安全关键系统的故障分析与软件失效评估
1. Markov模型与系统故障评估
Markov模型在系统设计的故障分析中具有一定作用。系统设计中的故障可能以特定分布发生,如果Markov建模显示故障率过高,那么实际情况很可能如此。然而,若Markov模型得出可接受的故障率,这一结果在一般情况下并不可完全信赖。也就是说,Markov模型能够提供拒绝某个设计的证据,但不能促使其被接受。
2. 故障树分析概述
在系统设计的初始阶段,Markov技术可能足够用于分析。但当有候选设计方案后,就需要更精确的故障分析,故障树分析(FTA)便在详细设计阶段发挥重要作用。它不仅可以描述传统的布尔故障树,还涵盖更强大、灵活的贝叶斯故障树分析技术。
故障树分析与失效模式、影响及临界性分析(FMECA)有所不同。有人认为FTA在表达系统(尤其是依赖软件持续正确运行的系统)的故障模型方面更有用,但也有人更喜欢FMECA,它也是可接受的替代方法。
3. 标准中的故障树分析
不同标准对故障树分析有不同的推荐和要求:
- IEC 61508 - 3在表B.4中推荐使用FTA,该表由表A.10引用。
- ISO 26262 - 10的附件A和EN 50126 - 2的附件E都对FTA和FMECA进行了描述,并提供了将它们结合的方法。
- ISO 14971的附件G.3推荐在医疗设备中使用FTA技术。
- IEC 62304规定,如果危险源于软件系统未按规定运行,应假设此类故障的概率为100%,但未给出故障频率和类型的指导。
4. 不同类型的故障树
故障树有不同类型,随着
