Beitrag zur dynamischen Fehlerbaumanalyse ohne Modulbildungund

Weitere Magazine

Empfehlungen

Info

14 2 Stand der Technik: Statische und dynamische Fehlerbaumanalyse Einen umfassenderen Ansatz verfolgen die intervallbasierte temporale Logik der sogenannten AND Then Gatter in [70], die Arbeiten in [71, 72] sowie die sogenannten Temporal Faulttrees in [73]. Diese stammen aus dem Umfeld der formalen Fehlerbaumanalyse, die sich insbesondere aus dem Wunsch motiviert, die Methodik der herkömmlichen FTA auch für die Modellierung von Software-Systemen und deren Ausfällen zu verwenden. Ausfallbetrachtungen von Software- Systemen unterscheiden sich grundsätzlich von den klassischen hardware-orientierten ZSA, insbesondere wegen der andersartigen Ausfall-Mechanismen. Eine Übersicht über den Stand der Technik der FTA in der Softwaretechnik ndet sich in [74]. Entsprechend der hohen Dynamik von Software-Systemen gestalten sich auch die in oben genannten Arbeiten diskutierten zeitlichen Logiken aufwändig und kompliziert, deren Anwendung zudem wegen der sehr strikten Denitionen nur bedingt mit der klassischen FTA vergleichbar ist. Bereits früher übertrug Heidtmann in [11] und [34] die ursprünglich aus der theoretischen Philosophie stammende modale Logik [75] auf die Zuverlässigkeits-Modellierung. Seine temporale Logik beschreibt Reihenfolgen von Ereignissen nicht direkt, sondern stellt sogenannte Irgendwann- und Immer-Beziehungen zwischen den Ereignissen auf. Mit diesen lassen sich vielfältige zeitliche Abhängigkeiten und Zusammenhänge abbilden, u. a. auch Reihenfolgen. Heidtmann diskutiert sowohl die qualitative als auch die quantitative Anwendung seiner temporalen Logik und beschränkt diese nicht ausschlieÿlich auf die Fehlerbaum-Methode. Allerdings erfordert diese Logik gerade wegen ihrer Mächtigkeit auch vergleichsweise komplexe Modelle und Berechnungen. Ein der herkömmlichen FTA ähnliches, anwendbares Vorgehen zu entwickeln, ist das erklärte Ziel des Pandora-Ansatzes in [76, 77]. Der Name Pandora ist ein Wortspiel, einerseits ein Bezug auf die griechische Sagengur und andererseits zusammengesetzt aus Priority AND und dem griechischen Wort ώρα (ora) für Zeit [76]. Die Erstellung und Analyse von Pandora-Fehlerbäumen ähnelt der Vorgehensweise der herkömmlichen Booleschen FTA. Unter Verwendung zusätzlicher temporaler Gatter (genannt PAND, SAND und POR) ergibt sich für das TOP eine temporale Ausfallfunktion. Diese wird anhand von in [77] skizzierten temporalen Logik-Regeln zur qualitativen Vereinfachung in eine minimale Form überführt. Kern dieser temporalen Logik sind sogenannte Doublets. Ein Doublet beschreibt den zeitlichen Zusammenhang zwischen genau zwei Ereignissen und wird wie ein eigenes Basisereignis behandelt. Es werden ausschlieÿlich relative Zeitangaben verwendet, d. h. die absoluten Eintretenszeitpunkte von Ereignissen werden nicht betrachtet. Diese Minimalform ist die Entsprechung der Minimalschnitte in der herkömmlichen FTA und erlaubt die qualitative Analyse des Ausfallverhaltens unter Berücksichtigung von Ereignissequenzen. Das Konzept der Doublets vereinfacht die Analyse erheblich, limitiert andererseits jedoch den Pandora-Ansatz hinsichtlich einer quantitativen Analyse, insbesondere wegen der nicht aufgelösten (zeitlichen) Abhängigkeiten zwischen den Doublets. Beispielsweise ergibt der Ausdruck A tritt vor B und C ein nach Pandora [77] den Term (es wird die Notation aus Kapitel 4 verwendet, nicht die originale Pandora-Notation, um die Vergleichbarkeit der folgenden Ergebnisse zu vergröÿern) A → ∧ (B ∧ C) = [ (A → ∧ C) ∧ (B → ∧ C) ] ∨ [ (A → ∧ B) ∧ (B = ∧ C) ] [ ] ∨ (A ∧ → B) ∧ (C ∧ → B) . (2.1) Die mit runden Klammern umfassten Ausdrücke der rechten Seite bezeichnen je ein Doublet. Diese Doublets erlauben zwar die qualitative Analyse, lassen sich jedoch nicht einfach quantizieren, wie die folgenden Überlegungen zeigen. Ein Boolescher Konjunktions-Term z. B. (A ∧ C) ∧ (B ∧ C) kann im Allgemeinen nicht direkt durch Multiplikation der Einzelwahrscheinlichkeiten quantiziert werden, also F (A ∧ C) ∧ (B ∧ C) ≠ (F A · F C ) · (F B · F C ) , (2.2)
2.3 Dynamische FTA 15 wenn er nicht in minimaler Form vorliegt und die einzelnen Ereignisse voneinander unabhängig sind. Sind diese Bedingungen erfüllt, wie z. B. nach folgender Umformung (A ∧ C) ∧ (B ∧ C) = A ∧ B ∧ C , (2.3) so ist eine direkte Quantizierung möglich. F (A ∧ C) ∧ (B ∧ C) = F A ∧ B ∧ C = F A · F B · F C . (2.4) Analog dazu lassen sich auch Pandora-Ausdrücke, wie der oben gezeigte, nicht direkt quantizieren. So gilt z. B. wegen des gemeinsamen Ereignisses C in den beiden Doublets, d. h. einer nicht aufgelösten Abhängigkeit zwischen den Doublets, F (A → ∧ C) ∧ (B → ∧ C) ≠ F (A → ∧ C) · F (B → ∧ C) . (2.5) Der in dieser Arbeit vorgestellte TFTA-Ansatz übernimmt einige Aspekte des Pandora-Ansatzes. Die TFTA geht jedoch über Pandora hinaus, indem sie u. a. ˆ ˆ die in [77] lediglich skizzierten temporalen Logik-Regeln in ein geschlossenes und systematisches Regelwerk von allgemeiner Gültigkeit und Anwendbarkeit überführt und anders als der ausschlieÿlich qualitative Pandora-Ansatz auch quantitative Modellierungen und Analysen ermöglicht und ˆ ˆ sich von dem für quantitative Analysen weniger geeigneten Konzept der Doublets löst und keinen POR Operator verwendet. Die daraus resultierenden Unterschiede zeigen sich, wenn man den oben genannten Pandora- Ausdruck mit dem äquivalenten Logik-Ausdruck nach der TFTA vergleicht. Als Vorgri auf die folgenden Kapitel ergibt sich [ A ∧ → (B ∧ C) = A ∧ → B ∧ → C ∨ ] [ ∨ [ (A = ∧ B) → ∧ C B ∧ → A ∧ → C ] ∨ ] [ ∨ [ A → ∧ (B = ∧ C) A ∧ → C ∧ → B ] ∨ ] [ ∨ [ (A = ∧ C) → ∧ B C ∧ → A ∧ → B ] . Wie in dieser Arbeit gezeigt wird, lassen sich diese Terme direkt quantizieren und auf Wunsch auch in kompakterer Form darstellen, um den Rechenaufwand zu reduzieren: A → ∧ (B ∧ C) = [ ] [ ] [ ] (A ∧ B) ∧ → C ∨ (A ∧ C) ∧ → B ∨ A ∧ → (B ∧ = C) Da die Terme der rechten Seite sogar disjunkt sind, folgt ] ∨ (2.6) (2.7) F A → ∧ (B ∧ C) (t) = F (A ∧ B) → ∧ C (t) + F (A ∧ C) → ∧ B (t) + F A → ∧ (B = ∧ C) (t) = = ∫ t 0 ( ) F A (τ)F B (τ)f C (τ) + F A (τ)F C (τ)f B (τ) · dτ . (2.8)
Seite 1 und 2: Beitrag zur dynamischen Fehlerbauma
Seite 3: Fuer Albert und Alexandra und Liese
Seite 7 und 8: Kurzfassung Hintergrund Die Fehlerb
Seite 9 und 10: Abstract Background Fault tree anal
Seite 11 und 12: Inhaltsverzeichnis Kurzfassung vii
Seite 13: Inhaltsverzeichnis xiii 5.4.2 Quant
Seite 16 und 17: 2 1 Einleitung Die Problematik eine
Seite 19 und 20: 2 Stand der Technik: Statische und
Seite 21 und 22: 2.2 Statische, klassische FTA 7 2.1
Seite 23 und 24: gleichzeitig 2.3 Dynamische FTA 9 A
Seite 25 und 26: 2.3 Dynamische FTA 11 Herkömmliche
Seite 27: 2.3 Dynamische FTA 13 2.3.4 Dynamis
Seite 31: 2.4 Zusammenfassung 17 Systemanalys
Seite 34 und 35: 20 3 Problemstellung: Ereignisseque
Seite 36 und 37: 22 3 Problemstellung: Ereignisseque
Seite 38 und 39: 24 4 Temporale Fehlerbaumanalyse (T
Seite 77 und 78: 5 Quantizierung des TFTA Ansatzes P
Seite 79 und 80:
5.2 Quantitative TFTA: Zeitkonzept
Seite 81 und 82:
5.3 Quantizierung der PAND und SAND
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
5.4 Quantizierung der temporalen Au
Seite 89 und 90:
5.4 Quantizierung der temporalen Au
Seite 91 und 92:
5.5 Ansatz mit minimiertem Rechenau
Seite 93:
5.5 Ansatz mit minimiertem Rechenau
Seite 96 und 97:
82 6 Vergleich der TFTA mit anderen
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 105 und 106:
7 TFTA Modellierung einer typischen
Seite 107 und 108:
7.1 Das Beispiel 93 IC AMP. Der Mic
Seite 109 und 110:
7.2 Temporaler Fehlerbaum 95 Die Fe
Seite 111 und 112:
7.3 Qualitative Auswertung des temp
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
7.4 Quantizierung und Berechnung de
Seite 123:
7.5 Diskussion 109 7.5 Diskussion D
Seite 126 und 127:
112 8 Zusammenfassung und Ausblick
Seite 129 und 130:
9 Literaturverzeichnis [1] Flöreck
Seite 131 und 132:
9 Literaturverzeichnis 117 [32] Lim
Seite 133 und 134:
9 Literaturverzeichnis 119 [59] Sch
Seite 135:
9 Literaturverzeichnis 121 [86] Sin
Seite 139 und 140:
A Vertiefende Erläuterungen A.1 Ke
Seite 141 und 142:
A.2 Umgang mit sequentiellen Ausfal
Seite 143 und 144:
A.3 Beispiele zur Disjunktheit temp
Seite 145:
A.3 Beispiele zur Disjunktheit temp
Seite 149 und 150:
C Notation Symbol Bedeutung .(t) Ze
Alle anzeigen

Beitrag zur dynamischen Fehlerbaumanalyse ohne Modulbildungund

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?