Systematic approach furthering confirmation measures of safety critical automotive systems

Different system elements are developed independently from diverse suppliers and teams before being integrated together into safety critical automotive systems such as steering or braking systems by a manufacturer. It must be guaranteed that, despite this independent development, the achievement of the safety requirements for the overall system can be demonstrated. The necessary agreements and the integration of the necessary safety information for the overall system generate higher extra costs. In order to reduce development time and cost, systematic reuse can be a solution to engineering the required artifacts. Reassessment represents an additional source of cost. Even small modifications of a system or exchanging a component after it has been certified necessitates a reassessment. The effort required for reassessment, in many cases reaches the original effort of certification for the complete system or even exceeds it. To minimize the effort and cost of a reassessment, this paper introduces a theoretical foundation of a model-based engineering approach to reuse a safety case and change only the modified parts. This paper presents a reusability framework to support the distributed development environment together with the different composition scenarios with respect to ISO26262. A further benefit of this approach is that for development of variants in product-line, the Safety assessment process can now be easily expressed and managed

Врахування помилок перемикального пристрою для системи із ковзним резервуванням на основі динамічного дерева відмов

The object of research is a non-renewable system with a single sliding reservation. Such system consists of two main subsystems, one redundancy and two switching devices. While both main subsystems are operable, the spare subsystem is in an unloaded state. The redundancy system is designed to replace any major subsystem after its failure. Switching devices commute the main subsystems with a redundancy one. During the audit, it was revealed that the switching devices allow errors. In particular, a mistake of the first type, that is, they switch in advance, and a second type of error, that is, they pass the switching moment. This reduces the reliability of the system and leads to underutilization of the inherent resource.An approach is proposed that quantitatively takes into account the influence of errors of the first and second type on the probability of failure-free operation of the system under study during its design. The approach consists of two stages. At the first stage, the reliability of the system is mathematically described by the dynamic failure tree. At the second stage, based on the failure tree, a Markov model is formed. Applying it, it is possible to calculate the probabilistic characteristics of the system.The result is a mathematical relationship between the probability of trouble-free operation of the system and the parameters of the components of the system. In particular, the operating time to failure of the main and redundancy subsystems, as well as the parameters of switching devices that corresponds to errors of the first and second type. The form of presentation of the obtained results for the end user is a software product that automatically generates a family of graphs for reliability evaluation. Ignoring the errors of switching devices in the design of systems reduces their actual reliability, leads to underutilization of the reserve component resources, and also increases the probability of emergency situations.Using a more accurate mathematical model makes it possible to monitor the errors of switching devices during the design of the system. The simulation results will be useful for selecting the parameters of the switching devices.Объектом исследования является невозобновляемая система с однократным скользящим резервированием. Такая система состоит из двух основных подсистем, одной резервной и двух переключающих устройств. Пока обе основные подсистемы работоспособны, резервная подсистема находится в ненагруженном состоянии. Резервная система предназначена для замены какой-либо основной подсистемы после ее отказа. Переключающие устройства коммутируют основные подсистемы с резервной. В ходе аудита выявлено, что переключающие устройства допускают ошибки. В частности ошибку первого рода, то есть переключаются преждевременно, и ошибку второго рода, то есть пропускают момент переключения. Это снижает надежность системы и ведет к недоиспользованию заложенного в нее ресурса.Предложен подход, который количественно учитывает влияние ошибок первого и второго рода на вероятность безотказной работы исследуемой системы во время ее проектирования. Подход состоит из двух этапов. На первом этапе надежность системы математически описывается динамическим деревом отказов. На втором этапе на основе дерева отказов формируется марковская модель. Применяя ее, можно вычислить вероятностные характеристики системы.Полученным результатом является математическая зависимость между вероятностью безотказной работы системы и параметрами элементов системы. В частности, параметрами наработки до отказа основных и резервных подсистем, а также параметрами переключающих устройств, которые соответствуют ошибкам первого и второго рода. Формой представления полученных результатов для конечного пользователя является программный продукт, который автоматизировано генерирует семейство графиков для оценки надежности. Игнорирование ошибок переключающих устройств при проектировании систем снижает их фактическую надежность, приводит к недоиспользованию ресурсов резервных элементов, а также увеличивает вероятность аварийных ситуаций.Использование более точной математической модели дает возможность контролировать ошибки переключающих устройств при проектировании системы. Результаты моделирования будут полезны для выбора параметров переключающих устройств.Об'єктом дослідження є невідновлювана система з однократним ковзним резервуванням. Така система складається із двох основних підсистем, однієї резервної та двох перемикальних пристроїв. Поки обидві основні підсистеми працездатні, резервна підсистема перебуває у ненавантаженому стані. Резервна система призначена для заміни будь-якої основної підсистеми після її відмови. Перемикальні пристрої комутують основні підсистеми із резервною. В ході аудиту виявлено, що перемикальні пристрої допускають помилки. Зокрема помилку першого роду, тобто перемикаються завчасно, та помилку другого роду, тобто пропускають момент перемикання. Це знижує надійність системи та веде до недовикористання закладеного в неї ресурсу.Запропоновано підхід, який кількісно враховує вплив помилок першого та другого роду на ймовірність безвідмовної роботи досліджуваної системи під час її проектування. Підхід складається з двох етапів. На першому етапі надійність системи математично описується динамічним деревом відмов. На другому етапі на основі дерева відмов формується марковська модель. Застосовуючи її, можна обчислити ймовірнісні характеристики системи.Отриманим результатом є математична залежність між ймовірністю безвідмовної роботи системи та параметрами елементів системи. Зокрема, параметрами напрацювання до відмови основних та резервних підсистем, а також параметрами перемикальних пристроїв, які відповідають помилкам першого та другого роду. Формою представлення отриманих результатів для кінцевого користувача є програмний продукт, який автоматизовано генерує сімейство графіків для оцінювання надійності. Ігнорування помилок перемикальних пристроїв під час проектування систем знижує їх фактичну надійність, призводить до недовикористання ресурсів резервних елементів, а також збільшує ймовірність аварійних ситуацій.Використання більш точної математичної моделі дає можливість контролювати помилки перемикальних пристроїв під час проектування системи. Результати моделювання будуть корисні для вибору параметрів перемикальних пристроїв

Врахування помилок перемикального пристрою для системи із ковзним резервуванням на основі динамічного дерева відмов

The object of research is a non-renewable system with a single sliding reservation. Such system consists of two main subsystems, one redundancy and two switching devices. While both main subsystems are operable, the spare subsystem is in an unloaded state. The redundancy system is designed to replace any major subsystem after its failure. Switching devices commute the main subsystems with a redundancy one. During the audit, it was revealed that the switching devices allow errors. In particular, a mistake of the first type, that is, they switch in advance, and a second type of error, that is, they pass the switching moment. This reduces the reliability of the system and leads to underutilization of the inherent resource.An approach is proposed that quantitatively takes into account the influence of errors of the first and second type on the probability of failure-free operation of the system under study during its design. The approach consists of two stages. At the first stage, the reliability of the system is mathematically described by the dynamic failure tree. At the second stage, based on the failure tree, a Markov model is formed. Applying it, it is possible to calculate the probabilistic characteristics of the system.The result is a mathematical relationship between the probability of trouble-free operation of the system and the parameters of the components of the system. In particular, the operating time to failure of the main and redundancy subsystems, as well as the parameters of switching devices that corresponds to errors of the first and second type. The form of presentation of the obtained results for the end user is a software product that automatically generates a family of graphs for reliability evaluation. Ignoring the errors of switching devices in the design of systems reduces their actual reliability, leads to underutilization of the reserve component resources, and also increases the probability of emergency situations.Using a more accurate mathematical model makes it possible to monitor the errors of switching devices during the design of the system. The simulation results will be useful for selecting the parameters of the switching devices.Объектом исследования является невозобновляемая система с однократным скользящим резервированием. Такая система состоит из двух основных подсистем, одной резервной и двух переключающих устройств. Пока обе основные подсистемы работоспособны, резервная подсистема находится в ненагруженном состоянии. Резервная система предназначена для замены какой-либо основной подсистемы после ее отказа. Переключающие устройства коммутируют основные подсистемы с резервной. В ходе аудита выявлено, что переключающие устройства допускают ошибки. В частности ошибку первого рода, то есть переключаются преждевременно, и ошибку второго рода, то есть пропускают момент переключения. Это снижает надежность системы и ведет к недоиспользованию заложенного в нее ресурса.Предложен подход, который количественно учитывает влияние ошибок первого и второго рода на вероятность безотказной работы исследуемой системы во время ее проектирования. Подход состоит из двух этапов. На первом этапе надежность системы математически описывается динамическим деревом отказов. На втором этапе на основе дерева отказов формируется марковская модель. Применяя ее, можно вычислить вероятностные характеристики системы.Полученным результатом является математическая зависимость между вероятностью безотказной работы системы и параметрами элементов системы. В частности, параметрами наработки до отказа основных и резервных подсистем, а также параметрами переключающих устройств, которые соответствуют ошибкам первого и второго рода. Формой представления полученных результатов для конечного пользователя является программный продукт, который автоматизировано генерирует семейство графиков для оценки надежности. Игнорирование ошибок переключающих устройств при проектировании систем снижает их фактическую надежность, приводит к недоиспользованию ресурсов резервных элементов, а также увеличивает вероятность аварийных ситуаций.Использование более точной математической модели дает возможность контролировать ошибки переключающих устройств при проектировании системы. Результаты моделирования будут полезны для выбора параметров переключающих устройств.Об'єктом дослідження є невідновлювана система з однократним ковзним резервуванням. Така система складається із двох основних підсистем, однієї резервної та двох перемикальних пристроїв. Поки обидві основні підсистеми працездатні, резервна підсистема перебуває у ненавантаженому стані. Резервна система призначена для заміни будь-якої основної підсистеми після її відмови. Перемикальні пристрої комутують основні підсистеми із резервною. В ході аудиту виявлено, що перемикальні пристрої допускають помилки. Зокрема помилку першого роду, тобто перемикаються завчасно, та помилку другого роду, тобто пропускають момент перемикання. Це знижує надійність системи та веде до недовикористання закладеного в неї ресурсу.Запропоновано підхід, який кількісно враховує вплив помилок першого та другого роду на ймовірність безвідмовної роботи досліджуваної системи під час її проектування. Підхід складається з двох етапів. На першому етапі надійність системи математично описується динамічним деревом відмов. На другому етапі на основі дерева відмов формується марковська модель. Застосовуючи її, можна обчислити ймовірнісні характеристики системи.Отриманим результатом є математична залежність між ймовірністю безвідмовної роботи системи та параметрами елементів системи. Зокрема, параметрами напрацювання до відмови основних та резервних підсистем, а також параметрами перемикальних пристроїв, які відповідають помилкам першого та другого роду. Формою представлення отриманих результатів для кінцевого користувача є програмний продукт, який автоматизовано генерує сімейство графіків для оцінювання надійності. Ігнорування помилок перемикальних пристроїв під час проектування систем знижує їх фактичну надійність, призводить до недовикористання ресурсів резервних елементів, а також збільшує ймовірність аварійних ситуацій.Використання більш точної математичної моделі дає можливість контролювати помилки перемикальних пристроїв під час проектування системи. Результати моделювання будуть корисні для вибору параметрів перемикальних пристроїв

A Reliability Assessment Framework for Systems With Degradation Dependency by Combining Binary Decision Diagrams and Monte Carlo Simulation

International audienceComponents are often subject to multiple competing degradation processes. This paper presents a reliability assessment framework for multicomponent systems whose component degradation processes are modeled by multistate and physics-based models with limited statistical degradation/failure data. The piecewise-deterministic Markov process modeling approach is employed to treat dependencies between the degradation processes within one component or/and among components. A computational method combining binary decision diagrams (BDDs) and Monte Carlo simulation (MCS) is developed to solve the model. A BDD is used to encode the fault tree of the system and obtain all the paths leading to system failure or operation. MCS is used to generate random realizations of the model and compute the system reliability. A case study is presented, with reference to one branch of the residual heat removal system of a nuclear power plant

Un cadre holistique de la modélisation de la dégradation pour l’analyse de fiabilité et optimisation de la maintenance de systèmes de sécurité nucléaires

Components of nuclear safety systems are in general highly reliable, which leads to a difficulty in modeling their degradation and failure behaviors due to the limited amount of data available. Besides, the complexity of such modeling task is increased by the fact that these systems are often subject to multiple competing degradation processes and that these can be dependent under certain circumstances, and influenced by a number of external factors (e.g. temperature, stress, mechanical shocks, etc.). In this complicated problem setting, this PhD work aims to develop a holistic framework of models and computational methods for the reliability-based analysis and maintenance optimization of nuclear safety systems taking into account the available knowledge on the systems, degradation and failure behaviors, their dependencies, the external influencing factors and the associated uncertainties.The original scientific contributions of the work are: (1) For single components, we integrate random shocks into multi-state physics models for component reliability analysis, considering general dependencies between the degradation and two types of random shocks. (2) For multi-component systems (with a limited number of components):(a) a piecewise-deterministic Markov process modeling framework is developed to treat degradation dependency in a system whose degradation processes are modeled by physics-based models and multi-state models; (b) epistemic uncertainty due to incomplete or imprecise knowledge is considered and a finite-volume scheme is extended to assess the (fuzzy) system reliability; (c) the mean absolute deviation importance measures are extended for components with multiple dependent competing degradation processes and subject to maintenance; (d) the optimal maintenance policy considering epistemic uncertainty and degradation dependency is derived by combining finite-volume scheme, differential evolution and non-dominated sorting differential evolution; (e) the modeling framework of (a) is extended by including the impacts of random shocks on the dependent degradation processes.(3) For multi-component systems (with a large number of components), a reliability assessment method is proposed considering degradation dependency, by combining binary decision diagrams and Monte Carlo simulation to reduce computational costs.Composants de systèmes de sûreté nucléaire sont en général très fiable, ce qui conduit à une difficulté de modéliser leurs comportements de dégradation et d'échec en raison de la quantité limitée de données disponibles. Par ailleurs, la complexité de cette tâche de modélisation est augmentée par le fait que ces systèmes sont souvent l'objet de multiples processus concurrents de dégradation et que ceux-ci peut être dépendants dans certaines circonstances, et influencé par un certain nombre de facteurs externes (par exemple la température, le stress, les chocs mécaniques, etc.).Dans ce cadre de problème compliqué, ce travail de thèse vise à développer un cadre holistique de modèles et de méthodes de calcul pour l'analyse basée sur la fiabilité et la maintenance d'optimisation des systèmes de sûreté nucléaire en tenant compte des connaissances disponibles sur les systèmes, les comportements de dégradation et de défaillance, de leurs dépendances, les facteurs influençant externes et les incertitudes associées.Les contributions scientifiques originales dans la thèse sont:(1) Pour les composants simples, nous intégrons des chocs aléatoires dans les modèles de physique multi-états pour l'analyse de la fiabilité des composants qui envisagent dépendances générales entre la dégradation et de deux types de chocs aléatoires.(2) Pour les systèmes multi-composants (avec un nombre limité de composants):(a) un cadre de modélisation de processus de Markov déterministes par morceaux est développé pour traiter la dépendance de dégradation dans un système dont les processus de dégradation sont modélisées par des modèles basés sur la physique et des modèles multi-états; (b) l'incertitude épistémique à cause de la connaissance incomplète ou imprécise est considéré et une méthode volumes finis est prolongée pour évaluer la fiabilité (floue) du système; (c) les mesures d'importance de l'écart moyen absolu sont étendues pour les composants avec multiples processus concurrents dépendants de dégradation et soumis à l'entretien; (d) la politique optimale de maintenance compte tenu de l'incertitude épistémique et la dépendance de dégradation est dérivé en combinant schéma volumes finis, évolution différentielle et non-dominée de tri évolution différentielle; (e) le cadre de la modélisation de (a) est étendu en incluant les impacts des chocs aléatoires sur les processus dépendants de dégradation.(3) Pour les systèmes multi-composants (avec un grand nombre de composants), une méthode d'évaluation de la fiabilité est proposé considérant la dépendance dégradation en combinant des diagrammes de décision binaires et simulation de Monte Carlo pour réduire le coût de calcul