安全关键系统的制作方法
本发明涉及在安全关键系统中确保、增强和维持安全性的领域。
背景技术:
安全关键系统(诸如例如,核电站和民用飞行器)被设计为安全标准。安全标准可以例如由国家或国际监管机构、标准设定团体或者认证代理机构来设定。安全标准可以例如针对作为整体的行业、针对系统类别或者针对各个系统来定义。甚至在缺失正式安全标准的情况下,系统中的装备可以在安全规则被看作合期望的(例如为了保护生物多样性)时被设计为具有这种安全规则。
例如裂变反应堆必须以使得操作者能够控制其运转的方式而被设计和构建。如果有必要,这样的控制可以包括使反应堆在被指示时转变到受管理的空闲状态。这样的空闲状态可以包括下述状态,其中裂变反应是亚临界的并且从反应堆核心移除衰变热以防止其过热,所述过热原本可能毁坏反应堆的核心,潜在地导致放射性核素的释放。
另一方面,民用飞行器可能仅在即使当飞行器系统产生故障状况时该飞行器也可以可靠地飞行的情况下被安全地操作。例如,如果飞行计算机产生故障,飞行员必须能够继续向飞行器提供有意义的控制输出来使其继续安全飞行。
为了在安全关键系统中获得安全可操作性,被包括在这样的系统中的部件可以与安全状况相关联。例如,飞行计算机可以被制成冗余的,其中飞行器可以被装备有多个飞行计算机,每个飞行计算机单独地能够控制飞行。在该情况下,冗余是与飞行计算机相关联的安全状况。在飞行计算机之一中出现错误状况的情况下,飞行计算机中的另一个可以承担控制飞行的任务,而有错误的飞行计算机被设置为去激活状态。
在常规系统中,如果部件被替换以及该部件与安全状况相关联,则替换部件也变为与该安全状况相关联。这一点由于安全状况运转于部件级上而发生。在一些系统中,对部件进行替换可能被约束于在可能的最大程度上类似于被替换部分的替换部分。
技术实现要素:
本发明由独立权利要求的特征所限定。一些具体实施例在从属权利要求中限定。
根据本发明的第一方面,提供了一种方法,其包括:定义任务类别信息元素,所述任务类别信息元素与至少一个功能要求和至少一个设计原理相关联;将所述任务类别信息元素与至少一个架构定义信息元素相关联;将所述至少一个架构定义信息元素中的每个与至少一个系统级信息元素相关联;以及验证由所述至少一个架构定义信息元素和关联的系统级信息元素所描述的系统与所述至少一个设计原理相兼容。
第一方面的各种实施例可以包括来自以下无序列表的至少一个特征:
•每个系统级信息元素与至少一个装备信息元素相关联
•所述方法进一步包括定义第二任务类别信息元素,以及将所述第二任务类别信息元素与至少一个架构定义信息元素相关联
•所述至少一个功能要求被包括在以下列表中:反应率控制、核心冷却、放射性物质的限制、控制飞行、通信、预防性保护、反应堆保护、自动备份、手动备份、手动事故管理、手动事故管理的备份、安全停机
•所述至少一个架构定义信息元素中的至少一个被包括在以下列表中:功能架构定义信息元素、自动化架构定义信息元素、过程和电气架构定义信息元素、控制室架构定义信息元素以及布局架构定义信息元素
•所述至少一个系统级信息元素中的至少一个被包括在以下列表中:预防性保护系统信息元素、预防性致动和指示系统信息元素、安全注入系统信息元素、紧急电源系统信息元素、数字hmi系统信息元素以及自动备份系统信息元素
•所述方法进一步包括在数据库系统中储存所述任务类别信息元素、所述至少一个架构定义信息元素中的每个以及所述至少一个系统级信息元素中的每个
•被验证的系统包括核电站或飞行器
•所述方法至少部分地在所述数据库系统中执行。
根据本发明的第二方面,提供了一种方法,其包括:在数据库系统中记录信息元素中的第一改变,所述数据库系统储存任务类别信息元素、至少一个架构定义信息元素以及至少一个系统级信息元素;以及验证由所述至少一个架构定义信息元素和与所述至少一个架构定义信息元素相关联的系统级信息元素所描述的系统与至少一个设计原理相兼容,其中所述任务类别信息元素与至少一个功能要求和至少一个设计原理相关联。
所述第二方面的各种实施例可以包括来自以下无序列表的至少一个特征:
•所述数据库进一步包括至少一个装备信息元素
•所述任务类别信息元素与所述至少一个架构定义信息元素相关联并且所述至少一个架构定义信息元素中的每个与所述至少一个系统级信息元素中的每个相关联
•响应于指示所述系统不遵守所述至少一个设计原理的验证,所述方法包括在数据库系统中记录第二改变以及执行关于所述系统是否遵守所述至少一个设计原理的第二验证
•所述第二改变不修改与所述第一改变相同的信息元素
•所述至少一个架构定义信息元素中的至少一个被包括在以下列表中:功能架构定义信息元素、自动化架构定义信息元素、过程和电气架构定义信息元素、控制室架构定义信息元素以及布局架构定义信息元素
•所述至少一个系统级信息元素中的至少一个被包括在以下列表中:预防性保护系统信息元素、预防性致动和指示系统信息元素、安全注入系统信息元素、紧急电源系统信息元素、数字hmi系统信息元素以及自动备份系统信息元素
•所述至少一个设计原理包括以下各项中的至少一项:冗余、分集、分离、隔离、质量级别、可靠性级别、抗震资质以及环境状况资质
•所述至少一个功能要求被包括在以下列表中:反应率控制、核心冷却、放射性物质的限制、控制飞行、通信、预防性保护、反应堆保护、自动备份、手动备份、手动事故管理、手动事故管理的备份、安全停机。
根据本发明的第三方面,提供了一种数据库系统,其包括:任务类别数据库,其被配置成储存至少一个任务类别信息元素,每个任务类别信息元素与至少一个功能要求和至少一个设计原理相关联;架构数据库,其被配置成储存至少一个架构定义信息元素;系统数据库,其被配置成储存至少一个系统级信息元素,其中所述至少一个任务类别信息元素中的每个与至少一个架构定义信息元素相关联并且所述至少一个架构定义信息元素中的每个与至少一个系统级信息元素相关联。
所述第三方面的各种实施例可以包括来自以下无序列表的至少一个特征:
•装备数据库,其被配置成储存至少一个装备信息元素
•所述任务类别数据库经由第一数据库关系与所述架构数据库相对接,并且所述架构数据库经由第二数据关系与所述系统数据库相对接
•所述系统数据库经由第三数据库关系与所述装备数据库相对接
•所述至少一个架构定义信息元素中的至少一个被包括在以下列表中:功能架构定义信息元素、自动化架构定义信息元素、过程和电气架构定义信息元素、控制室架构定义信息元素以及布局架构定义信息元素
•所述至少一个系统级信息元素中的至少一个被包括在以下列表中:预防性保护系统信息元素、预防性致动和指示系统信息元素、安全注入系统信息元素、紧急电源系统信息元素、数字hmi系统信息元素以及自动备份系统信息元素
•所述至少一个设计原理包括以下各项中的至少一项:冗余、分集、分离、隔离、质量级别、可靠性级别、抗震资质以及环境状况资质
•所述至少一个功能要求被包括在以下列表中:核心冷却、控制飞行以及通信
•所述数据库系统储存序列信息元素,每个序列信息元素描述动作序列,每个序列信息元素与触发事件相关联并且每个序列信息元素与任务类别信息元素相关联。
根据本发明的第四方面,提供了一种计算机化的核电站监视系统,其包括:存储器,其被配置成储存包括任务类别数据库和装备数据库的数据库,所述任务类别数据库包括多个任务类别信息元素,所述多个任务类别信息元素包括安全功能信息元素和反应堆保护信息元素,每个任务类别信息元素与至少一个技术功能要求和至少一个技术设计原理相关联,每个技术设计原理被包括在技术设计原理列表中,所述技术设计原理列表包括冗余、分集、分离和隔离,每个功能要求被包括在功能要求列表中,所述功能要求列表包括反应率控制、核心冷却和安全停机,以及所述装备数据库被配置成储存至少一个装备信息元素;以及至少一个处理器,其被配置成:响应于在所述计算机化的监视系统中接收到涉及第一装备信息元素的故障通知,使用所述数据库来确定包括与经由数据库关系与所述第一装备信息元素相关联的每个任务类别信息元素相关联的每个技术设计原理的集合,以及基于被包括在所述集合中的每个技术设计原理来识别至少部分地补偿所述故障通知中的故障识别符的影响的动作的技术约束。
所述第四、第六或者第八方面的各种实施例可以包括来自以下无序列表的至少一个特征:
•所述至少一个处理器被配置成响应于包括技术设计原理冗余的集合来确定增加单元计数的约束
•所述至少一个处理器被配置成响应于包括技术设计原理分集的集合来确定动作原理的约束
•所述至少一个处理器被配置成响应于包括技术设计原理分离的集合来确定位置的约束
•所述至少一个处理器被配置成响应于包括技术设计原理隔离的集合来确定物理分离的约束
•所述至少一个处理器被进一步配置成提供所确定约束的指示。
根据本发明的第五方面,提供一种计算机化的核电站监视系统中的方法,其包括:储存包括任务类别数据库和装备数据库的数据库,所述任务类别数据库包括多个任务类别信息元素,所述多个任务类别信息元素包括安全功能信息元素和反应堆保护信息元素,每个任务类别信息元素与至少一个技术功能要求和至少一个技术设计原理相关联,每个技术设计原理被包括在技术设计原理列表中,所述技术设计原理列表包括冗余、分集、分离和隔离,每个功能要求被包括在功能要求列表中,所述功能要求列表包括反应率控制、核心冷却和安全停机,以及所述装备数据库被配置成储存至少一个装备信息元素;响应于在所述计算机化的监视系统中接收到涉及第一装备信息元素的故障通知,使用所述数据库来确定包括与经由数据库关系与所述第一装备信息元素相关联的每个任务类别信息元素相关联的每个技术设计原理的集合;以及基于被包括在所述集合中的每个技术设计原理来识别至少部分地补偿所述故障通知中的故障识别符的影响的技术约束。
根据本发明的第六方面,提供了一种计算机化的通信网络监视系统,其包括:存储器,其被配置成储存包括任务类别数据库和装备数据库的数据库,所述任务类别数据库包括多个任务类别信息元素,所述多个任务类别信息元素包括开关故障消除信息元素和隐私信息元素,每个任务类别信息元素与至少一个技术功能要求和至少一个技术设计原理相关联,每个技术设计原理被包括在技术设计原理列表中,所述技术设计原理列表包括冗余、分集、分离和隔离,每个功能要求被包括在功能要求列表中,所述功能要求列表包括订阅唯一性、数据加密、订户识别以及无线电资源管理,以及所述装备数据库被配置成储存至少一个装备信息元素;以及至少一个处理器,其被配置成:响应于在所述计算机化的监视系统中接收到涉及第一装备信息元素的故障通知,使用所述数据库来确定包括与经由数据库关系与所述第一装备信息元素相关联的每个任务类别信息元素相关联的每个技术设计原理的集合,以及基于被包括在所述集合中的每个技术设计原理来识别至少部分地补偿所述故障通知中的故障识别符的影响的技术约束。
根据本发明的第七方面,提供了一种计算机化的通信网络监视系统中的方法,其包括:储存包括任务类别数据库和装备数据库的数据库,所述任务类别数据库包括多个任务类别信息元素,所述多个任务类别信息元素包括开关故障消除信息元素和隐私信息元素,每个任务类别信息元素与至少一个技术功能要求和至少一个技术设计原理相关联,每个技术设计原理被包括在技术设计原理列表中,所述技术设计原理列表包括冗余、分集、分离和隔离,每个功能要求被包括在功能要求列表中,所述功能要求列表包括订阅唯一性、数据加密、订户识别以及无线电资源管理,以及所述装备数据库被配置成储存至少一个装备信息元素;响应于在所述计算机化的监视系统中接收到涉及第一装备信息元素的故障通知,使用所述数据库来确定包括与经由数据库关系与所述第一装备信息元素相关联的每个任务类别信息元素相关联的每个技术设计原理的集合;以及基于被包括在所述集合中的每个技术设计原理来识别至少部分地补偿所述故障通知中的故障识别符的影响的技术约束。
根据本发明的第八方面,提供了一种计算机化的配电网络监视系统,其包括:存储器,其被配置成储存包括任务类别数据库和装备数据库的数据库,所述任务类别数据库包括多个任务类别信息元素,所述多个任务类别信息元素包括频率控制信息元素和安全设施信息元素,每个任务类别信息元素与至少一个技术功能要求和至少一个技术设计原理相关联,每个技术设计原理被包括在技术设计原理列表中,所述技术设计原理列表包括冗余、分集、分离和隔离,每个功能要求被包括在功能要求列表中,所述功能要求列表包括生产斜升、需求斜升和电气隔离,以及所述装备数据库被配置成储存至少一个装备信息元素;以及至少一个处理器,其被配置成:响应于在所述计算机化的监视系统中接收到涉及第一装备信息元素的故障通知,使用所述数据库来确定包括与经由数据库关系与所述第一装备信息元素相关联的每个任务类别信息元素相关联的每个技术设计原理的集合,以及基于被包括在所述集合中的每个技术设计原理来识别至少部分地补偿所述故障通知中的故障识别符的影响的技术约束。
根据本发明的第九方面,提供了一种配电网络监视系统中的方法,其包括:储存包括任务类别数据库和装备数据库的数据库,所述任务类别数据库包括多个任务类别信息元素,所述多个任务类别信息元素包括频率控制信息元素和安全设施信息元素,每个任务类别信息元素与至少一个技术功能要求和至少一个技术设计原理相关联,每个技术设计原理被包括在技术设计原理列表中,所述技术设计原理列表包括冗余、分集、分离和隔离,每个功能要求被包括在功能要求列表中,所述功能要求列表包括生产斜升、需求斜升和电气隔离,以及所述装备数据库被配置成储存至少一个装备信息元素;响应于在所述计算机化的监视系统中接收到涉及第一装备信息元素的故障通知,使用所述数据库来确定包括与经由数据库关系与所述第一装备信息元素相关联的每个任务类别信息元素相关联的每个技术设计原理的集合;以及基于被包括在所述集合中的每个技术设计原理来识别至少部分地补偿所述故障通知中的故障识别符的影响的技术约束。
根据本发明的第十方面,提供了用以促使根据第二、第五、第七或第九方面的方法被执行的计算机程序。
工业适用性
本发明的至少一些实施例在对安全关键系统(诸如核能发电系统和/或飞行器系统)进行优化方面发现了应用。合适的系统的进一步示例包括通信网络和配电网络。
附图说明
图1图示了能够支持本发明的至少一些实施例的示例系统。
图2图示了根据本发明的至少一些实施例的示例数据库层级结构。
图3图示了能够支持本发明的至少一些实施例的示例装置。
图4图示了根据本发明的至少一些实施例的示例数据库结构。
图5是根据本发明的至少一些实施例的第一方法的第一流程图。
图6是根据本发明的至少一些实施例的第二方法的第二流程图,以及
图7图示了根据本发明的至少一些实施例的示例设计验证。
具体实施方式
通过将设计原理分配到功能要求,可以获得安全关键系统的更有效的实现和维护。在将设计原理(诸如冗余或分集)分配到各个装备而不是更高级别的功能要求的情况下,可能出现安全级别的过度实现或退化和/或可能通过装备特定的要求来更加约束对现有安全关键系统进行改装。通过向功能任务类别而不是各个装备分配设计原理,使得能够实现更灵活的实施方式。
图1图示了能够支持本发明的至少一些实施例的示例系统。图1的系统是操作基于裂变的反应堆的核电站,但是在本发明的其他实施例中,可以预想到其他种类的系统。图1的系统包括建筑物100,其容纳反应堆110。建筑物100被布置为从源300抽取用于冷却的水,所述源300可以例如包括海洋、湖泊、河流或冷却水的其他稳定源。图1的系统进一步包括建筑物200,其容纳了未被容纳在建筑物100中的系统。
核电站可以包括大量的系统,图1中图示了这些系统的子集以用于图示本发明所依据的原理的目的。包括在安全关键系统中的系统可以体现至少一个设计原理(诸如例如安全相关设计原理)。设计原理的示例包括冗余、分集、分离、隔离、质量级别、可靠性级别、抗震资质以及环境状况资质。
系统120a(其可以包括例如泵系统)具有冗余系统120b。换言之,系统120a和系统120b是相似的并且能够执行相似的任务。系统120a或系统120b中的任一个可以单独能够执行其任务。系统120a和120b可以被配置成在相同或相似的动作原理上进行操作。通常,在相似的冗余系统或装备被提供用于给出的系统或装备的情况,该系统或装备被称为体现了冗余。体现冗余的系统比无冗余的系统更加可靠,因为体现冗余的系统可以在一个系统产生错误的情况下继续操作,因为有错误的系统(例如系统120a)可以被关闭并且可以将任务分配给冗余系统(例如系统120b)。
系统130a(其可以包括例如安全系统)具有硬接线备份分集系统130b。换言之,系统130a和系统130b能够执行相似的任务。系统130a或系统130b中的任一个可以单独能够执行其任务。系统130a和130b被配置成在不同的动作原理上进行操作。由于系统130a和130b被配置成使用不同的动作原理进行操作,因此它们不太可能作为对异常操作状况的响应而同时出现故障。例如,在这些系统包括安全系统的情况下,他们可以基于具有相同的总体功能规范的不同物理过程。换言之,可以为系统130a和系统130b独立地开发设计。这种独立的开发可以例如包括使用不同的设计团队、分包商、材料和/或动作原理。因此,如果系统130a在图1的核电站的某种异常操作状况中遇到了错误,则系统130b在相同的操作状况中遇到错误是不太可能的。在该情况下,可以将责任从系统130a重新分配到系统130b,以获得发电站的不中断且安全的操作。
通常,在系统或装备体现分集的情况下,该系统或装备可以被看成包括多于一个的子系统,所述子系统被配置成在不同原理上进行操作并且每个子系统能够执行系统或装备的任务。在本文中术语“系统”可以一般用于指代装备、系统、架构或设施。
系统140a(其可以包括例如控制系统)具有分集系统140b。系统140a和系统140b能够执行相似任务。系统140a或系统140b中的任一个可以单独能够执行其任务。系统140b(其可以基于与系统140a相同或不同的原理进行操作)被容纳在建筑物200中,而系统140a被容纳在建筑物100中。系统被容纳在不同建筑物中,或者更一般地彼此分离,意味着系统体现分离设计原理。彼此分离地放置系统增加了包括系统140a和系统140b的聚合系统的可靠性,因为影响比如说建筑物200的问题可能离开了建筑物100并且容纳于建筑物100中的系统不受影响。作为对物理分离的附加或替换,系统可以在电气上和/或在功能上进行分离。分离中的意图总体上是为了避免来自从系统到其备份系统或者来自一个任务类别到另一个任务类别的进展的故障。例如,电气分离可以通过不将被分离的系统彼此电气地连接,或者通过合适地筛选布置在系统之间的电气连接来实现。合适筛选的示例包括过电压保护、电流保护和光纤滤波器。
在系统140a和系统140b是基于相同或者相似操作原理的情况下,包括系统140a和系统140b的系统可以被视为体现了分离和冗余。在系统140a和系统140b是基于不同操作原理的情况,包括系统140a和系统140b的系统可以被视为体现了分离和分集。
体现设计原理隔离的系统可以包括一种系统,其中将包括装备(被包括在系统中)的系统与其周围环境隔离。例如,布置在反应堆安全壳(containmentvessel)和/或硬化建筑物内部提供了隔离。可以以各种方式来定义隔离,例如能够承受客机冲击的能力和/或能够包含融化的反应堆核心的能力。在进一步的设计原理当中,质量级别可以包括体现设计原理的系统满足标准化质量级别。进一步的,可靠性级别、抗震资质级别和环境状况资质是可以由包括在安全关键系统中的系统体现的设计原理的示例。
当设计、维护或者改装安全关键系统时,将设计原理与功能要求相关联可能是有利的。这种关联可以在任务类别中发生,所述任务类别可以包括数据库结构(诸如信息元素),其既包括功能性要求又包括至少一个设计原理或者与这两者相关联。所述任务类别可以与设计的在层级上较低的级别以下述方式相关联,所述方式使得与任务类别相关联的设计原理由执行与任务类别相关联的功能要求的聚合系统来体现。与任务类别相关联的功能要求可以被简称为任务类别的功能要求。至少在一些实施例中,任务类别信息元素不定义结构但是直接地或间接地与确实定义结构的信息元素相关联。定义结构的信息元素类型的示例包括架构定义信息元素和系统级信息元素。
当设计原理与任务类别相关联时,实现系统来执行任务类别的功能要求变得更加灵活,允许可能导致更简单和更安全的更加智能的实现方式。要求系统中的每个系统和装备分离地执行遵守设计原理的功能要求是更严格的模型,其中装备可能被过度地复制。例如,在装备(诸如例如泵)被包括在执行任务类别的功能要求的系统中的情况下,该装备可能被分配系统中的另一个角色,该另一个角色执行另一个任务类别的功能要求。例如,所述泵可以关于多于一个系统或任务类别来体现分集。通常,系统可以关于多于一个系统和/或任务类别来体现设计原理。
在复杂系统中(诸如核电站或飞行器),系统和装备的数目可能非常大。为了使得能够使用任务类别和相关联的设计原理,可以采用数据库系统。通过数据库系统,本文所意指的是被配置成储存数据库的物理系统,通过所述物理系统所进而意指的是信息元素的经组织的存储或集合,其可以经由关联和/或数据库关系在数据库系统内互相关。数据库系统可以使用合适的系统(诸如例如计算机系统)以及合适的磁性存储器、固态存储器、全息存储器或其他种类的存储器。这样的数据库在图1中被图示为数据库150。在数据库中,功能要求和设计原理可以采取信息元素的形式。通信网络可以被视为安全关键系统的另外的示例,因为通信网络可以用来传送关键信息(诸如紧急电话呼叫、雷达数据和/或环境传感器网络数据)。通信网络的示例包括蜂窝网络和固定网络。安全关键系统的另外的示例是被布置成将电能从发电站传递到产业和消费者的电源。
在数据库150中,信息元素可以被布置在图2中图示的层级结构中。
图2图示了根据本发明的至少一些实施例的示例数据库层级结构。图2的示例数据库层级结构涉及核电站的数据库层级结构。在顶部级别处布置了核安全设计要求210。这些要求可以从法规要求、代码和/或标准得到和/或基于法规要求、代码和/或标准。在一些实施例中,例如在其他层中隐含或明确地将核安全设计要求210的内容考虑在内的情况下,所述核安全设计要求210不在数据库中。
要求层210的要求可以与层220中的任务类别相关联或者被包括在层220中的任务类别中,所述层220与整个核电站的级别相对应。层220可以被称为工厂层。每个任务类别可以与至少一个设计原理和至少一个功能要求相关联,如上文所描述的。详细地,在一些实施例中,每个任务类别可以与一个且仅一个功能要求和至少一个设计原理相关联。包括在图2的示例中的任务类别是任务类别220a、220b和220c。在数据库中,任务类别可以被呈现为任务类别信息元素。
任务类别的示例包括预防性安全功能、反应堆保护以及自动备份。功能要求的示例包括事故频率、污染泄露率、维护间隔以及飞行器的紧急降落频率。
在工厂层220之下布置架构层230。层230可以包括架构定义信息元素,至少一些这样的信息元素与层220上的至少一个任务类别信息元素相关联。架构定义信息元素可以包括关于下述内容的指示:其中所定义的架构对与关联的任务类别相关联的设计原理的实施例做出贡献的方式。换言之,架构定义信息元素可以包括关于下述内容信息:在架构级别中如何实现更高级别的任务类别的设计原理。包括在图2的示例中的架构定义信息元素是架构定义信息元素230a、230b和230c。
架构的示例包括功能架构、自动化架构、过程和电气架构、控制室架构和布局架构。功能架构可以描述工厂的主要过程如何实现。自动化架构可以描述自动化机制如何被布置在工厂中。过程和电气架构可以描述过程和电系统如何被设计在高级别上。控制室架构可以描述如何布置控制室来控制工厂运转,以及布局架构可以描述工厂的系统如何在被包括在工厂中的建筑物当中进行分布。
在架构层230之下布置系统层240。系统层240可以包括系统级信息元素,每个这样的信息元素与级别230上的至少一个架构定义信息元素相关联。系统级信息元素可以包括关于下述内容的指示:其中所定义的系统对与关联的任务类别相关联的设计原理的实施例做出贡献的方式,其中任务类别经由架构级230上的架构定义信息元素与系统级信息元素相关联。包括在图2的示例中的系统级信息元素是系统级信息元素240a、240b、240c和240d。
系统的示例包括预防性保护系统、预防性致动和指示系统、安全注入系统、紧急电源系统、数字人机接口hmi系统和自动备份系统。
在系统层240之下布置装备层250。装备层250可以包括装备级信息元素,每个这样的信息元素与级别240上的至少一个系统级信息元素相关联。装备级信息元素可以包括关于下述内容的指示:其中所限定的装备对与关联的任务类别相关联的设计原理的实施例做出贡献的方式,其中任务类别经由系统层240上的系统级信息元素和架构级230上的架构定义信息元素与装备级信息元素相关联。装备级信息元素在图2中共同图示为元素250a。
在一些实施例中,法规要求可以被分配到各个系统或装备段。这样的系统级或装备级法规要求可以被记录在系统级或装备级信息元素中并且在实施根据本发明的方法时被用作附加约束。
使用上文所描述的层级数据库系统可以确定工厂中哪个装备段对哪个工厂级功能要求和设计原理做出贡献。因此,当装备段由新类型的装备替换时,可以评估按照设计原理对于工厂或飞行器总体上意味着什么。例如,在计算机由新种类的计算机替代的情况下,例如基于复杂指令集计算cisc处理器的计算机由基于精简指令集计算risc处理器的计算机所替代,新计算机可以能够作为对于工厂中已经存在的cisc计算机的分集计算机来执行。在该情况下,安装risc计算机来替代旧计算机可以使得能够实现将另外的计算机从工厂移除,另外的计算机的分集角色此后由新计算机来扮演。另外的计算机可以被包括在不同系统或架构中,并且它可以例如与相比新risc计算机所替代的旧计算机而言不同的任务类别相关联。
运行如上文所描述的数据库系统可以至少部分地使安全关键系统的这种设计考虑自动化。每个装备级信息元素存储信息或与信息相关联,所述信息描述了所描述装备在工厂中扮演的每个角色,用户可以与数据库系统进行交互,以识别用新装备段替换装备段是否使得能够实现总体系统中的简化,或者新装备段的特性是否使对总体系统的进一步修改成为必要。
在例如新装备段不能够扮演先前装备段所扮演的角色(例如作为对于可以被包括在不同系统或架构中的另外的装备段的冗余或分集元素)的情况下,进一步修改可能是必要的。因此,替代向各个装备段分配要求,设计原理与任务类别相关联来以使得工厂总体上可以被简化这样的方式使得智能工厂管理和替换装备段的选择能够实现。经简化的工厂提供了例如运行该工厂消耗更少能量的技术效果。在其中法规要求已经在初始构建和安全关键系统的改装之间发生改变的情况下可以要求进一步的修改。
相似地,因为数据库系统识别了其中注册的每个装备段所扮演的角色,所以使用数据库系统使得能够实现对错误状况的更全面的理解。因此,当装备段产生错误时,可以使用数据库系统对其进行识别,而其他系统由于错误的结果而具有很少的冗余。
图3图示了能够支持本发明的至少一些实施例的示例装置。图示的是设备300,其可以例如包括诸如附图的数据库系统150之类的设备。包括在设备300中的是处理器310,其可以例如包括单核或多核处理器,其中单核处理器包括一个处理核以及多核处理器包括多于一个处理核。处理器310可以例如包括xeon或opteron处理器。处理器310可以包括多于一个处理器。处理核可以例如包括由armholdings制造的cortex-a8处理核或者由advancedmicrodevicescorporation生产的bulldozer处理核。处理器310可以包括至少一个专用集成电路asic。处理器310可以包括至少一个现场可编程门阵列fpga。处理器310可以是用于在设备300中执行方法步骤的装置。处理器310可以(至少部分地由计算机指令)配置成执行动作。
设备300可以包括存储器320。存储器320可以包括随机存取存储器和/或永久存储器。存储器320可以包括至少一个ram芯片。存储器320可以例如包括磁性存储器、光学存储器和/或全息存储器。存储器320可以被配置成例如储存数据库系统的信息元素。存储器320可以至少部分地对于处理器310是可访问的。存储器320可以是用于储存信息的装置。存储器320可以包括处理器310被配置成执行的计算机指令。当被配置成使处理器310执行某些动作的计算机指令被储存在存储器320中时,以及当设备300总体上被配置成使用来自存储器320的计算机指令在处理器310的命令下运行时,处理器310和/或其至少一个处理核可以被视为被配置成执行所述某些动作。存储器320可以被至少部分地包括在处理器310中。存储器320可以至少部分地位于设备300外部,但是对于设备300是可访问的。
设备300可以包括发射器330。设备300可以包括接收器340。根据至少一个通信标准,发射器330和接收器340可以分别被配置成发射和接收信息。发射器330可以包括多于一个发射器。接收器340可以包括多于一个接收器。发射器330和/或接收器340可以被配置成根据例如无线局域网标准、wlam标准、以太网标准和/或全球微波接入互操作性wimax标准进行操作。
设备300可以包括用户接口ui360。ui360可以包括显示器、键盘和触摸屏中的至少一个。用户可以能够经由ui360来操作设备300,例如与包括在设备300中的或者由设备300控制的数据库系统进行交互。
设备300可以包括或者被布置为接纳用户身份模块370。用户身份模块370可以例如包括安全元件。用户身份模块370可以包括可用于验证设备300的用户身份和/或促成数据库内容的加密和解密的密码信息。
处理器310可以被装备有发射器,该发射器被布置成经由设备300内部的电引线从处理器310向包括在设备300中的其他设备输出信息。这样的发射器可以包括串行总线发射器,该串行总线发射器被布置成例如经由至少一个电引线向存储器320输出信息以用于储存于其中。作为对串行总线的替换,发射器可以包括并行总线发射器。同样地,处理器310可以包括接收器,该接收器被布置成在处理器310中经由设备300内部的电引线从包括在设备300中的其他设备接收信息。这样的接收器可以包括串行总线接收器,该串行总线接收器被布置成例如经由至少一个电引线从接收器340接收信息以用于在处理器310中进行处理。作为对串行总线的替换,接收器可以包括并行总线接收器。
处理器310、存储器320、发射器330、接收器340、ui360和/或用户身份模块370可以通过设备300内部的电引线以多种不同方式进行互连。例如,每个前述设备可以单独地连接到设备300内部的主总线以允许设备交换信息。然而,技术人员将理解的是,这只是一个示例,并且取决于实施例,可以在不偏离本发明范围的情况下选择将前述设备中的至少两个进行互连的各种方式。
图4图示了根据本发明的至少一些实施例的示例数据库结构。层410按照图2对应于任务类别层,其储存任务类别信息元素。层420按照图2对应于架构层,其储存架构定义信息元素。层430按照图2对应于系统层,其储存系统级信息元素。最后,层440按照图2对应于装备层,其储存装备级信息元素。数据库关系层可以布置在层410与层420之间、层420与层430之间和/或层430与层440之间。
图5是根据本发明的至少一些实施例的第一方法的第一流程图。所图示方法的阶段可以例如在图1的数据库150中或者在图3的设备300上执行。
阶段510包括定义任务类别信息元素,该任务类别信息元素与至少一个功能要求和至少一个设计原理相关联。阶段520包括将任务类别信息元素与至少一个架构定义信息元素相关联。阶段530包括将至少一个架构定义信息元素中的每个与至少一个系统级信息元素相关联。最后,阶段540包括验证由至少一个架构定义信息元素和所关联的系统级信息元素所描述的系统与至少一个设计原理相兼容。
图6是根据本发明的一些实施例的第二方法的第二流程图。所图示方法的阶段可以例如在图1的数据库150中或者在图3的设备300上执行。
阶段610包括在数据库系统中记录信息元素中的第一改变,该数据库系统储存任务类别信息元素、至少一个架构定义信息元素和至少一个系统级信息元素。阶段620包括验证由至少一个架构定义信息元素和与至少一个架构定义信息元素相关联的系统级信息元素所描述的系统与至少一个设计原理相兼容,其中所述任务类别信息元素与至少一个功能要求和至少一个设计原理相关联。
总之,提供了一种方法,其包括:定义任务类别信息元素,所述任务类别信息元素与至少一个功能要求和至少一个设计原理相关联;将所述任务类别信息元素与至少一个架构定义信息元素相关联;将所述至少一个架构定义信息元素中的每个与至少一个系统级信息元素相关联;以及验证由所述至少一个架构定义信息元素和关联的系统级信息元素所描述的系统与所述至少一个设计原理相兼容。所述方法可以例如使用数据库系统来执行。包括在所述方法中的关联阶段可以包括在所述数据库系统中定义信息元素关联属性。所述验证可以包括对包括在所述数据库系统中的信息元素运行验证算法。
所述验证可以包括检查:对于每个设计原理而言,与该设计原理相关联的架构、系统和装备段一起体现设计原理。在一些实施例中,所述验证不要求直接地或间接地与设计原理相关联的每个信息元素都体现设计原理。例如,在设计原理包括冗余的情况下,不是与冗余所关联于的任务类别直接或间接地相关联的所有装备段都需要在安装复制装备段的意义上被制成冗余的。在这些实施例中,由所关联的信息元素定义的功能作为整体是冗余的是足够的。换言之,如果包括在该功能中的任意单个装备段发生故障,其目的可以由不需要与其相同并且不需要被包括在讨论中的功能中的另一个装备段来提供。安全关键系统可以包括例如不需要冗余或分集的系统或装备段。描述这些装备段的信息元素可以包括指示了关于这些装备段的功能实现设计原理的方式的信息。
在至少一些实施例中,数据库系统储存序列信息元素,每个序列信息元素描述动作序列,每个序列信息元素与触发事件相关联并且每个序列信息元素与任务类别信息元素相关联。序列可以控制事件发生的结果。例如,事件可以包括系统中的点故障或者冷却水供应中的中断,以及动作序列可以包括对事件的预先计划的响应,由此控制了所述事件的结果。
图7图示了根据本发明的至少一些实施例的示例设计验证。w型的图7的最左边的分支对应于发电厂的架构,中间分支对应于如所设计的工厂的验证,以及最后最右边的分支对应于完成的已建造工厂的验证。
单元710是事故管理计划,其在用于事故管理计划审查7100的计划中被验证,通往设计时的(as-designed)阶段中的初步独立审查710a。对应的最终独立审查710b在建造时的(as-built)阶段中进行。
单元720是功能架构,其形成用于其他架构的基础。功能架构720可以例如被划分成短期和长期事件进展架构,其在一般级别上描述工厂特定的安全功能。在审查7200中验证功能架构,导致了在设计时的阶段中的初步安全分析720a和在建造时的阶段中的最终安全分析720b。
单元730是自动化架构,其可以描述任务类别功能要求和/或安全功能如何被划分到自动化系统以使得满足设计原理。在审查7300中验证自动化架构,导致了在设计时的阶段中的接口分析730a和在建造时的阶段中的互连测试730b。可以部分地与最终安全分析720b联合地得到互连测试730b。
单元740是控制室和过程架构,其可以描述用于人机接口hmi控制室和过程的安全和人体工学要求。在审查7400中验证控制室和过程架构740,导致了在设计时的阶段中的任务支持验证740a以及在建造时的阶段中的集成系统确认740b。
过程架构750对应于在设计时的阶段中的接口分析750a和在建造时的阶段中的工厂启动测试760b。系统性能标准760发展成在设计时的阶段中的系统特定测试760a和在建造时的阶段中的系统特定测试760b。系统性能标准760与系统特定测试760a和760b一起对应于系统级验证。
700a表示与工厂级架构和设计相对应的最左边的分支和中央分支,并且700b对应于基本设计、详细设计以及实现。总体上,包括任务类别信息元素、架构定义信息元素、系统级信息元素和装备级信息元素的数据库系统使得能够验证设计正确地体现了与任务类别信息元素相关联的设计原理。
至少在一些实施例中,在装备段与具有不同设计原理的两个任务类别相关联的情况下,可以将涉及到装备段的功能的更严格的设计原理、安全类别或质量要求布置成占优势。例如,分集可以被看作比冗余更严格,因为除了另一个单元外,不同操作原理的附加要求被分配到单元。作为另一个示例,在不同环境安全要求适用的情况下,可以将更严格的要求布置成占优势。
在本发明的一些实施例中,提供了一种计算机化的监视系统,其中所述计算机化的监视系统被配置成从核电站或飞行器接收故障通知。每个故障通知可以与装备项(例如由根据本发明的原理所布置的数据库中的装备信息元素、系统级信息元素和/或架构信息元素所表示的一个装备项)的故障有关。可以从被布置成监视例如包括在核电站或飞行器中的装备如何执行的传感器自动地生成故障通知。
计算机化的监视系统可以被配置成:响应于故障通知,使用数据库(诸如上文所描述的一个数据库)来确定故障对于如何遵守设计原理的影响。设计原理可以包括以下各项中的至少一项:冗余、分集、分离、隔离、质量级别、可靠性级别、抗震资质以及环境状况资质。例如,在装备项发生故障并且有故障的装备在关于另一装备项提供设计原理方面起作用的情况下,可以提供视觉指示或其他种类的指示,所述指示传达了由于设计原理与另一装备项有关,因此并未足够地提供该设计原理。
因此例如,在第一装备发生故障并且第一装备在故障之前至少部分地针对第二装备提供冗余的情况下,计算机化的监视系统可以确定第一装备的故障的冗余效果,使用与功能要求和至少一个设计原理相关联的任务类别来确定其冗余受到故障影响的系统和/或装备。指示可以被提供降低的冗余级别,以及降低的冗余级别所影响到的系统和/或装备段。降低的冗余级别是核电站或飞行器以及其中所包括的装备的技术特性。
第一装备在数据库中对应于对应的第一装备信息元素。在第一装备信息元素经由数据库关系被关联到数据库中的多于一个任务类别信息元素的情况下,计算机化的监视系统可以被配置成确定包括与经由数据库关系与所述第一装备信息元素相关联的每个任务类别信息元素相关联的每个技术设计原理的集合,以及基于被包括在所述集合中的每个设计原理来识别至少部分地补偿所述故障通知中的故障识别符的影响的动作的技术约束。
因此例如,在核电站中的泵产生故障的情况下,包括在泵中的传感器可以向计算机化的监视系统提供故障通知。响应于该故障通知,计算机化的监视系统可以确定数据库中与所述泵相对应的装备信息元素经由数据库关系与对应于任务类别安全功能和反应堆保护的任务类别信息元素相关联。在该示例中,任务类别安全功能与设计原理冗余和分集相关联,并且任务类别反应堆保护与设计原理冗余、分集和分离相关联。因此,设计原理的集合包括冗余、分集和分离。
计算机化的监视系统可以进一步被配置成:基于包括在集合中的每个技术设计原理来识别至少部分地补偿所述故障通知中的故障的影响的动作的技术约束。在上文的示例中,补偿动作将关于设备单元计数而被约束以满足设计原理冗余、关于装备动作原理而被约束以满足设计原理分集以及关于装备位置而被约束以满足设计原理分离。
因此,根据本发明,工作人员能够变为意识到例如有故障的装备段的哪些方面对于核电站的安全操作而言是相关的。换句话来表达,计算机化的监视系统被配置成提供涉及核电站操作状态以及由故障导致的从标称操作状态偏离的信息。
由计算机化的监视系统和所关联的数据库提供的技术效果在于能够对已经产生故障的装备的实际相关方面做出反应。在之前的系统中,例如可以采用决策树。然而,在核电站情况下,由于这种站的高度复杂性质,决策树是非常难以维护的。此外,决策树通常不提供关于有故障设备的具有显著性的实际方面的信息,而是,决策树仅通知涉及到用相同的装备替换有故障装备所需要的动作。另一方面,本文所描述的约束能够以寻址技术情况的方式对故障做出反应,而不是要求仅复制原始设计以及对有故障装备段的对等替换(like-for-likereplacement)。对等替换可能在装备类型不再处于生产中的情况下是不可行的。此外,对等替换相比更现代的装备段(其例如可以是更有能量效率的)可能是不太优选的。现代装备段可以此外能够在总体系统中在冗余和分集方面承担更多角色。
在通信网络中,任务类别可以例如包括开关故障消除任务类别和隐私任务类别。开关故障消除可以例如与使连接(诸如电话呼叫)正确地连接有关,而隐私可以例如与所传达的信息和/或订户数据的保密性有关。进一步,资源管理可以是一种任务类别,由此将无线电资源或干线资源以合适的方式分配给通过网络所路由的通信。
要理解的是,所公开的发明的实施例不限于本文所公开的特定结构、过程步骤或材料,但是扩展到其等同方式,如将由相关领域的普通技术人员所认识到的那样。还应当理解的是,本文所采用的术语仅用于描述特定实施例的目的,而不意图是限制性的。
遍及本说明书对“一个实施例”或者“实施例”的引用意指结合实施例所描述的特定特征、结构或特性被包括在本发明的至少一个实施例中。因此,在遍及本说明书的各种位置出现短语“在一个实施例中”或者“在实施例中”不一定都指代相同的实施例。
如本文所使用的,多个项目、结构元件、组成元件和/或材料可以为了方便而呈现于共同的列表中。然而,这些列表应当被理解为仿佛列表中的每个成员被分别识别为单独且独特的成员。因此,在没有相反指示的情况下,这种列表中的各个成员不应当仅基于它们在共同组中的呈现而被理解为同一列表中的任何其他成员的实际等同方式。此外,本发明的各种实施例和示例可以在本文中与针对其各种组成部分的替换方式一起被参照。所理解的是,这样的实施例、示例以及替换方式将不被理解为彼此的实际替换方式,而是将被视为是本发明的单独且自主的表示。
此外,所描述的特征、结构或特性在一个或更多实施例中可以以任何合适的或技术上可行的方式进行组合。在以下描述中,提供了许多具体细节(诸如长度、宽度、形状,等等的示例)来提供对本发明实施例的全面理解。然而,相关领域的技术人员将认识到的是,可以在没有一个或多个具体细节的情况下或者利用其他方法、部件、材料等等来实践本发明。在其他实例中,公知的结构、材料或者操作没有被详细示出或描述,以避免使本发明的方面晦涩难懂。
尽管前述示例说明了本发明在一个或多个特定应用中的原理,对于本领域普通技术人员将显而易见的是,在没有有创造力人员的运用的情况下以及在不偏离本发明原理和概念的情况下可以做出实现方式的形式、使用和细节上的许多修改。因此,不意图限制本发明,除非如由以下阐述的权利要求所限制的那样。
- 还没有人留言评论。精彩留言会获得点赞!