一个处理器执行方法。方法包括使用故障树（ft）来对控制或致动器系统进行建模。方法进一步包括定义与系统的失灵关联的操作失效事件。方法进一步包括定义与系统的诊断测量的失灵关联的诊断失效事件。方法进一步包括将操作失效事件与诊断失效事件进行关联，并且取决于所述关联，标识系统的多个系统失效状态中的休眠系统失效状态和非休眠系统失效状态。

一种计算机程序包括可以由至少一个处理器执行的程序代码。由该至少一个处理器执行程序代码可以引起该至少一个处理器执行方法。方法包括使用故障树（ft）来对控制或致动器系统进行建模。方法进一步包括定义与系统的失灵关联的操作失效事件。方法进一步包括定义与系统的诊断测量的失灵关联的诊断失效事件。方法进一步包括将操作失效事件与诊断失效事件进行关联，并且取决于所述关联，标识系统的多个系统失效状态中的休眠系统失效状态和非休眠系统失效状态。

要理解的是，在不脱离本发明的范围的情况下，以上提及的特征以及下面还有待解释的特征不仅可以在所指示的相应的组合中使用，而且还可以在其它的组合中或者孤立地使用。在其它实施例中，可以将以上提及的方面和实施例的特征彼此组合。

附图说明

图1示意性地图示了根据各种示例的ft。

图2示意性地图示了根据各种示例的cft。

图3示意性地图示了根据各种示例的多组件系统。

图4示意性地图示了根据各种示例的图3中的多组件系统的cft。

图5示意性地图示了根据各种示例的诊断失效事件。

图6示意性地图示了根据各种示例的设备。

图7是根据各种示例的方法的流程图。

图8示意性地图示了根据各种示例的cft。

具体实施方式

在后文中，将参照随附的附图对本发明的实施例进行详细的描述。要理解的是，随后的实施例的描述不该被以限制性的意思来理解。并不意图由此后所描述的实施例或者由仅仅是为说明而取得的附图对本发明的范围进行限制。

附图被认为是示意性的表示并且在附图中所图示的元素并不一定是按比例示出的。更确切地说，各种元素被表示以使得它们的功能和一般目的对于本领域技术人员变得明显。还可以由间接的连接或耦合实现在附图中示出的或者在此描述的功能块、设备、组件或其它物理或功能单元之间的任何连接或耦合。在组件之间的耦合还可以是经无线连接而建立的。功能块可以是以硬件、固件、软件或其组合来实现的。

此后描述用于安全保证的技术。诸如致动器和控制系统的多组件系统的安全保证帮助增加在操作这样的系统中的安全性。

此后描述可靠地检测在安全关键系统中的休眠系统失效状态（有时也被称为休眠系统失效状态）的技术。如以上所解释的那样，休眠失效状态对应于要求标识特定的诊断行动的系统的失效。休眠系统失效状态是对于操作和维护人员非立即明显的失效。例如在国际标准iso14224（2006-12-15）；c.6章节中描述了休眠系统失效状态。

一般而言，在此描述的技术可以在各种种类和类型的安全关键系统中获得应用。例如，在此描述的技术可以在多组件控制或致动器系统中获得应用。这样的控制或致动器系统可以为某些机器提供控制功能或激活功能。多组件安全关键系统的一些元件可以被实现为硬件而一些组件可以可替换地或附加地使用软件来实现。可能的是，针对其采用了检测休眠系统失效状态的技术的安全关键系统包括提供用于致动或者控制一个或多个机器的致动器力或控制信号的输出。可以得益于在此描述的标识休眠系统失效状态的技术的安全关键系统的特定示例包括但是不限制于：包括诸如晶体管、线圈、电容器、电阻器等的有源和/或无源电子组件的电子电路；用于诸如火车或客车或飞机的运载工具的动力传动系统；包括传送带、机器人、活动部分、控制区段、用于检查制造的商品的测试区段（后端测试）的组装线；诸如包括磁共振成像或计算机断层摄影的成像系统的医疗系统、粒子治疗系统；发电厂；等。

在在此描述的各种示例中，可以基于从安全保证中得到的信息来操作这样的系统。例如，如果标识了休眠系统失效状态，则然后或许有可能定义诊断测量以公开另外的休眠系统失效状态，以及随后依照附加地定义的诊断测量来操作系统。

虽然一般而言可能的是使用常规的ft，但是检测休眠系统失效状态的技术的各种实现可以依赖于使用cft来对系统进行建模。虽然一般而言还可以采用ft，但是为了简单的目的，此后各种示例是在cft的情境中描述的。

例如在kaiser，b.,liggesmeyer,p.,mäckel，o.:anewcomponentconceptforfaulttrees中（在proceedingsofthe8^thaustralianworkshoponsafetycriticalsystemsandsoftware–volume33.pp.37-46.scs'03（2003）中）描述了cft。cft提供了一种用于fta的基于模型和组件的方法，该方法支持模块化的和组合式的安全分析策略。cft包括多个元素。元素与系统的组件关联。cft还包括在元素之间的多个相互连接。相互连接与在系统的组件之间的功能依赖性关联。这样的功能依赖性可以对控制信号的输入/输出或者力的传递进行建模。cft可以对系统的错误行为进行建模。系统的错误行为可以是使用层次分解的方法由cft建模的。这里，可以基于组件的单独的行为来预测系统的总体上的行为。换句话说，导致总体上的系统行为的因果链可以是通过组件的错误的因果链来建模的。cft可以包括在相邻的元素之间的布尔链接（有时也被称为门）以对贯穿系统的错误的传播（即相互连接）进行建模。cft可以使用示图来对系统进行建模；这里示图的节点可以对应于元素，并且示图的边可以对应于链接。

为了检测休眠系统失效状态，可以在对应于诊断测量的cft中提供基本事件。换句话说，可以提供对应于相应的诊断测量的失灵的诊断失效事件。为了在对应于组件失效（操作失效事件）的基本事件和诊断失效事件之间进行区别，可以在簿记中或者在构造cft示图时使用专门的旗标或类型命名符。

为了标识休眠系统失效状态，可能的是对cft进行分析。特别地可能的是分析各种操作失效事件的错误传播路径。例如，可以执行在操作失效事件和所提供的诊断失效事件的错误传播路径之间的比较：这里，可以核查是否至少一个诊断失效事件是沿着错误传播路径定位的。这可以对应于将操作失效事件与诊断失效事件进行关联的一个示例。通过将操作失效事件与诊断失效事件进行关联，可能的是标识如下这样的操作失效事件：这样的操作失效事件具有未由系统的至少一个诊断测量公开的错误传播路径。由此，可以标识休眠系统失效状态。

在一些示例中，对cft进行分析可以包括最小割集（mcs）分析（mca）。mca包括确定用于各种系统失效状态的mcs。系统失效状态的mcs是使用不能被进一步减少的合取项的析取的树的表示。换句话说，系统失效状态的mcs包括对ft或cft进行建模的示图的所有这样的节点，该ft或cft必须被触发到失效状态以使得与系统失效状态关联的顶端事件也被触发到失效状态。在不改变顶端事件的触发状态的情况下，mcs的进一步的减少是不可能的。因此，系统失效状态的mcs标识对于观察系统失效状态来说必不可少的所有事件。例如在vesely,williame.,etal.fthandbook.no.nureg-0492.nuclearregulatorycommussionwashingtondc,1981;sectionvii-15,4"determiningtheminimalcutsetsorminimalpathssetsofaft"中描述了mcs分析。在de102015213581a1中公开了使用mcs分析来对系统进行建模的示例性技术。

系统失效状态t的mcs分析的输出（即，mcs）被定义为如下：

其中每个割集（cs）造成顶端事件的发生，即触发相应的系统失效状态。此外，如果cs的所有的基础事件bi被触发，则令

csi(t)=b1∧…∧bn，其中bib

为引起顶端事件t发生的cs。在cs中的元素的数量被称作cs的阶数。

通过检测休眠系统失效状态，可能的是例如以自动的方式避免有危险的情形。通过检测休眠系统失效状态，成为可能的是例如通过提供附加的诊断测量来修改系统设计以使得休眠系统失效状态不再是休眠的而是相反可以由一个或多个附加的诊断测量检测到。在一些示例中，可能的是以自动的方式（例如使用优化）来确定又一个附加的诊断测量。这里，可以确定又一个诊断测量的定位和/或记述（account）。其可以是用以限制诊断测量的计数的优化准则。

图1图示了关于ft101的各方面。例如在vesely,w.e.,goldberg,f.f.,roberts,n.h.,haasl,d.f.:"fthandbook"usnuclearregulatorycommission(1981)中描述了ft101的概念的细节。ft101可以被用于对在此描述的各种示例中的系统的失效行为进行建模。因此ft可以促进安全保证。可以使用失效行为以便测试系统是否可以安全地操作。可以使用失效行为以便标识系统的设计的缺点。

ft101是由包括节点（在图1中由几何形状图示）和边（在图1中由在几何形状之间的线图示）的示图表示的。

如在图1中所图示的那样，ft101包括由相应的节点建模的基础事件111、112。基础事件可以对应于操作失效事件。操作失效事件可以对应于由ft101建模的系统的操作的一些缺陷。例如，操作失效事件可以对应于诸如电阻器或开关的电子组件的失灵。例如，操作失效事件可以对应于诸如泄压阀等的阀的失灵。例如，操作失效事件可以对应于冷却系统的失灵。存在由操作失效事件建模的失灵的种类和类型的许多可能性；给定的示例仅仅是说明性的示例，并且可想象到各种各样的不同种类和类型的操作失效事件。

ft101还包括输入端口113、114。输入端口113、114可以接收来自一个或多个进一步的节点（未在图1中图示）的失效状态。

ft101还包括布尔运算符115、116。布尔运算符115被实现为操作失效事件111和输入端口113的状态的逻辑或（or）组合；而布尔运算符116被实现为操作失效事件112和输入端口114的状态的逻辑与（and）组合。除了and和or运算之外，诸如nand或xor的其它的运算是可能的。

因此，基于ft101，可能的是对失效事件的（例如操作失效事件111和112的）错误传播路径进行建模。特别地，可以核查失效事件的错误传播路径是否影响一个或多个顶端端口117、118的状态。

在图1中，ft101是独立于系统的各种组件而定义的。在其它示例中，可能的是定义如下的ft：其中ft的单独的元素和相互连接被与经建模的系统的一个或多个组件关联（即，以使用cft）。在图2中图示了这样的cft。

图2图示了关于cft102的各方面。cft102—以与ft101可比较的方式—是由包括节点（在图2中由几何形状图示）和边（在图1中由在几何形状之间的线图示）的示图表示的。

再者，cft包括操作失效事件111，输入端口113、113a，布尔运算符115、116和顶端端口117、118、118a。在图2的示例中，整个cft102是与单个元素130关联的；元素130对应于系统的组件。因此，提供了在一方面侧实现cft102的示图中的不同的节点和相互连接与在系统的各种组件（虽然一般可以由多个元素对多个组件进行建模，但是在图2中，为了简单的目的，元素130仅仅表示单个组件）之间的映射。

在一方面侧实现cft102的示图的不同的节点和相互连接与另一方面侧的系统的各种组件之间的这样的映射使得能够对与系统的组件关联的内部操作失效状态进行建模并且在组件级别上贯穿系统对操作失效状态的错误传播路径进行分析。这促进预测系统的某些组件是否将被系统失效状态影响。一般而言，cft使得能够将特定的顶端事件与其中失效可能出现的对应端口进行关联。例如，在图2中，与顶端端口117关联的操作失效事件将在系统级别上出现在端口118a处。这促进了安全分析模型的增加的可维护性。

一般而言，cft102可以被变换为经典的ft101，并且反之亦然。这可以是通过移除各种元素130以及诸如在图2的示例中的顶端端口118a和输入端口113a的任何复制的端口做到的。

图3图示了关于多组件控制或致动器系统230的各方面。在图3的示例中，系统230包括采用开关或继电器的形式的多个组件231至233。另外，所图示的是用于开关231至233的致动器231-1，232-1，233-1和开关元件231-2，232-2，233-2。开关231至233是以级联方式布置的，以使得例如在闭合开关元件231-2时开关232被致动。例如，开关231至233可以由晶体管或继电器实现。开关231、232通常可以是打开的；而开关233通常可以是闭合的。图3是系统230的电路图。

由于开关231至233的级联布置，所以例如开关232的失效也将影响开关233的操作。

图4图示了关于cft102的各方面。特别地，图4图示了对根据图3的系统230进行建模的cft102。cft102包括对应于组件231至233（即，在图3和图4的示例中的开关）的元素131至133。每个元素131至133具有输入端口113和顶端端口117。更进一步地，每个元素131至133与操作失效事件111关联。操作失效事件111对应于相应的组件231至233的失灵。

系统失效状态以进行参与的操作失效事件和所关联的错误传播路径为特征。例如，不同的系统失效状态可以与不同的顶端事件关联：顶端事件118a可以对应于多个系统失效状态中的给定的系统失效状态。在图4的示例中，顶端事件118a的系统失效状态可以是由元素131至133的操作失效事件111中的任何一个触发的。为了示例性的目的，在图4中图示了与元素131的操作失效事件111关联的错误传播路径170（在图4中的短划线）。

在一些示例中，可以基于系统230的电路图自动地生成cft102。一般而言，电路图包括相互连接的电气组件（诸如在图3的示例中的开关231至233）。并且因此，可能的是自动地提取信息来创建cft102以适当地对系统230进行建模。在zeller,m.,höfig,k.:insider:"incorporationofsystemandsafetyanalysismodelsusingadedicatedreferencemodel."2016annualreliabilityandmaintainabilitysymposium(rams)(2016)pp.1-6中描述了借助cft102对系统230进行建模的示例技术。由此，针对系统230的每个组件/开关231至233，在cft102中创建了元素131至133。cft102的相互连接遵循电路图的电气轨迹。参见möhrle,f.,zeller,m.,hfig,k.,rothfelder,m.,liggesmeyer,p.:"automatingcompositionalsafetyanalysisusingafailuretypetaxonomyforcfts."walls,l.,revie,m.,bedford,t.(eds.)risk,reliabilityandsafety:innovatingtheoryandpractice:proceedingsofesrel2016.pp.1380-1387(2016)。由此，可以完全自动地确定cft102，例如如果针对在系统230内的每种类型的电子组件预定义了元素131至133的话。

根据示例，可能的是向cft的元素中的至少一些分配诊断失效事件。诊断失效事件与系统的相应的组件关联并且对能够检测组件的失灵的诊断测量的失灵进行建模。换句话说，诊断失效事件可以对能够检测相应的组件的操作失效事件的诊断测量的失灵进行建模。

图5图示了关于诊断失效事件119的各方面。诊断失效事件119被分配给cft102的元素130（在图5中，为了简单的目的，省略了cft102的在元素130以外的进一步的细节）。

在图5的示例中，诊断失效事件119被布置在与操作失效事件111相同的层级的级别上，该操作失效事件111与由元素130建模的系统的组件的失灵关联。布尔and运算符151将操作失效事件111与诊断失效事件119的状态进行组合。然后，布尔or运算符152将布尔or运算符151的输出与输入端口113的状态进行组合。因此，如果（i）输入端口113指示系统错误状态，和/或（ii）如果失效事件111、119两者被触发，则顶端端口117指示系统错误状态。

在图5的示例中，由诊断失效事件119建模的诊断测量不能够检测具有沿着输入端口113的传播路径的系统失效状态。然而在其它示例中，将可能的是，由相应的诊断失效事件建模的诊断测量能够检测具有沿着输入端口113的传播路径的这样的系统失效状态。这里，可以采用布尔and运算符用于将相应的操作失效事件和输入端口113的状态进行组合。

如将从图2至图5的描述中领会到的那样，可能的是使用包括多个元素和在元素之间的多个相互连接的cft来对控制器或致动器系统进行建模。操作失效事件可以被分配给该多个元素中的至少一些元素。操作失效事件被与系统的相应的组件的失灵关联。进一步地，与关联于系统的相应的组件的诊断测量的失灵相关联的诊断失效事件被分配给该多个元素中的至少一些元素。基于具有这样的结构的cft，于是可能的是可靠地检测包括休眠系统失效状态和非休眠系统失效状态的系统失效状态。为此，并且可以采用经适当地配置的设备。

图6图示了关于设备501的各方面。设备501包括人机接口（hmi）502。例如，hmi可以被配置为接收来自用户的信息和/或向用户输出信息。例如，hmi可以包括以下中的一个或多个：键盘；鼠标；扬声器；声音控制；监控器等。hmi502是可选的。

设备501进一步包括处理器503，例如多核处理器。处理器503被配置为接收来自存储器504（例如非易失性存储器）的程序代码。处理器503被配置为执行程序代码。执行程序代码可以引起处理器503执行如在此描述的技术，例如关于：使用ft（例如cft）来对多组件控制或致动器系统进行建模；向诸如cft的ft的某些定位或元素分配操作失效事件和/或诊断失效事件；将操作失效事件与诊断失效事件进行关联以标识休眠系统失效状态和非休眠系统失效状态；执行诸如cft的ft的mca；通过诸如cft的ft来确定系统失效状态的错误传播路径等。

设备501进一步包括接口505。例如，可以经由接口505输出控制数据。例如，或许可能的是，借助控制数据来控制多组件控制或致动器系统的操作，该控制数据是经由接口505传输的。接口505是可选的。

图7是根据各种示例的方法的流程图。例如，根据图7的流程图的方法可以由设备501的处理器503执行。

在方框1001中，系统—诸如多组件控制或致动器系统或者包括硬件和/或软件组件的另外的类型的系统—是使用诸如cft的ft而建模的。诸如cft的ft可以是由包括节点和边的示图定义的。节点中的一些可以对应于诸如cft的ft的基本事件。

特别是，在方框1002中，与系统的一个或多个组件的失灵关联的操作失效事件是在诸如cft的ft内定义的。这可以包括向cft的多个元素中的至少一些元素分配操作失效事件。

在方框1003中，定义了与诊断测量的失灵关联的诊断失效事件。例如，诊断测量可以与系统的相应的组件关联。像这样，方框1003可以包括向cft的多个元素中的至少一些元素分配诊断失效事件。

然后，在方框1004中，将操作失效事件与诊断失效事件进行关联。这允许在方框1005中基于所述关联来标识休眠系统失效状态。

操作失效事件与诊断失效事件的关联可以包括对各种操作失效事件的错误传播路径进行分析。给定的操作失效事件的错误传播路径可以与顶端事件关联，顶端事件进而是用于相应的系统失效状态的特性。通过对给定的操作失效事件的错误传播路径进行分析（例如，一直到对应的顶端事件），可以核查是否存在适合用于检测相应的系统失效状态的至少一个诊断测量；取决于这样的核查，可能的是对休眠系统失效状态和非休眠系统失效状态进行区别。例如，可以核查一个或多个诊断失效事件是否是沿着给定的操作失效事件的错误传播路径而定位的。在肯定的情况下，因为相应的系统失效状态通常可以由与位于沿着错误传播路径的该一个或多个诊断失效事件关联的诊断测量检测到，所以可以判断相应的系统失效状态不是休眠的。这里，相应的诊断测量的失灵的可能性——即在失效状态中诊断失效事件触发的可能性——是比较低的以使得可以假定系统失效状态可以被可靠地公开。

通过考虑mca可以促进这样的分析。特别是，在方框1004中的关联可以基于cft的mca。有时，可以针对所有的系统失效状态（即，针对所有的顶端事件）确定mcs；有时，可以选择（例如手动地）经受mcs分析的顶端事件主体的子集。

cft的每个基本事件，或者表示系统的相应的组件的失灵，即是操作失效事件，或者表示与相应的组件关联的诊断测量的失灵，即是诊断失效事件。因此，从不包括任何诊断失效事件的mca获得的每个割集（cs）表示如下的休眠系统失效状态：该休眠系统失效状态触发顶端事件，而没有借助适当的诊断测量进行检测的可能性。因此，将可能的是确定每个系统失效状态的mcs并且确定包括在mcs中的一定数量的诊断失效事件。然后，基于包括在相应的mcs中的所确定的数量的诊断失效事件，可能的是将相应的系统失效状态标识为休眠系统失效状态或者标识为非休眠系统失效状态。再者，当将所关联的系统失效状态标注为休眠或非休眠时，可以或者可以不考虑由在mcs中的诊断失效事件建模的一个或多个诊断行动的失效的可能性。例如，具有至少一个或至少两个或至少三个诊断失效事件的所有的mcs可以定义非休眠系统失效状态。

尤其是具有阶次等于1并且仅仅包含单个操作失效事件的cs应被更严密地调查。这是因为具有阶次等于1的这样的cs与失效的单个点类似。这里，应当注意的是，被使用用于将诊断失效事件与操作失效事件的状态组合的布尔and运算符（参见图5）造成包括必定具有阶次为二（或更高）的至少一个诊断失效事件的cs。另外，在诸如电路的系统中所引入的冗余机制—在cft/ft中典型地由and门表示—导致具有阶次为2或更高的cs。在冗余是由布尔and运算符表示的情况下，因此连接的冗余部分必须失效以便传播失效。因为与在没有and布尔运算符的情况下所表示的单个部分相比较，and布尔运算符增加割集的阶次，所以这造成具有更高阶次的cs。

在此描述的各种技术基于以下的发现：不要求多组件系统中的每个组件都配备有诊断测量以便避免休眠系统失效状态。例如，在电路的情况下，不要求具有失灵的可能并且因此与在相应的cft中的操作失效事件关联的每个电气组件具有专用的诊断测量。例如，如果该组开关是用线串联的（参见图3和图4），则如果该系列中的最后的开关配备有诊断测量以便公开在链中的所有操作失效事件的错误传播路径并且由此防止休眠系统失效状态的话就足够了。换句话说，基于操作失效事件与诊断失效事件的关联—例如，通过核查各种系统失效状态的错误传播路径，从而以下成为可能：标识与相同的非休眠系统失效状态关联的系统的冗余诊断测量。然后，将可能的是通过移除对应的诊断测量来简化系统。在一些示例中，这可以是通过使用mca确定相应的系统失效状态的mcs并且确定包括在mcs中的一定数量的诊断失效事件而实现的。基于包括在相应的mcs中的所确定的数量的诊断失效事件，然后可能的是标识与相同的系统失效状态关联的系统的冗余诊断测量。例如，mcs包括多个诊断失效事件，可以判断至少一些的这些诊断失效事件是冗余的，以使得所关联的诊断测量可以被从系统移除。

因此，另一方面，可能的是确定用于要被添加到系统的一个或多个进一步的诊断测量的候选定位。候选定位可以是沿着另外的休眠系统失效状态的错误传播路径定位的。这里，将可能的是候选定位是使用优化来确定的。该一个或多个进一步的诊断测量的计数可以被认为是所述优化的优化准则。例如，可能存在使得不含糊地检测另外的休眠系统失效状态所要求的该一个或多个进一步的诊断测量的计数最小化的趋势。换句话说，可能的是，该组诊断测量是基于cft而优化的，该cft还包括相应的诊断失效事件并且由此对各种系统失效状态的错误传播路径进行建模。

图8示意性地图示了关于cft102的各方面。图8中的示例的cft102对根据图3中的示例的电子系统230进行建模。图8进一步示意性地图示了关于与组件233关联的专用的进一步的诊断测量的各方面，并且因此相应的诊断失效事件119被包括在元素133中。

在不包括附加的诊断失效事件119的情况下，与顶端事件118a的系统失效状态关联的mcs是由以下给出的：

其中三个cs的总共的数量：

这里，cs131对应于与正常打开的开关231关联的元素131的操作失效事件111；cs132对应于与正常打开的开关232关联的元素132的操作失效事件111；并且cs133对应于与正常闭合的开关233关联的元素133的操作失效事件111。

这些cs中的每个作为阶次为1。因此，在没有与诊断失效事件119关联的诊断测量的情况下，因为在相应的cs中不包括诊断失效事件，所以cs中的每个造成休眠系统失效状态。

因此，所关联的顶端事件118a是潜在地有危险的。可以借助优化或者另外的适当的算法来实现提供适当的诊断测量。例如，针对组件231至233中的每一个组件提供相应的诊断测量将创建冗余。基于mcs分析的结果以及关于底层系统230的结构的信息，可能的是如以下那样根据系统230的架构（即，根据组件在系统中的布置）来安排cs：

。

如在图8中图示的那样，由于系统230的串联的架构，所以仅要求提供关于该系列中的最后的组件233的诊断测量。对应的诊断测量可以揭示与元素131至133的操作失效事件111关联的所有错误传播路径。这是由诊断失效事件119和布尔and运算符151实现的。

总结上文，已经描述了使得能够标识在诸如多组件控制器致动器系统的系统中的休眠系统失效状态的技术。一般而言，可以使用ft或者cft由依赖性示图建模的任何系统可以经受在此描述的技术。可以可靠地标识休眠系统失效状态。

根据示例，技术依赖cft。这里，可以基于关于系统的架构的知识自动地生成cft，特别是如果系统是包括多个电子组件的电子电路的话。这样的方法提供了每当系统被修改时重复分析cft的可能性。因此，根据参考技术的对系统进行评估以标识休眠系统失效状态的手动的费时的并且容易出错的任务可以被自动地实现，由此降低了由于疏忽等的风险。

替换标识休眠系统失效状态或者除了标识休眠系统失效状态之外，还可能的是标识缺失的或者冗余的诊断测量。因为可能的是确定所要求的一组诊断测量结果以避免任何休眠系统失效状态，所以可以优化诊断测量的数量。

在此描述的技术可以进一步促进在系统中发生失效之后发现根本原因。这是可能的，因为分析的结果可以揭示由所关联的诊断测量公开的一组可能的操作失效事件。

虽然已经关于某些优选的实施例示出和描述了本发明，但是通过阅读和理解本说明书，本领域其它技术人员将想到等同物和修改。本发明包括所有这样的等同物和修改，并且仅仅是由所附的权利要求的范围限制的。

为了进行说明，虽然已经与cft相关地描述了以上各种示例，但是对于所描述的技术的运行而言，cft并不是有密切联系的。还可以使用普通的ft来实现各种示例。这里，可以不要求在不同的组件——某些诊断失效事件被与所述不同的组件关联——之间进行区别。更确切地说，取决于在所建模的系统中的诊断失效事件的逻辑布置，该诊断失效事件可以被嵌入到ft的架构中。