摘要:描述:从一个可能直接引起危险或者严重后果的事件(“顶端事件”)开始分析下去,找到导致该事件的原因,这需要通过使用逻辑运算(与,或等)的几个步骤来完成。并按同样的方法分析中间原因,直到基本事件,分析停
B.6.6.5 故障树分析(FTA)
注:在GB/T 20438.3-2017的表B.4和表C.14中引用了本技术/措施。
目的:帮助分析将会导致危险的严重结果的事件或事件组合,并计算顶端事件的发生概率。
描述:从一个可能直接引起危险或者严重后果的事件(“顶端事件”)开始分析下去,找到导致该事件的原因,这需要通过使用逻辑运算(与,或等)的几个步骤来完成。并按同样的方法分析中间原因,直到基本事件,分析停
本方法是图形法并使用了一组标准化的符号来绘制事件树。在分析的最后,故障树表示出了从基本事件(一般部件失效)到顶端事件(整个系统的失效)的功能连接关系。本技术原来主要用来分析硬件系统,但也可适用于软件失效分析,这种技术可以用于定性故障分析(识别失败的情景:基本项或最小割集),半定量(根据其概率进行场景的排序)和定量计算顶端事件的概率(见C.6)。
参考文献:
IEC 61025:2006,Fault tree analysis(FTA)
From safety analysis to software requirements,K.M,Hansen,A.P.Ravn,A.P,V Stavridou,IEEE Trans Software Engineering, Volume 24,Issue 7.Jul 1998
B.6.6.6马尔可夫(Markov)模型
注:在分析硬件安全完整性的时候,可靠性方框图要参考GB/T 20438.6--2017的B.1使用这项技术。
目标:通过状态转换图对系统行为进行建模并且对概率方面的系统参数(如不可靠度、不可用度、 MTTF、MUT、MDT等)进行评估。
描述:在有向图中它是一个有限态自动机(参见B.2.3.2)。节点(圆圈)代表状态,在节点间的边(箭头)表示发生在不同状态之间的转换(如失效、维修等)。这些边都被附上不同的权值来表示对应的失效率和维修率。齐次马尔可夫过程的基本属性是表明系统的接下来的状态只和现在的状态有关;即由状态N到状态N+1的变化和前一个状态N-1无关。这表明所有模型的概率规则都是指数类型的。
所有的失效事件、失效状态、失效率都可以用这种方法来描述,从而能够获得对系统的精确描述,例如检测或没检测到的失效事件或者是一种更严重的失效等。检验测试间隔也可以用多相马尔可夫过程来建模,即某相末端状态(例如在检测测试之前)的概率可以用来作为计算下一相的初始条件(例如在检验测试执行之后各种状态的概率)。
马尔可夫技术对于那些由于组件失效或维护而使冗余等级随时间变化的多系统来说是一种很好的建模工具。其他如故障树分析(FTA),失效模式与影响分析(FMEA)等经典方法由于没有计算对应可能性的组合公式,所以不能用于对在系统整个运行周期产生的失败影响进行合适的建模。
在最简单的情况下,描述系统概率的公式可以在手册中查到或者手工推导而得到,并且一些简化方法(如减少状态的数量)也可以被应用到更加复杂的情况中。
然而,从数学角度上说,齐次马尔可夫图仅仅是对常系数线性微分方程的简化和常规设定,这种方法已经被研究了相当长的时间并且有强大的理论基础来操作它们。因此,当模型的规模增长时使用上述方法是十分有效的,并且它们可以在各种各样的软件包中方便地使用。
我们知道图表的大小会随着器件数量以指数增长:这就是所谓的组合爆炸。如果要实现精确的应用,这种方法仅仅适用于小系统。
当不得不使用非指数规则时(半马尔可夫模型),就可以使用蒙特卡洛模拟(参见B.6.6.8)。
参考文献:
IEC 61165:2006,Application of Markov techniques
The Theory of Stochastic Processes. R. E. Cox and H,D.Miller, Methuen and Co.Ltd., London, UK,1963
Finite MARKOV Chains.J. G. Kemeny and J. L.Snell. D.Van Nostrand Company Ine. Princeton.1959
The Theory and Practice of Reliable System Design.D.P. Siewiorek and R. S. Swarz, Digital Press,1982
Sécurisation des architectures informatiques, Jean-Louis Boulanger, Hermes-Lavoisier. 2009. ISBN:978-2-7462-1991-5
来源:走心科技圈儿