(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111478616.6 (22)申请日 2021.12.0 6 (71)申请人 中国航空综合 技术研究所 地址 100028 北京市朝阳区东 直门外京顺 路7号 (72)发明人 王如平　张睿明　 (74)专利代理 机构 北京孚睿湾知识产权代理事 务所(普通 合伙) 11474 代理人 韩燕 (51)Int.Cl. G06F 30/20(2020.01) G06F 11/36(2006.01) G06F 119/02(2020.01) (54)发明名称 故障传播模型下复杂系统任务可靠性试验 用例设计方法 (57)摘要 本发明提供了一种故障传播模型下复杂系 统任务可靠性试验用例设计方法， 其包括： 基于 Altarica系统故障传播模型， 收集并确认系统任 务可靠性要求和模型， 确定任务可靠性试验的故 障模式最低层次， 确定任务可靠性试验注入的故 障模式及组合， 确定各严重故障模式的试验样本 数量， 选定各严重故障模式的试验样本及判据， 生成任务可靠性试验测试用例。 本发明利用 Altarica故障传播模型进行了规范化表达， 保证 了任务可靠性试验设计的输入数据源一致， 并在 保证验证充分性的前提下缩减了验证规模， 提高 了试验效率， 相对于单纯考虑失效率的方法更为 合理。 权利要求书4页 说明书10页 附图4页 CN 114218775 A 2022.03.22 CN 114218775 A 1.一种故障传播模型下复杂系统任务可靠性试验用例设计方法， 其特征在于， 其包括 以下步骤： S1、 收集并确认系统任务可靠性要求和模型： S11、 确定系统任务可靠性试验考虑的任务剖面、 各任务剖面关联的功能以及系统的容 错能力准则； S12、 根据系统功能危害性评估或功能的失效模式与影响分析FMEA结果， 提取影响任务 的系统级严重故障状态； S13、 收集设计阶段建立的Altarica系统故障传播模型， 利用核查和步进仿真的方法确 认故障传播模型的正确性； S2、 确定任务可靠性试验的故障模式最低层次； 通过对所述Altarica系统故障传播模 型中包含的冗余设计特征 的检索， 从而确定系统的故障检测与重构层级， 其中系统故障检 测或冗余设计的最低组件层次应为试验考虑的故障模式最低层次； 所述步骤S2具体包括以 下步骤： S21、 设所述Altarica系统故障传播模型的层次数为N， 任一层次i的组件数量为ni， 第i 个层次的第 j个组件为Cij， 设置了容错设计措施的组件集合为CM， 未设置容错设计措施的组 件集合为CN； 其中， N＞1， 1≤i≤N， 1≤j≤ni； S22、 初始化 参数： 设i ＝1， j＝1； S23、 获取组件的故障状态集合： 检查 组件Cij对应节点＜Node＞的状态＜state＞集合， 获取其故障状态集 合FMij； S24、 判定组件各故障状态影响组件功能输出时， 是否有直接的容 错设计措施： S25、 判定组件发生故障时， 是否发出故障信号启动系统容 错： S26、 排查Cij所在层次所有组件， 若j≤ni， 则j＝j+1， 返回步骤S23； 否则执 行步骤S27； S27、 排查Cij以上层次组件： 若i≤N， 则i ＝i+1， j＝1， 执 行步骤S23； 否则执 行步骤S28； S28、 确定试验验证的故障模式层级： 设Cmo......Cmp为CM中的最低层次组件， 则m为试验 考虑的故障模式层级； S3、 确定任务可靠性试验注入的故障模式及组合； 通过在所述Altarica故障传播模型 设置仿真观测点， 即步骤S1 中确定的影响任务的系统级严重故障状态， 并实施状态机仿 真， 输出严重故障模式组合： {(fm1、 fm2......fmN)......(fm1′、 fm2′......fmN′)}         (2)； S4、 确定各严重故障模式的试验样本数量； 按照故障模式的失效率高低和对任务的影 响程度， 将各严重故障模式划分为不同风险等级， 在给定最大试验样本量约束和各风险等 级样本数量的条件下， 合理分配各故障模式的样本量， 所述影响程度包括任务 失败、 降级和 余度减低； S41、 按照失效模式与影响分析FMEA确定严酷度等级的分类： 按照所述Altarica系统故 障传播模 型生成的失效模式与影响分析FMEA结果， 将各故障模式归类到M个严酷度等级中； 其中M表示 严酷度等级数量； S42、 基于步骤S3所获的所有严重故障模式失效率， 确定各故障模式的失效率等级分 类； S43、 确定各风险等级的试验样本数量ti；权　利　要　求　书 1/4 页 2 CN 114218775 A 2S5、 选定各严重故障模式的试验样本及判据； S51、 在所述Altarica故障传播模型中， 以每个严重故障模式作为仿真观测点， 通过模 型仿真输出导 致严重故障发生的低层次故障模式集 合； S52、 根据步骤S4确定的试样样本数量， 按照失效率从高到低的原则选择可实施的故障 模式作为试验样本； S53、 在所述Altarica故障传播模型中， 根据系统功能要求选择合适的功能观测点， 采 用步进仿真的方式激发试验样本对应的故障模式， 查看模型中功 能观测点的变化， 作为试 验样本执 行的判据； S6、 生成任务可靠性试验测试用例： 将步骤S3中的获得严重故障模式及组合作为任务 可靠性测试用例中的故障模式项， 将步骤S 5中获得的紧邻下一级故障模式作为测试用例中 的故障原因项， 将步骤S 5中获得的试验样本作为测试用例中的试验手段项， 将步骤5中获得 的试验样本执 行判据作为 容错成功判据项。 2.根据权利要求1所述的故障传播模型下复杂系统任务可靠性试验用例设计方法， 其 特征在于， 所述 步骤S3具体包括以下步骤： S31、 通过所述Altarica系统故障传播模型仿真得到导致任务失败的故障序列， 设所述 故障序列包括一阶故障序列FM1、 二阶故障序列FM2、 ......、 N阶故障序列FMn， 系统最低层次 单个故障模式的全集为FM， 试验考虑的单故 障模式集合为SFMT， 试验考虑的组合故障模式 为MFMT； S32、 确定试验应注入的单个严重故障模式： 对于系统最低层次单个故障模式的全集FM 中任何单个故障模式fm， 判断与所述故障序列的关系； S33、 确定试验应注入的严重故障模式组合： 根据系统的容错能力目标确定试验考虑的 严重故障模式组合， 设系统的容错能力为所述A ltarica系统故障传播模 型的层次数N， 以N + 1阶故障序列为基础， N+1阶故障序列中包 含的故障模式组合 集合为： {(fm1、 fm2、 ......、 fmN+1)......(fm1′、 fm2′......fmN+1′)}        (1)； 将集合中每个故障模式的最后一个模式去掉， 得到新的集合式(2)， 即为试验考虑的严 重故障模式组合。 3.根据权利要求1所述的故障传播模型下复杂系统任务可靠性试验用例设计方法， 其 特征在于， 所述 步骤S24具体包括以下步骤： S241、 对集合FMij中的任一故障状态， 从系统断言＜assert＞集合中检索出其影响的Cij 组件输出端口集 合记为OFij； S242、 对于OFij集合中的任一输出＜outflow＞， 从系统断言＜assert＞集合中检索其 所有关联的输入端口及所在组件， 并检索该组件中与输入端口相关的断言＜as sert＞； S243、 若所有断言＜assert＞包含的故障逻辑全部为或门OR， 则认为组件Cij未采取任 何设计控制措施， 即Cij∈CN； 否则认为 其采取了必要的设计控制措施， 即Cij∈CM； 所述步骤S25具体包括以下步骤： S251、 对集合FMij中的任一故障状态， 查找其对应的迁移＜trans＞转移事件， 检索组件 Cij相关的断言＜as sert＞全集； S252、 若断言＜assert＞集合中包含该迁移＜trans＞， 则认为其一定采取了必要的设 计控制措施， 即Cij∈CM， 否则Cij∈CN。权　利　要　求　书 2/4 页 3 CN 114218775 A 3