29、系统评估与验证：方法、挑战与实践

系统评估与验证：方法、挑战与实践

1. 故障树分析与失效模式及影响分析

在评估系统可靠性时，实验验证完整系统的故障率往往不可行，因为要求的故障率极小，且某些故障是不可接受的。为解决这一困境，可结合检查组件故障率并从中正式推导系统可靠运行的保证，同时要考虑设计和用户产生的故障。目前，使用决策图从组件可靠性计算系统可靠性是一种先进方法。

风险可定义为危害（故障发生的可能性）导致的损害的严重程度（成本）与概率的乘积。有两种技术可用于推导组件故障导致的损害信息：
- 故障树分析（FTA） ：这是一种自上而下的风险分析方法。从可能的损害出发，尝试找出导致该损害的可能场景。它基于对反映系统运行状态（运行或不运行）的布尔函数进行建模，通常包含与门（&）和或门（≥1）符号，分别代表可能损害的条件。或门用于单个事件可能导致危害的情况，与门用于多个事件或条件共同导致危害的情况。FTA基于系统的结构模型，反映了系统的组件划分。不过，简单的与门和或门无法模拟所有情况，例如存在有限共享资源（如能量或存储位置）时，可能需要使用基于状态概念的马尔可夫模型。
- 失效模式及影响分析（FMEA） ：这是一种自下而上的分析方法。从组件开始，估计其可靠性，然后根据组件的可靠性计算系统的可靠性。第一步是创建一个包含组件、可能的故障、故障概率和对系统行为影响的表格，然后从该表格计算系统的整体风险。

以下是一个FMEA表格示例：
| 组件 | 故障 | 后果 | 概率 | 是否关键 |
| — | — | — | — | — |
| 处理器 | 金属迁移 | 无服务 | 10⁻⁷/h | 是