[0001] 本发明的各种示例一般涉及使用故障树对多部件控制或致动器系统建模。本发明的各种示例具体涉及识别故障树中的闭环（ring closures）。

[0002] 安全关键系统在诸如航空航天、铁路、卫生保健、汽车和工业自动化之类的嵌入式系统的许多应用领域中的重要性正在不断发展。因此，随着系统复杂性的发展，对于安全性保证及其努力的需求也在增加，以便保证在这些应用领域中的高质量需求。安全性保证的目的是确保系统不会导致可能危害人或危及环境的危险情形。在安全关键系统的应用领域中，借助于标准来定义安全性保证，参见例如国际电工委员会（IEC）61508“Functional safety of electrical/electronic/programmable electronic safety related systems”（1998）。

[0003] 传统上，系统在安全性方面的评估是基于自底向上的安全分析方法，诸如故障模式和影响分析（FMEA），参见IEC 60812“Analysis Techniques for System Reliability - Procedure for Failure Mode and Effects Analysis（FMEA）”（1991）。替代地，根据参考实现对系统的评估是基于自顶向下的方法，诸如故障树分析（FTA），参见例如Vesely，W.E.、Goldberg，F.F.、Roberts，N.H.、Haasl，D.F.：故障树手册，美国核管理委员会（1981）。通过此类技术，识别系统故障状态、其原因和影响对系统安全性的影响是可能的。

[0004] 系统的架构常常包含环路（loop）。对于环路的示例是闭环控制器（PID）。闭环控制指的是这样的过程：其中物理变量（例如环境温度）将被带到特定值，同时被稳定免受干扰。基于测量指示物理变量的可观测物而获得的反馈被用来设定影响物理变量的致动器的操作。控制器是获取实际值并从设定点和实际值之间的差导出控制信号的部件。然后，控制器激活补偿控制偏差的最终控制元件，例如加热器。

[0005] 因为故障传播模型常常使用布尔逻辑来例如驱动故障树（FT），所以环路是有问题的。因为布尔逻辑通常不能包含环路，所以存在在此类模型中防止环路的技术，例如，如Kai Höfig，Joe Zhensheng Guo和Amir Kazeminia的如下文档中所描述的：Streamlining architectures for integrated safety analysis using design structure matrices (dsms)（使用设计结构矩阵简化集成安全分析的架构）——安全性和可靠性：方法和应用，2014。对于其中自动组成故障传播模型的应用（例如当生成架构时），此类预防性技术不能帮助。常常不能防止此类环路，它们仅在系统组成期间从故障传播模型的现有部件和现有部分发展。因此，需要一种能够处理在使用布尔逻辑的故障传播模型中的环路的技术。

[0006] 在Joon-Eon Yang、Sang-Hoo Han、Jin-Hee Park和Young-Ho An的Analytic method to break logical loops automatically in psa（在psa中自动断开逻辑环路的分析方法）——可靠性工程&系统安全性，56（2）：101-105，1997中，作者自动地分析地打破开环。它们使用布尔方程的自顶向下的扩展，直到它们通过对结合中的相同结构元件寻址两次来检测环路为止。然后将该项从方程中移除，认为基本事件的较大倍增导致整体可靠性的较小部分。结果可能变得不精确和乐观，并且故障随着检测到的环路的数目而增加。

[0007] 在Jonas Elmqvist和Simin Nadjm-Tehrani的Safety-Oriented Design of Component Assemblies using Safety Interfaces——部件软件的形式方面，2006中，环路也从故障传播模型中被移除，但是此工作仅解决了只有一个入口和一个出口点的一维环路。因此，不可能或仅可能在有限程度上打开具有也进入到其他环路中的多个入口和出口点的多维的任意环路。

[0008] 在Philippe Cuenot、Loic Quran、Andreas Baumgart、Markus Oertel、Tilman Ochs、Christopher Ainhauser和Lukas Bulwahn的Deliverable D331a2: Proposal for extension of meta-model for error failure and propagation analysis——安全汽车软件架构（SAFE），ITEA2项目，2013中，作者也使用自顶向下的方法来递归地扩展通过所有现有环路的布尔公式。在进一步展开环路的步骤之后停止此递归不再改变布尔方程的剪切集。假设这是终止算法的有效准则——因为剪切集的数目是有限的。不存在展开将不会在两个解决方案之间交替的证据。此外，剪切集的数目指数增长，并且算法也是如此，其应该是在O(nn)中。

[0009] 另一方法可以在Ho-Gon Lim和Sang-Hoon Han的Systematic treatment of circular logics in a fault tree analysis——核工程与设计，245（增刊C）：172-179，2012中找到，其中研究了系统的初始条件以处理环形逻辑。环形逻辑的初始条件是其中环路闭合的点。如果下一个门属于无法运行或无法启动的类型，则不同地处理环形逻辑。这些条件指示支持系统是否处于待机中以及是否需要被启动以履行其功能，或者系统是否正在运行且未能执行其操作。故障树逻辑的所有门需要此知识，所述故障树逻辑关闭环路以使用该算法来自动处理环形逻辑。这限制了使从自动生成的故障树中移除环形逻辑的过程完全自动化的能力。

[0025] 在下文中，将参考附图来详细地描述本发明的实施例。要理解的是，对实施例的以下描述不将以限制意义来进行。本发明的范围不旨在由下文描述的实施例或由附图来限制，其仅仅被视为是说明性的。

[0026] 附图将被视为是示意性表示，并且附图中图示出的元件不一定按比例示出。更确切地说，各种元件被表示成使得它们的功能和一般目的对于本领域技术人员而言变得显而易见。在附图中示出或本文描述的功能块、设备，部件或其他物理或功能单元之间的任何连接或耦合也可以通过间接连接或耦合来实现。还可以通过无线连接来建立部件之间的耦合。功能块可以以硬件、固件、软件或其组合来实现。

[0027] 在下文中，描述了用于安全性保证的技术。诸如致动器和控制系统之类的多部件系统的安全性保证有助于增加在操作此类系统方面的安全性。

[0028] 在下文中，描述了可靠地且计算上廉价地检测FT中的闭环的技术。为此，从FT的输出朝向FT的一个或多个输入反向追踪多个故障传播路径。然后，对于每个故障传播路径，可以对相应的故障传播路径是否形成闭环进行检查。

[0029] 然后，如果识别出闭环，则采取适当的对策来减轻闭环对安全性保证的负面影响可以是可能的。

[0030] 例如，闭环可以由预定义表达式来替换。可以从多个候选的预定义表达式中选择预定义表达式。可以不从建模系统的架构中导出预定义表达式。更确切地说，预定义表达式可以是通用表达式，其避免闭环并且仍然在某种更大或更小的程度上适当地对系统的故障行为进行建模。

[0031] 通常，本文描述的技术可以在各种种类和类型的安全关键系统中找到应用。例如，本文描述的技术可以在多部件控制或致动器系统中找到应用。此类控制或致动器系统可以为某些机器提供控制功能性或激活功能性。可以将多部件安全关键系统的一些元件实现为硬件，而可以替代地或另外地使用软件来实现一些部件。针对其来采用所述技术的安全关键系统包括提供致动器力或控制信号以用于致动或控制一个或多个机器的输出是可能的。可受益于本文所述技术的安全关键系统的具体示例包括但不限于：电子电路，其包括有源和/或无源电子部件，诸如晶体管、线圈、电容器、电阻器等；用于诸如火车、客车或飞机之类的交通工具的动力传动系统；装配线，其包括传送带、机器人、可移动零件、控制部分、用于检查制成品的测试部分（后端测试）；医疗系统，诸如包括磁共振成像或计算机断层扫描的成像系统、粒子治疗系统；发电厂；等等。

[0032] 作为一般规则，在本文描述的各种示例中，可以使用不同种类和类型的FT。在本文描述的技术中可以依赖的FT的示例实现包括部件FT（CFT）。为简单的缘故，在下文中，在CFT的上下文中描述各种示例——尽管通常也可以采用FT。

[0033] 例如，在Kaiser，B.、Liggesmeyer，P.、Mäckel，O.：A new component concept for FTs（针对FT的新部件概念）——参见：第8届澳大利亚安全关键系统和软件研讨会论文集 - 第33卷，第37-46页SCS  '03（2003）中描述了CFT。CFT提供针对FTA的基于模型和部件的方法，其支持模块化和组合安全分析策略。CFT包括多个元件。元件与系统的部件相关联。CFT还包括元件之间的多个互连。互连与系统的部件之间的功能依赖性相关联。此类功能依赖性可以对控制信号的输入/输出或力的流动进行建模。CFT可以对系统的错误行为进行建模。可以使用分层分解的方法由CFT对系统的错误行为进行建模。这里，可以基于部件的个体行为来预测系统的整体行为。换句话说，导致整体系统行为的因果链可能是通过部件的错误的因果链的模型。CFT可以包括相邻元件之间的布尔链路（有时也被称为门），以对遍及系统的误差传播（即互连）建模。CFT可以使用图对系统建模；这里，图的节点可以对应于元件，并且图的边可以对应于链路。

[0034] 本文描述的各种技术基于以下发现：如果CFT使用布尔逻辑表达式对系统建模包括闭环，则它们可能发生故障。如果CFT的元件的输入值是从已经包括在与那个输入值相关联的布尔逻辑表达式中的输出导出的，则通常可能存在闭环。

[0035] 为了激发本文描述的技术，接下来，将描述实现以简单的方式处理此类CFT的形式体系。

[0036] FT中的每个节点在变量上被指派。如果将某些变量指派给基本事件，则它们是终端。如果它们不是终端，则变量表达和（AND）或者或（OR）门的单个布尔公式。

[0037] 具有了用于环形逻辑的上述形式体系，考虑以下计算规则。A1、A2、A3、A4是微不足道的并且符合布尔逻辑。A5是一种表示法并且不会影响布尔逻辑。规则A6、A7和A8检测闭环并通过以下来将其移除。

[0038] 这里，⊥描述逻辑假，并且T描述逻辑真。

[0039] 为了激发A7和A8有意义，首先理解A6是必要的。一种方法假设比如X = Y的表达式是重言式（tautology），并且它是X=Y⇒T，但是它不是重言式。它是存在的最小的闭环。现在考虑特定示例，即X是对泵故障进行建模的变量，而不是说X = Y只不过是表述：如果泵发生故障，泵就发生故障，并且如果泵没有发生故障，则它就没有发生故障。因此，可以从那个偏离的事物不是重言式，而只是至始至终用Ɵ表达的中立性。

[0040] 因为与结合相关的中性元素是T（逻辑真），并且与分离相关的中性元素是⊥（逻辑假），所以它是根据本文描述的示例，应用A1-A5来反向追踪从CFT的输出朝向CFT的一个或多个输入的多个故障传播路径是可能的。然后，使用A1-A5，每个故障传播路径可以以其元件的一系列逻辑组合来表达。因为CFT的所有故障传播路径要么在终端节点/基本事件（即CFT的输入）中结束，要么在闭环中结束，所以算法终止。因为对于n个门和基本事件，每个故障传播路径以n个步骤在输入端子或闭环中结束。如果存在n个变量，则算法因此具有复杂度O(n2)。

[0041] 图1图示出关于FT 101的各方面。例如，在Vesely，W.E.、Goldberg，F.F.、Roberts，N.H.、Haasl，D.F.：“FT Handbook”美国核管理委员会（1981）中描述了FT 101的概念的细节。FT 101可以被用来在本文描述的各种示例中对系统的故障行为进行建模。因此，FT可以便于安全性保证。可以使用故障行为以便测试系统是否可以安全地操作。可以使用故障行为以便识别系统设计的缺点。

[0042] FT 101由包括节点（在图1中由几何形状图示出）和边（在图1中由几何形状之间的线图示出）的图来表示。

[0043] 如图1中所图示，FT 101包括由相应节点建模的基本事件111、112；这些基本事件形成FT 101的输入。基本事件可以对应于操作故障事件，即，取决于是否存在故障事件，可以取逻辑真或逻辑假。操作故障事件可以对应于由FT 101建模的系统的操作的一些缺陷。例如，操作故障事件可以对应于诸如电阻器或开关之类的电子部件的故障。例如，操作故障事件可以对应于诸如压力释放阀等等之类的阀的故障。例如，操作故障事件可以对应于冷却系统的故障。存在由操作故障事件建模的故障的种类和类型的许多可能性；给出的示例仅仅是说明性示例，并且各种各样的不同种类和类型的操作故障事件是可构想的。

[0044] FT 101还包括输入端口113、114，形成FT 101的另外的输入。输入端口113、114可以从另外的FT（图1中未图示出）的一个或多个另外的节点接收故障状态。

[0045] FT 101还包括布尔运算符115、116。将布尔运算符115实现为操作故障事件111和输入端口113的状态的逻辑“或”组合；同时将布尔运算符116实现为操作故障事件112和输入端口114的状态的逻辑“与”组合。除了“与”和“或”运算之外，其他操作是可能的，例如与非（NAND）或异或（XOR）。

[0046] 布尔运算符115、116与FT 101的相应元件131、132相关联。

[0047] 因此，基于FT 101，对故障事件（例如，操作故障事件111和112）的故障传播路径建模是可能的。特别地，可以检查故障事件的故障传播路径是否影响一个或多个顶部端口117、118（即FT 101的输出）的状态。

[0048] 在图1中，独立于系统的各种部件来定义FT 101。在其他示例中，可能这样定义FT，其中FT的各个元件和互连与建模的系统的一个或多个部件相关联，即使用CFT。此类CFT在图2中图示出。

[0049] 图2图示出了关于CFT 102的各方面。CFT 102--以与FT 101相当的方式--由包括节点（在图2中由几何形状图示出）和边（在图1中由几何形状之间的线图示出）的图来表示。

[0050] 再次地，CFT包括操作故障事件111、输入端口113、113A、布尔运算符115、116、和顶部端口117、118、118A。在图2的示例中，整个CFT 102与单个元件130相关联；元件130对应于系统的部件。因此，在一方面实现CFT 102的图的不同节点和互连与系统的各种部件（在图2中，因为简单的缘故，仅由元件130表示单个部件--虽然通常可以由多个元件来对多个部件建模）之间提供映射。

[0051] 在一方面实现CFT 102的图的不同节点和互连与另一方面系统的各种部件之间的此类映射实现了对与系统的部件相关联的内部操作故障状态进行建模并且在部件级别上分析遍及系统的操作故障状态的故障传播路径。这便于预测系统的某些部件是否将被系统故障状态影响。通常，CFT实现了将特定的顶部事件与其中可能出现故障的对应端口相关联。例如，在图2中，与顶部端口117相关联的操作故障事件将在系统级别上出现在端口118A处。这便于安全分析模型的增加的可维护性。

[0052] 通常，可以将CFT 102变换到经典FT 101—并且反之亦然。这可以通过移除各种元件130和诸如图2的示例中的顶部端口118A和输入端口113A之类的任何复制端口来完成。

[0053] 图3图示了关于多部件控制或致动器系统230的各方面。在图3的示例中，系统230包括开关或继电器形式的多个部件231-233。还图示出了用于开关231-233和开关元件231-2、232-2、233-2的致动器231-1、232-1、233-1。以级联方式布置开关231-233，使得例如在关闭开关元件231-2时，开关232被致动。例如，开关231-233可以由晶体管或继电器来实现。开关231、232可以是常开的；而开关233可以是常闭的。图3是系统230的电路图。

[0054] 由于开关231-233的级联布置，例如开关232的故障也将影响开关233的操作。这通过相关联的CFT的对应故障传播路径来反映。

[0055] 图4图示了关于CFT 102的各方面。特别地，图4图示出了对根据图3的系统230进行建模的CFT 102。CFT 102包括与部件231-233相对应的元件131-133，即图3和图4的示例中的开关。每个元件131-133具有输入端口113和顶部端口117。此外，每个元件131-133与操作故障事件111相关联。操作故障事件111对应于相应部件231-233的故障。

[0056] 系统故障状态的特征在于参与的操作故障事件和相关联的故障传播路径。例如，不同的系统故障状态可以与不同的顶部事件相关联：顶部事件118A可以对应于多个系统故障状态的给定系统故障状态。在图4的示例中，顶部事件118A的系统故障状态可以由元件131-133的操作故障事件111中的任何一个触发。出于示例性目的，与元件131的操作故障事件111相关联的故障传播路径170在图4中图示出（图4中的虚线）。

[0057] 在一些示例中，可以基于系统230的电路图来自动生成CFT 102。通常，电路图包括互连的电部件（诸如图3的示例中的开关231-233）。并且因此，自动地提取信息以创建CFT 102来适当地对系统230建模是可能的。借助于CFT 102对系统230建模的示例技术在Zeller，M.、Höfig，K.的以下文献中被描述：INSiDER：“Incorporation of system and safety analysis models using a dedicated reference model”2016年度可靠性和可维护性研讨会（RAMS）（2016）第1-6页。由此，对于系统230的每个部件/开关231-233，在CFT 
102中创建元件131-133。CFT 102的互连遵循电路图的电迹线。参见Möhrle，F.、Zeller，M.、Hfig，K.、Rothfelder，M.、Liggesmeyer，P.：“Automating compositional safety analysis using a failure type taxonomy for CFTs”，Walls，L.、Revie，M.、Bedford，T.（eds.）风险、可靠性和安全性：创新理论与实践：ESREL 2016年会议录，第1380-1387页（2016）。由此，例如，如果为系统230内的每种类型的电子部件预定义元件131-133，则可以完全自动地确定CFT 102。

[0058] 图5图示出了关于CFT 102的各方面。图5的CFT 102对应于图4的CFT。在图5的示例中，图示出了故障传播路径170的反向追踪。这里，从作为CFT 102的输出的顶部端口118A开始，扩展故障传播路径170的链路501-503。链路501在CFT 102的输出（即顶部端口118A）和最顶部元件233之间；链路502在元件233和元件232之间；并且链路502在元件232和元件231之间。

[0059] 由于图4和图5的示例中的CFT 102的线性结构，所以仅存在单个故障传播路径170；通常，可存在多个故障传播路径170，其可以具有或者可以不具有一些重叠。

[0060] 图6图示出关于设备501的各方面。

[0061] 设备501包括人机接口（HMI）502。例如，HMI可以被配置成从用户接收信息和/或向用户输出信息。例如，HMI可以包括以下中的一个或多个：键盘；鼠标；扬声器；语音控制；监视器；等等。HMI 502是可选的。

[0062] 设备501还包括处理器503，例如多核处理器。处理器503被配置成从存储器504（例如，非易失性存储器）接收程序代码。处理器503被配置成执行程序代码。执行程序代码可以引起处理器503执行如本文所述的技术，例如，关于：使用FT（例如，CFT）对多部件控制或致动器系统建模；反向追踪FT的故障传播路径；识别闭环；由预定义表达式替换闭环。

[0063] 设备501还包括接口505。例如，可以经由接口505来输出控制数据。例如，借助于控制数据来控制多部件控制或致动器系统的操作可以是可能的，所述控制数据经由接口505来发射。接口505是可选的。

[0064] 图7是根据各种示例的方法的流程图。例如，可以由设备501的处理器503来执行根据图7的流程图的方法。

[0065] 在框1001中，使用诸如CFT之类的FT来对系统进行建模--诸如多部件控制或致动器系统或者包括硬件和/或软件部件的另一类型的系统。诸如CFT之类的FT可以由包括节点和边的图来定义。节点中的一些可以对应于诸如CFT 之类的FT的基本事件。

[0066] 在诸如CFT之类的FT内定义与系统的一个或多个部件的故障相关联的操作故障事件。这可以包括将操作故障事件指派给CFT的多个元件中的至少一些元件。

[0067] 接下来，在框1002中，从FT的输出朝向FT的一个或多个输入反向追踪故障传播路径。因此，可以从FT的顶级别到底级别来遵循故障传播路径。这可以通过迭代地扩展朝向FT的根（即朝向FT的一个或多个输入）的链路来迭代地实现。

[0068] 接下来，在框1003中，如果相应的故障传播路径形成闭环，则检查各种故障传播路径。

[0069] 如果识别出闭环，则可选地移除闭环。这通过用预定义表达式替换闭环来实现。可以相应地修改（adapt）FT。

[0070] 如果未识别出闭环，则不需要采取动作。

[0071] 框1002和1003的示例实现在图8中图示出。

[0072] 图8是根据各种示例的方法的流程图。图8图示出了关于反向追踪故障传播路径的各方面。框1011-1013可以对应于图7的框1002的示例实现。

[0073] 图8图示出了迭代方法。框1011触发多次迭代。在框1011处，检查（例如，先前迭代的或在FT的顶部端口处开始的）故障传播路径是否已到达底部端口，即FT的输入。在肯定的情况下，针对该故障传播路径不存在被扩展的更多的链路；反向追踪完成；并且该方法在框1012处结束。否则，该方法在框1013处继续进行。

[0074] 在框1013处，扩展故障传播路径的一个或多个链路。链路在与故障传播路径的方向性相反的方向上扩展。因此，框1013对应于反向追踪故障传播路径。

[0075] 跨FT的互连来扩展链路（参见图5，其中跨节点118A、233-231之间的互连来扩展链路501-503）。

[0076] 在图8中，对于每次迭代，如果相应的链路形成闭环，则执行检查。例如，可以检查新扩展的链路是否完成闭环。

[0077] 图8还图示了关于识别闭环的此类方面，即关于检查故障传播路径是否形成闭环。具体地，框1014和1015对应于图7的相应框1003。

[0078] 为了便于识别闭环，在框1014处，将在1013处扩展的链路表达为逻辑组合。这可以使用A1-A6。更一般地来说，将每个链路表达为链路的相应输入元件的一个或多个输入值的方程（例如，在图5的示例中，可以就元件232的输入值来表达链路502）。然后，此方程被互链接或被代入故障传播路径的先前链路（即先前迭代的链路）的对应方程。这产生了用于整个反向追踪故障传播路径的组合方程。组合方程就下部元件的值来描述整个反向追踪的故障传播路径的输出。

[0079] 然后，在框1015处，识别至少部分地由当前链路形成的任何闭环。这可以包括分析框1015的组合方程。具体地，可以检查一个或多个值是否出现在组合方程的两侧。这可在故障传播路径的下游元件具有其输出值对故障传播路径的上游元件的输出值的依赖性的情况下发生。故障传播路径的元件对应于CFT 102的元件。

[0080] 最后，在框1016中，移除任何被识别出的闭环。这可以包括由预定义表达式替换闭环。具体地，故障传播路径的下游元件输出值对上游元件的输出值的依赖性可以由预定义布尔表达式（例如，逻辑真或逻辑假）以及下游元件的输入值的逻辑组合来替换。这是由A7和A8提供的事物。

[0081] 可以取决于下游元件的输出值和上游元件的输出值的逻辑组合来选择要使用的特定布尔表达式和/或要使用的特定逻辑组合。例如，A7对应于“或”组合；而A8对应于“与”组合。更一般地来说，可以取决于闭环与故障传播路径的耦合类型来选择被用于替换闭环的预定义表达式，例如，如A7和A8中的逻辑“与”和“或”组合或更复杂的耦合。

[0082] 接下来，将关于以下各图来描述示例。

[0083] 图9图示出了示例CFT 102。CFT 102包括多个元件401-411。图9还图示出了与元件401-411相关联的布尔运算115、116，即布尔“或”和布尔“与”。图9还图示了例如取决于是否存在故障状态而取某些值的输入端口111。

[0084] 图9还图示出了被扩展以遍及CFT 102来反向追踪故障传播路径的初始链路501、502。

[0085] 图10-14然后图示出了另外的链路503-510的迭代扩展，其中为了简单的缘故，仅至始至终完整地图示出了单个故障传播路径550。由链路501、503、506、507、508、510形成故障传播路径550。

[0086] 对于图9-14的CFT 102，获得了相邻元件之间的以下依赖性。这些对应于每个个体链路501-510的方程。

[0087] 对于如图2中所描绘的系统2，形式体系为：例如，由方程9.5来描述链路508、509。

[0088] 使用这个，可以如下来执行反向追踪：例如，转变10.2对应于扩展链路501、503并且互链接相应的方程9.1和9.2。

[0089] 扩展10.4之后的第二项 对应于闭环601（参见图9）。这是因为互链接相应方程的组合方程包括两侧上的元件401的输出值 。

[0090] 将领会到的是，通过在转变10.5之后插入中性运算符并应用A8，闭环由相应的预定义表达式替换。

[0091] 描述了总结一种算法，其以O (n2)能够从FTS中移除任意环形逻辑。利用此算法，可以针对安全功能容易地分析自动生成的架构，而没有普通FT信息之外的任何其他附加信息。这里提出的算法由此为安全关键系统的数字化设计过程提供了基本的使能技术。

[0092] 尽管已经关于某些优选实施例示出和描述了本发明，但是在阅读和理解说明书时，本领域其它技术人员将想到等同物和修改。本发明包括所有此类等同物和修改，并且仅由所附权利要求的范围来限制。

[0093] 为了说明，虽然已经结合CFT描述了上面的各种示例，但是CFT与所描述的技术的功能没有密切关系。也可以使用普通FT来实现各种示例。这里，可以不要求区分某些诊断故障事件所关联的不同部件。更确切地说，诊断故障事件可以取决于其在建模系统中的逻辑布置而被嵌入到FT的架构中。