Автоматика и телемеханика, № 1, 2020
Управление в технических системах
© 2020 г. В.Н. БУКОВ, д-р техн. наук (v_bukov@mail.ru)
(ОАО “Бортовые аэронавигационные системы”, Москва),
Е.В. ОЗЕРОВ, канд. техн. наук (ozerovevg@yandex.ru)
(ВУНЦ ВВС “Военно-воздушная академия
им. проф. Н.Е. Жуковского и Ю.А. Гагарина”, Воронеж),
В.А. ШУРМАН (shurman@niiao.ru)
(Филиал АО “Раменское приборостроительное КБ”, Жуковский)
ПАРНЫЙ МОНИТОРИНГ ИЗБЫТОЧНЫХ ТЕХНИЧЕСКИХ СИСТЕМ
Ставится и решается детерминистская задача одновременного контро-
ля технического состояния в реальном времени (мониторинга) как ос-
новной (функциональной), так и контролирующей (мониторинговой) ча-
стей системы. Предлагается подход, основанный на логическом анали-
зе результатов встроенного контроля пары сопоставимых технических
устройств, в общем случае разнородных по изготовлению и инфраструк-
турной поддержке. Получены структура и правила формирования инди-
каторной матрицы, позволяющей разделить технические устройства на
полностью или частично исправные и неисправные. Приводятся выраже-
ния для вероятностей обнаружения неисправностей обеих частей системы
и для вероятностей совершения ошибок первого и второго рода. Показаны
методические примеры.
Ключевые слова: комплекс оборудования, функциональный модуль, мо-
ниторинговый модуль, функциональный узел, булев и не булев форма-
лизмы, индикаторная матрица исправности, индикаторное правило логи-
ческого парного мониторинга.
DOI: 10.31857/S0005231020010079
1. Введение
Возросшие возможности информационного и математического обеспече-
ния процессов управления сложными динамическими системами позволяют
принципиально по-новому подойти к удовлетворению постоянно ужесточае-
мых требований к их отказоустойчивости, в том числе на основе управляе-
мой избыточности [1], которая подразумевает преднамеренную избыточность
системы, поддерживаемую специализированными средствами управления и
придающую системе такие свойства, как
отказоустойчивость,
повышенная общая производительность/мощность,
существенно увеличенный межрегламентный период,
оперативное изменение различных эксплуатационных характеристик (точ-
ность, расходование энергии/ресурса определенных компонентов и др.).
Сказанное в полной мере относится к подвижным объектам [2-4] и техно-
логическим процессам [5] с избыточными комплексами оборудования (КО).
93
По крайней мере одно из направлений управления избыточностью пер-
спективных КО [1, 6] предполагает выполнение в реальном времени процеду-
ры мониторинга технического состояния [7, 8] компонентов комплекса с це-
лью его реконфигурирования при неправильном функционировании. Термин
“мониторинг” как транслитерация англоязычного термина [8, 9], по мнению
авторов, точнее передает специфику проверки технического состояния систе-
мы в реальном времени, чем широко распространенные термины “контроль” и
“диагностирование”, по определению [10] относящиеся практически к любым
ситуациям.
Среди различных постановок задачи мониторинга можно выделить задачу
дихотомического мониторинга, при котором результатом каждый раз явля-
ется одно из двух суждений: “исправен” или “неисправен”; такой результат
используется, например, при формировании индексов готовности компонен-
тов для выбора подходящей конфигурации КО [1, 6].
Разработанный и предлагаемый детерминистский подход относится к мо-
ниторингу разнообразных технических устройств с аппаратной избыточно-
стью независимо от их конструктивных особенностей и от характера и обстоя-
тельств возникновения неисправностей. Подход применим при выполнении
двух условий:
наличие (или возможность создания) встроенных средств контроля [9]
(встроенных средств технического диагностирования [10]),
доступность для управления физических или виртуальных связей между
частями технического устройства, несущими функциональную нагрузку, и
встроенными в него средствами диагностирования.
2. Состояние проблемы
Диагностированию технического состояния систем (Fault Detection and
Isolation - FDI) за последние 20 лет уделено большое внимание [8, 11-16]. Сло-
жившиеся направления исследований могут быть разделены на две группы,
связанные с использованием аппаратной или аналитической избыточности.
Первая из них подразумевает избыточность конструктивных компонентов
(элементов, узлов, подсистем), сопоставительный анализ функционирования
которых позволяет при выполнении определенных условий вычислить нали-
чие и место неисправности. Вторая группа направлений предполагает вме-
сто аппаратной избыточности использование математических моделей объ-
ектов мониторинга, что создает предпосылки не только для достижения луч-
ших массовых и энергетических характеристик в целом, но и для повыше-
ния результативности мониторинга за счет вскрытия внутренних причинно-
следственных связей диагностируемых объектов.
Вместе с тем основными средствами диагностики (контроля) техническо-
го состояния различных видов оборудования в настоящее время являют-
ся встроенные средства технического диагностирования [10] (распространен
также [9, 17, 18] термин “встроенные средства контроля” - ВСК), специаль-
но вводимые в состав устройств комплекса, и внешние автоматизированные
системы контроля (АСК) [19]. Этими средствами обеспечивается контроль
(надзор над) функциональных модулей (ФМ) оборудования, выполняющих
94
а
p
s
ВСК (АСК)
v
y
ФМ1, ..., ФМN
б
y1
ФМ1
v
y
МЭ
yN
ФМN
в
p
s
ПД
v
y
ФМ
Рис. 1. Схемы контроля ФМ посредством ВСК или АСК: а - в обобщенном
виде, б - мажоритарного контроля, в - контроля с использованием правил
достоверности.
задачи его прямого предназначения, с целью определения их технического
состояния (чаще в терминах состояний “исправен” или “неисправен”).
ВСК контролируют параметры ФМ в соответствии с критериями выпол-
нения требуемых функций [20].
Рисунок 1,а иллюстрирует в обобщенном виде такое решение. На рисунке
использованы обозначения: τ - текущее время (номер цикла мониторинга),
vτ - входные данные, yτ - выходные данные, pτ - контролируемые параметры,
sτ - оценка состояния ФМ.
В общем случае входные vτ и выходные yτ данные могут входить в число
параметров, контролируемых с помощью ВСК (на схеме рис. 1,а и далее это
не показано графически во избежание загромождения рисунков излишними
деталями непринципиального характера).
Построение ВСК и АСК уровня системы (комплекса) связано с примене-
нием различных методов параметрического контроля, основанных обычно на
следующих двух подходах.
1. Мажоритарный контроль. Неисправный ФМ определяется с помощью
мажоритарного элемента (МЭ) путем обработки результатов функциониро-
вания нескольких подключенных ФМ. Схема показана на рис. 1,б.
Суждение о неисправности ФМ делается на основе значительного (наи-
большего или превышающего пороговое значение) отклонения его выхода от
выходов большинства других однотипных модулей.
Основные особенности метода включают:
а) предположение о неизменности технического состояния ФМ в пределах
цикла τ;
95
б) предположение о том, что МЭ может быть только исправным;
в) применимо к числу ФМ, превышающему 2;
г) предположение о том, что с учетом правил голосования (равноправное,
взвешенное, с дискриминациями и пр.) исправные ФМ внутри каждого цик-
ла τ составляют большинство (доминируют над неисправными);
д) общий поток данных для всех ФМ.
2. Использование правил достоверности (ПД). В зависимости от конкрет-
ных условий и решений в качестве таких правил могут выступать: сравне-
ние с эталонными моделями, фиксирование нарушений заданных временных
и/или параметрических интервалов (контроль по допуску на параметр [15]),
проверка логических и других соотношений, вычисление инвариантов разных
порядков и пр. Такой способ иллюстрируется на рис. 1,в, где показана связь
ПД с выходом ФМ yτ , поскольку часто именно она является существенной,
что далее иллюстрирует второй пример в разделе 9.
Особенности метода, основанного на использовании ПД:
а) в пределах цикла τ исправность ФМ не изменяется;
б) предполагается, что элемент ПД может быть только исправным, в том
числе при наличии эталонной модели, которая может быть только исправной;
в) предполагается, что входные vτ и выходные yτ данные в достаточной
степени информативны.
Предположение о непременной исправности так называемого заключи-
тельного звена (указанных МЭ и ПД) схемы контроля является серьезной
проблемой систем диагностирования вообще и мониторинга текущего техни-
ческого состояния в частности, поскольку оно целиком или частично выпа-
дает из-под диагностирования.
Для решения этой проблемы практикуется, например, многократное ма-
жорирование, при котором результаты мажоритарного контроля нижнего
уровня подвергаются мажорированию более высокого уровня. Однако при
этом всегда присутствует самый верхний уровень, результаты которого сле-
дует принимать “на веру”.
Кроме того, многоуровневому мажоритарному контролю [21] присущи сле-
дующие недостатки:
низкая эффективность мажоритарного сравнения сигналов при неодно-
родной избыточности вычислительных средств;
значительный объем вычислений, связанных с многоуровневым мажори-
тарным контролем в сочетании со статистической обработкой сигналов трак-
тов;
сложность самого устройства, что вместе с отсутствием у него встроенного
самоконтроля снижает соответствующий технический эффект.
Другой известный путь преодоления указанной проблемы заключается в
организации самоконтроля самих схем диагностирования. В основном это от-
носится к сложной микропроцессорной технике1 и сопряжено, как правило,
с реализацией тестового контроля, что для мониторинга в реальном времени
неприменимо.
96
Подводя итог краткому обзору, можно отметить, что, в целом, проанали-
зированные подходы обладают серьезными ограничениями, исключающими
и в значительной степени затрудняющими или ставящими в зависимость от
сильных2 предположений построение систем мониторинга исправности ком-
понентов КО в реальном времени (в рабочих режимах).
3. Формальные основы логического мониторинга
Сформулируем задачу мониторинга следующим образом. Пусть некото-
рый функциональный модуль (ФМ) на интервале времени τ решает какую-
либо содержательную задачу. Одновременно за его функционированием “на-
блюдает” мониторинговый модуль (ММ), в решении содержательной задачи
участия не принимающий. По выходному сигналу ММ формируется сужде-
ние об исправности или неисправности ФМ. При этом возможно неправильное
функционирование как ФМ, так и ММ. Кроме того, возможное неправильное
функционирование ФМ или ММ не влияет на работоспособность друг друга.
Ставится задача получить оценку работоспособности (дихотомическую оцен-
ку “исправен” или “неисправен”) ФМ и одновременно установить исправность
или неисправность ММ.
Схематическое изображение соединения ФМ+ММ, в дальнейшем называ-
емого функциональным узлом (ФУз), показано на рис. 2.
Внешне эта схема похожа на схему рис. 1,а, однако принципиальным от-
личием является допущение возможности неисправного состояния не только
ФМ, но и ММ. Жирными стрелками на рис. 2 условно показаны в общем
случае многомерные входные vτ и выходные yτ каналы данных (сигналы),
а также контролируемые параметры pτ . Все они могут иметь различную
физическую природу. Тонкой стрелкой обозначена оценка sτ технического
состояния ФМ, формируемая на выходе ММ и представляющая собой бинар-
ную переменную “исправен” или “неисправен”.
Характер рассматриваемых неисправностей ФМ может быть любым как
в смысле природы возникновения, так и по проявлению при непременном
ФУз
ММ
p
v
y
ФМ
Рис. 2. Схема функционального узла ФМ+ММ.
условии, что эти неисправности ФМ обнаруживаются исправным ММ, пред-
ставляющим собой соответствующий вариант ВСК.
В известных публикациях [14-17] приняты упрощенные обозначения (ло-
гические переменные состояния, булевы переменные): “1” - рассматриваемое
2 К таковым относится предположение о непременной исправности ВСК или их частей.
97
устройство исправно, “0” - неисправно. При предположении возможной неис-
правности как ФМ, так и ММ логика зависимости состояния исправности
ФУз от состояния исправности ФМ и/или ММ выражается булевой форму-
лой логического умножения (конъюнкции):
исправный ФМ и исправный ММ:
1 × 1 = 1,
отказавший ФМ и исправный ММ:
0 × 1 = 0,
(1)
исправный ФМ и отказавший ММ:
1 × 0 = 0,
отказавший ФМ и отказавший ММ:
0 × 0 = 0.
Здесь исправному состоянию ФУз соответствуют только исправные со-
стояния обоих его модулей.
Отказы ММ, по-видимому, можно в первом приближении подразделить
на два вида: простые отказы “залипание на 1” и “залипание на 0” (аналоги
“замыкания” и “разрыва” в электрических цепях) и сложный отказ “инверсия
значения исправности ФМ”. При этом сложный отказ на каждом отдельном
цикле мониторинга, по крайней мере в детерминистской задаче3, очевидным
образом сводится к одному из простых отказов. Если это справедливо, то
при отказных состояниях ММ выдаваемый им результат будет неотличим от
результата при исправном или неисправном состоянии ФМ (и ФУз).
Подобная ситуация маскирования действительного состояния ФУз и ФМ
при отказе ММ имеет место и при использовании не булевой логики состояний
с другими обозначениями состояния исправности устройств, например: “1” -
при исправном состоянии, “-1” - при неисправном:
исправный ФМ и исправный ММ:
1 × 1 = 1,
отказавший ФМ и исправный ММ:
(-1) × 1 = (-1),
(2)
исправный ФМ и отказавший ММ:
1 × (-1) = (-1),
отказавший ФМ и отказавший ММ:
(-1) × (-1) = 1.
Здесь значение “-1” логического выхода ММ соответствует неправиль-
ному функционированию либо ФМ, либо ММ. Одновременное неправильное
функционирование ФМ и ММ приводит к значению “1” на выходе ММ, т.е.
такое состояние ФУз неразличимо с правильным функционированием обоих
модулей.
Возможности указанных формализмов ограничены при их использовании
для автономного (самостоятельного) мониторинга ФУз из-за существенной
неопределенности возможных результатов.
4. Парный мониторинг на основе логических правил
Для преодоления возникающих неопределенностей предлагается органи-
зовать парный мониторинг функциональных узлов ФМ+ММ с использова-
нием любого из формализмов (1) или (2). При этом принимаются не очень
существенные и широко распространенные на практике предположения.
3 В стохастической задаче может возникнуть необходимость различения простых и
сложных отказов.
98
А. Потоки данных через различные ФМ не связаны между собой (функ-
циональная автономность ФМ).
Б. Каждый функциональный узел ФМ+ММ изготавливается на техноло-
гической базе и поддерживается инфраструктурными средствами, не зависи-
мыми от базы и средств других ФУз (конструктивная разнородность ФУз).
В. Все ФМ и ММ изготовлены таким образом, что совместимы для образо-
вания различных ФУз независимо от технологических и инфраструктурных
особенностей (интерфейсная однородность ФУз).
Г. Процесс мониторинга разбит на циклы, внутри которых технические
состояния ФМ и ММ неизменны (стационарность неисправностей ФУз).
Принципиально важным следствием предположения Б является практиче-
ская невозможность одновременной неисправности двух ФМ и/или двух ММ
в двух различных функциональных узлов. Само же такое предположение
является распространенным, например, в авиаприборостроении. Так, при со-
здании систем авионики высокой ответственности практикуется разнородное
исполнение (наличие не связанных между собой нескольких разработчиков
электронной компонентной базы и программного обеспечения) авиационных
компонентов. Преследуемая цель: минимизация системных конструктивных
и программных ошибок, практически не обнаруживаемых при единственном
разработчике систем.
С учетом предположений А и В предлагаемая схема применима к подав-
ляющему большинству технических систем с избыточностью.
Результат оценивания работоспособности ФУз в паре с учетом предполо-
жения Г удобно представлять оценочной матрицей (ОМ) размеров 2 × 2 с
бинарными элементами вида
[
]
[
]
s1-1
s1-2τ
cФМ.1
]
(3)
Sоцτ =τ
=
×
[cММ.1
cММ.2
,
s2-1τ s2-2τ
cФМ.2
где cФМ.i — логическое состояние i-го ФМ, cММ.j — логическое состояние
j-го ММ. Логические состояния модулей cФМ.i, cММ.j и узлов sτ-j при раз-
личных технических решениях могут соответствовать булеву (1) или не бу-
леву формализму (2). Таким образом, первая строка ОМ - результат оценки
исправности ФМ1 двумя ММ, первый столбец ОМ - результат оценки ис-
правности обоих ФМ посредством ММ1 и т.д.
Схематическое решение парного мониторинга с ОМ иллюстрирует рис. 3.
Ключевой особенностью схемы рис. 3 является одновременное или пооче-
редное в пределах одного цикла диагностирование каждым ММ каждого ФМ.
Кроме того, важным обстоятельством является то, что “взаимное проник-
новение” ФУз в паре происходит исключительно на уровне ММ, осуществ-
ляющих контроль ФМ. В то же время ни один из ФМ не вмешивается в ра-
боту другого ФМ, как и оба ММ не вмешиваются в работу ни одного из ФМ,
в соответствии с принятым, в частности в авионике, принципом разделения.
Функцию заключительного звена в такой схеме играет сочетание аппа-
ратно-программных средств, накапливающих (при мониторинге на одном
цикле τ), хранящих и выдающих по запросу значения элементов матри-
99
v1
y1
ФМ1
ОМ
p1
2
s
s
ММ1
ФУз1
s
s
2
ФУз2
ММ2
2
p
v2
y2
ФМ2
Рис. 3. Схема парного мониторинга функциональных узлов.
цы ОМ Sоцτ, а также переключающих каналы передачи данных. В зависимо-
сти от конкретных условий такое звено может либо принадлежать внешнему
модулю, либо дублироваться в каждом из ММ.
Критичность выхода заключительного звена из-под контроля определяет-
ся относительной долей аппаратно-программных средств, реализующих это
звено. Исследования показывают, что такая доля может быть сведена до весь-
ма малых размеров.
С учетом принятого предположения Б и используемых формул логики (1)
и (2) возможны исходы оценивания, т.е. значения логических оценок “испра-
вен” или “неисправен” на выходах ММ, показанные на рис. 4 и 5. На обоих
рисунках ОМ (3), относящиеся к разным комбинациям правильно и непра-
вильно функционирующих модулей, выделены различными областями:
A - оба ФУз однозначно исправны;
B - неисправен один из ФМ с указанием, какой именно;
C - неисправен один из ММ с указанием, какой именно;
D - неисправны по одному различному модулю в каждом ФУз;
E - неисправны одновременно ФМ и ММ в одном из ФУз.
При этом в зависимости от используемых формул (1) или (2) области D
и E характеризуются различной однозначностью. Если при булевом фор-
мализме (1) для ФУз пары, результат мониторинга которой соответству-
ет области D, дается конкретное указание на исправное сочетание модулей
ФМ1+ММ2 или ФМ2+ММ1, то при не булевом формализме такого указа-
ния нет. Аналогично для пары с результатом в области E булев формализм
различает узлы с исправными и неисправными модулями, в то время как не
булев формализм этого не делает.
Заключение о полной или частичной исправности и неисправности вместе
с дальнейшими действиями определяются следующим образом:
а) оба функциональных узла пары, результат мониторинга которой соот-
ветствует области A, могут использоваться по предназначению;
100
1
1
0
0
1
1
B
0
0
1
1
1
1
A
Исправны
Исправны
Исправны оба ФУз
ФУз1 и ММ2
ФУз2 и ММ1
Исправен
Нет исправных,
1
0
ФУз1
ФУз, но есть
1
0
1
0
исправные модули
0
0
0
1
Исправны ФУз1
0
0
и ФМ2
С
0
1
0
0
0
1
0
0
D
1
0
0
1
Исправны ФУз2
Нет исправных,
и ФМ1
ФУз, но есть
E
Исправен
исправные модули
ФУз2
Рис. 4. Исходы парного мониторинга на основе булева формализма (1).
б) кроме того, может использоваться один (конкретный) функциональный
узел из пары, результат мониторинга которой соответствует области B или C,
а при булевом формализме еще один (конкретный) ФУз из пары, результат
мониторинга которой соответствует области E;
в) если модули ФУз конструктивно неразделимы и неисправность любого
из модулей объявляется неисправностью узла в целом, то следует отказаться
от последующего использования конкретного ФУз пары, результат монито-
ринга которой соответствует области B или C, при булевом формализме -
одного конкретного функционального узла пары в области E, а при не буле-
вом формализме - одного ФУз пары в этой области, но для его выявления
следует использовать парный мониторинг в сочетании с другими функцио-
нальными узлами;
г) если возможна перекомпоновка функциональных узлов, то с учетом
предположения В можно создать дополнительные исправные ФУз, взяв ис-
правный ФМ из неисправного узла пары, попавшей в область C, и объединить
его с исправным ММ из неисправного узла пары, попавшей в область B; до-
полнительные возможности связаны с использованием модулей из ФУз пар
в области D.
Однако описанная схема мониторинга обладает недостатком: она не пол-
ностью согласуется с практическими ситуациями, когда выходной сигнал
101
1
1
1
1
1
1
B
1
1
1
1
1
1
A
Исправны
Исправны
Исправны оба ФУз
ФУз1 и ММ2
ФУз2 и ММ1
Исправен
Нет исправных,
ФУз1 или ФУз2
1
1
ФУз, но есть
1
1
исправные модули
1
1
1
1
1
1
Исправны ФУз1
1
1
и ФМ2
С
1
1
1
1
1
1
1
1
1
1
Исправны ФУз2
1
1
Нет исправных, D
и ФМ1
E
ФУз, но есть
Исправен ФУз1
исправные модули
или ФУз2
Рис. 5. Исходы парного мониторинга на основе не булева формализма (2).
какого-либо из ММ принимает фиксированное (неизменное) значение “1” или
“0” (“константный отказ”).
На основе обобщения и расширения комбинаций, представленных на рис. 4
и 5, сформулируем индикаторное правило логического парного мониторинга,
лишенное указанных недостатков.
5. Индикаторное правило логического парного мониторинга
Введем индикаторную матрицу (ИМ) Sиндτ размеров 2×2 с бинарными эле-
ментами, для которой может применяться любой из формализмов (1) и (2) и
в то же время некоторые из элементов которой, названные в статье “стран-
ными”, в отличие от (3) могут не соответствовать формулам ни одного из
формализмов (1) и (2). Возникновение и использование “странных” элемен-
тов поясняются в этом разделе далее.
Схема парного мониторинга с ИМ, который назовем логическим пар-
ным мониторингом (ЛПМ), аналогична схеме, показанной на рис. 3, с за-
меной ОМ Sоцτ на ИМ Sиндτ.
Можно убедиться, что с учетом предположения Б полная группа значений
ИМ включает 13 различных матриц.
102
Используемые далее обозначения соответствуют булеву формализму (1).
Индикаторное правило ЛПМ. Выделение полностью или частично ис-
правной пары функциональных узлов сводится к проверке структуры ИМ
[
]
s1-1
s1-2τ
Sиндτ =τ
,
s2-1τ s2-2
τ
где sτ-j - выраженный логической переменной результат проверки i-го ФМ
посредством j-го ММ, уникальный вид которой соответствует (является
индикатором) определенной комбинации исправных и неисправных узлов:
однозначно исправен ФУз1 при значениях ИМ:
]
]
] [
]
[1
1
[1
0
[1
1
1
0
,
,
,
;
0
0 дополнительно
1
0 дополнительно
0
1
0
0
исправен ММ2
исправен ФМ2
однозначно исправен ФУз2 при значениях ИМ:
]
]
] [
]
[0
0
[0
1
[1
0
0
0
,
,
,
;
1
1 дополнительно
0
1 дополнительно
1
1
0
1
исправен ММ1
исправен ФМ1
однозначно нет исправных ФУз при значениях ИМ:
]
]
]
]
[0
1
[1
1
[0
0
[0
1
,
,
,
;
1
1 исправны
1
0 исправны
1
0 исправны
0
0 исправны
ФМ2 и ММ1
ФМ1 и ММ2
ФМ2 и ММ1
ФМ1 и ММ2
неоднозначно: либо все ФУз исправны, либо один из них (а именно, ММ с
ложной выдачей “1”) неисправен при значении ИМ:
]
[1
1
(4)
1
1
Указанная неоднозначность и “ошибочное принятие4 исправного ФМ за
исправный” (на выходе неисправного ММ оценка “ФМ исправен”, не завися-
щая от состояния ФМ, относится к ФМ, который в действительности явля-
ется исправным) не приводят непосредственно к негативным последствиям в
текущем цикле.
4 Обнаружение неисправности ММ возможно проверкой с тестом, что неприемлемо для
мониторинга.
103
Индикаторные матрицы Sиндτ технического состояния модулей при ЛПМ
Неисправность∗∗ одного из ММ
Неисправность∗
ММ1
ММ2
одного из ФМ ложная ложный ложная ложный отсутствует
“1”
“0”
“1”
“0”
[
]
[
]
[
]
[
]
[
]
1
0
0
0
0
1
0
0
0
0
ФМ1
1
1
0
1
1
1
1
0
1
1
[
]
[
]
[
]
[
]
[
]
1
1
0
1
1
1
1
0
1
1
ФМ2
1
0
0
0
0
1
0
0
0
0
[
]
[
]
[
]∗∗∗
0
1
1
0
1
1
отсутствует
см.∗∗∗
см.∗∗∗
0
1
1
0
1
1
∗ненадлежащее выполнение возложенных функций, которое должно обнаруживаться
посредством ММ,
∗∗ложная выдача “исправен” или “неисправен”,
∗∗∗неоднозначно, кроме полной исправности узлов возможна неисправность ММ1 или
ММ2 с ложной выдачей “исправен”.
Приведенное правило компактно иллюстрируется таблицей.
Если же в конкретных системах число функциональных узлов превышает
два, то должен осуществляться попарный мониторинг всех ФУз, а в случае
нечетного их количества какой-то из узлов подвергнется проверке дважды,
что не привносит каких-либо методических и технических проблем. Если ис-
правных узлов окажется больше единицы, то выбор предпочтения среди ис-
правных ФУз выходит за рамки собственно мониторинга. Соответствующее
решение при выборе конфигурации бортового комплекса описано в [6].
Обоснованность правила подтверждает следующий анализ.
Если ММ исправен, то он будет отражать действительное состояние ФМ,
т.е. информировать о его исправности или неисправности. Возможно приме-
нение любого из формализмов (1) или (2):
(5)
1
×
1
=
1
0
×
1
=
0
:;<=
:;<=,
:;<=
:;<=
исправность
истинный
исправность
истинный
MM
ответ
MM
ответ
или
1 × 1 = 1,
(-1) × 1 = (-1).
Дело обстоит сложнее при неисправном ММ. Пусть его выход не зависит от
состояния ФМ и может принимать значение как “1”, так и “0” (или “-1”, в за-
висимости от формализма). Подробнее для каждого из этих вариантов:
а) неизменная выдача значения “исправен”, т.е. “1” на выходе ММ:
при исправном ФМ получается, что ММ сработал как исправный при лю-
бом формализме, и ситуация нераспознаваема, т.е. отличить неисправное со-
стояние функционального узла от исправного невозможно, но и негативных
последствий тоже нет:
(6)
1
×
1
=
1
,
:;<=
:;<=
фиксированный
истинный
ответ
отказ MM
104
при неисправном ФМ ситуация соответствует только формализму (2):
(7)
(-1)
×
(-1)
=
1
:;<=,
:;<=
ложный
фиксированный
ответ
отказ MM
формализм же (1) неприменим;
б) неизменная выдача значения “неисправен”, т.е. “0” или “-1” на выхо-
де ММ:
при исправном ФМ результат соответствует любому из формализмов
(8)
1
×
0
=
0
или
1
×
(-1)
= (-1)
:;<=
:;<=
:;<=
:;<=
фиксированный
истинный
ответ
фиксированный
истинный
отказ MM
отказ MM
ответ
и указывает на наличие неисправности в функциональном узле,
при неисправном ФМ получаем выполнение только формализма (1):
(9)
0
×
0
=
0
,
:;<=
:;<=
фиксированный
истинный
ответ
отказ MM
формализм (2) неприменим.
Таким образом, при описанном характере неисправностей налицо смеше-
ние двух формализмов (1) и (2), что предусмотрено сформулированным ин-
дикаторным правилом ЛПМ.
Пусть теперь образована пара функциональных узлов в соответствии с
рис. 3, т.е. ФУз1 (ФМ1+ММ1) и ФУз2 (ФМ2+ММ2).
Если оба ФУз исправны, то результат в виде ИМ на выходах ММ совпадает
с (3) и содержит все единичные элементы.
Если неисправен только ФМ1 (или ФМ2), то ИМ в соответствии с (5)
принимает значение
[
] (
[
])
0
0
1
1
(10)
или
1
1
0
0
Если неисправен только ММ1 (или ММ2), неизменно выдавая “1”, то ИМ
в соответствии с (6) не противоречит исправности обоих ФУз
[
] (
[
])
1
1
1
1
и
,
1
1
1
1
а неизменно выдавая “0”, ошибочно приписывает неисправность исправным
ФМ1 и ФМ2 одновременно, тем самым в соответствии с (8) раскрывая свое
неисправное состояние (противоречит предположению Б) и отрицая исправ-
ность своего ФУз
[
] (
[
])
0
1
1
0
(11)
или
0
1
1
0
105
При одновременной неисправности ФМ1 и ММ1 (или ФМ2 и ММ2) с неиз-
менной выдачей оценки “1” в соответствии с (4) и (6) получается значение ИМ
[
] (
])
1
0
[1
1
(12)
или
,
1
1
0
1
указывающее на исправность ФУз2 (или ФУз1). Здесь взятые в рамки значе-
ния “1” символизируют появление “странного” значения “1” на выходе ММ1
(или ММ2).
Странность заключается в том, что такое значение не соответствует ни од-
ному из описанных в разделе 3 формализмов (см. комментарий к (7)). И хотя
пользователь не может знать о странности одного из элементов ИМ, это не
влияет на работоспособность индикаторного правила. Нужное решение фор-
мируется безошибочно. В отличие же от (10) в этом случае делается вывод
об отсутствии исправных модулей за пределами ФУз2 (ФУз1).
При одновременной неисправности ФМ1 и ММ1 (или ФМ2 и ММ2) с неиз-
менной выдачей оценки “0” в соответствии с (8) и (9) получается значение ИМ
[
] (
[
])
0
0
1
0
(13)
и
,
0
1
0
0
что в силу формализма (1) указывает на исправность только ФУз2 (или
ФУз1).
При одновременной неисправности ФМ1 и ММ2 (или ФМ2 и ММ1) с вы-
дачей “1” неисправным ММ получается значение ИМ
[
] (
[
])
0
1
1
1
(14)
или
,
1
1
1
0
со “странным” элементом, о странности которого пользователь не подозре-
вает. Вместе с тем вид ИМ позволяет утверждать об отсутствии исправных
ФУз. Выдача “0” неисправным ММ2 (или ММ1) приводит к значению ИМ
[
] (
[
])
0
0
0
1
(15)
и
,
1
0
0
0
что тоже свидетельствует об отсутствии исправных функциональных узлов.
Можно убедиться, что указанный в разделе 3 сложный отказ в виде ин-
версии оценки состояния ФМ корректно отражается в ИМ (11)-(15).
6. Использование логического парного мониторинга
Использование индикаторного правила ЛПМ позволяет однозначно5 уста-
навливать техническое состояние ФМ. Так, например, для подтверждения
исправности ФМ1 без акцентирования внимания на других модулях схемы
5 В исходной детерминистской постановке решаемая задача не предусматривает веро-
ятностные понятия типа ошибок 1-го и 2-го рода. Иное излагается в разделе 8.
106
ЛПМ (рис. 3) требуется убедиться, что ИМ либо принимает одно из значе-
ний
[
]
[
]
[
]
[
]
[
]
[
]
[
]
[
]
1
1
1
0
1
1
1
0
0
1
1
1
0
1
1
1
,
,
,
,
,
,
или
,
0
0
1
0
0
1
0
0
0
1
1
0
0
0
1
1
либо не принимает ни одного из значений
[
]
[
]
[
]
[
]
[
]
0
0
1
0
0
0
0
1
0
0
,
,
,
или
1
1
1
1
0
1
1
1
1
0
при обязательном удовлетворении предположения Б.
Другой вариант использования ЛПМ выглядит следующим образом. Если
ИМ принимает одно из значений
[
]
[
]
[
]
1
1
1
0
0
1
,
или
,
1
1
1
0
0
1
то исправны оба ФМ в паре функциональных узлов. При значениях ИМ
[
]
[
]
[
]
[
]
[
]
1
1
1
1
1
0
1
1
0
1
,
,
,
или
0
0
0
1
0
0
1
0
0
0
среди ФМ пары исправен только ФМ1, а при значениях
[
]
[
]
[
]
[
]
[
]
0
0
1
0
0
0
0
1
0
0
,
,
,
или
1
1
1
1
0
1
1
1
1
0
– только ФМ2. При этом исправность или неисправность ММ не отмечается.
Аналогично можно выбрать комбинации значений ИМ для суждения об
исправности только ММ с той лишь особенностью, что если ИМ принима-
ет значение (4), то один из ММ следует подозревать (но не более того) в
неисправности.
Для снятия подозрений следует, если это не противоречит позиции раз-
работчика6, внести управляемую неисправность в один из заведомо исправ-
ных ФМ, например в ФМ1. При этом неисправность одного из ММ проявится
в виде значения ИМ
[
]
[
]
1
0
0
1
или
,
1
1
1
1
которое в соответствии с таблицей индикаторных матриц укажет на неис-
правный ММ.
Основная направленность предлагаемой разработки связана с так назы-
ваемыми избыточными комплексами бортового оборудования, где по разным
причинам (вследствие как традиционно практикуемого, так и сознательно
6 Действие относится к тест-контролю, обычно не применяемому в процедурах монито-
ринга.
107
вводимого функционального и структурного резервирования в интересах по-
вышения безопасности, достижения живучести и необслуживаемости в меж-
регламентные периоды) количество и функциональность компонентов заве-
домо превышает необходимый минимум.
Поэтому наиболее простая область применения - мониторинг идентичных
компонентов, каждый из которых содержит идентичные функциональные и
мониторинговые модули. Более отдаленная перспектива - функционально из-
быточные компоненты, позволяющие решать аналогичные задачи на основе
разных физических принципов и технических решений. Для этого, естествен-
но, потребуется развитие подхода.
7. Варианты исполнения функциональных узлов
В зависимости от конструкторских и иных возможностей может реализо-
вываться какая-либо из приводимых далее схем или их комбинация.
1. Мониторинг ФМ с его дубликатом. Каждый ММ содержит копию (дуб-
ликат) “своего” ФМ идентичной физической природы или построенную на
других физических принципах (например, математические модели процес-
сов технического устройства). Рисунок 6,а иллюстрирует данный вариант.
Здесь СС - схема сравнения (компаратор), подтверждающая “1” или отрица-
ющая “0” совпадение сигналов yτ на выходе ФМ и ymτ на выходе его физи-
ческой или математической модели. Следует обратить внимание на то, что
а
yм
Модель ФМ
s
СС
ММ
v
y
ФМ
б
p
s
ММ
База данных
v
y
ФМ
в
yм
s
ВИ
СА
x
ММ
v
y
ФМ
Рис. 6. Схемы функциональных узлов: а - с моделью, б - с учетом эксплуата-
ционных данных, в - с вычислением инвариантов.
108
предлагаемый подход ЛПМ с натурным дубликатом ФМ в отличие от “почти
аналогичного” традиционного дублирования позволяет однозначно выделить
в паре исправный ФМ.
2. Мониторинг ФМ по его эксплуатационным данным. Схему соответ-
ствующего функционального узла поясняет рис. 6,б. Подразумевается, что
непосредственно с ФМ конструктивно и функционально связан специальный
элемент7 (чип), собирающий и накапливающий данные об условиях его ис-
пользования и хранения. В число параметров pτ , хранимых и выдаваемых
таким чипом в ММ, входят различные данные о ФМ, включая:
паспортные данные,
результаты испытаний на разных стадиях жизненного цикла,
статистику эксплуатационных показателей и характеристик (оценки до-
стигаемой точности, остаток ресурса, энергетические показатели и пр.),
статистику внешних воздействий во время использования по назначению,
при хранении и регламентных работах.
На ММ же возлагается анализ поступающих данных и формирование на
основе этого анализа суждения о возможной исправности или неисправно-
сти ФМ.
3. Мониторинг ФМ по специальным соотношениям. В этом случае ММ по
получаемым из ФМ входным vτ и выходным yτ данным и промежуточным
результатам xτ определяет некоторые показатели или проверяет характер-
ные соотношения (инварианты), которые при правильном функционировании
ФМ должны удовлетворяться, а в случае его неправильного функционирова-
ния - нарушаться. Рисунок 6,в поясняет соответствующую схему ФУз. Здесь
ВИ - вычислитель инвариантов, СА - схема анализа инвариантов. Функцио-
нирование парного мониторинга в данном варианте функционального узла
поясняет первый из примеров в разделе 9.
Заметим, что правила сертификации изделий авионики по высшей катего-
рии А предполагают наличие ММ, встроенного в изделие, который осуществ-
ляет на одном и том же потоке входных данных параллельно с ФМ вычисле-
ние выходных параметров на альтернативной основе (упрощенно и потому с
высокой надежностью) и сравнение своего результата с результатом ФМ, что
соответствует рис. 6,а и 6,в.
8. Эффект использования логического парного мониторинга
Расширим изначальную постановку задачи, добавляя вероятностную со-
ставляющую. В первом приближении можно полагать, что все функциональ-
ные узлы обладают одинаковыми вероятностными характеристиками исправ-
ности, а предположение Б, сделанное в разделе 4, строго выполняется. Тогда
эффект, достигаемый при реализации ЛПМ, определяется следующим обра-
зом.
Полная группа независимых событий, связанных с техническим состоя-
нием ММ (ВСК) каждого ФУз в каждом отдельном цикле τ мониторинга,
7 Идея и инициативные проработки принадлежат А.В. Дядищеву.
109
включает: исправное функционирование, выдачу ложной оценки “исправен”
и выдачу ложной оценки “неисправен”. Здесь подразумевается, что ложные
значения оценок существуют сами по себе и не связаны с возникновением
одноименных истинных оценок.
Введем значения вероятностей возникновения неисправностей ММ (ВСК):
Q1 - вероятность выдачи ложной оценки “исправен”,
Q0 - вероятность выдачи ложной оценки “неисправен”.
Тогда при условии Q1 + Q0 ≤ 1 вероятность исправного функционирования
ВСК имеет значение P = 1 - Q1 - Q0.
Кроме того, в соответствии с конструктивными решениями и условиями
функционирования ММ (ВСК) обнаруживает неисправности ФМ с опреде-
ленной вероятностью PВСК, совершая ошибки 1-го рода (ложная тревога)
с вероятностью PВСК|1 и 2-го рода (пропуск8 неисправности) с вероятно-
стью PВСК|2 .
При автономном использовании встроенных средств контроля вероятности
того, что будет обнаружена возникшая неисправность ФМ или будет совер-
шена ошибка какого-либо рода, определяются формулами:
PобнФМ = PВСК (1 - Q1 - Q0) ,
PобнФМ|1 = PВСК|1 + Q0,
PобнФМ|2 = PВСК|2 + Q1.
Использование же логического парного мониторинга в отношении контро-
ля технического состояния ФМ исключает последний сомножитель в первой
из этих формул и последние слагаемые в остальных, заменяя их на формулы:
PобнФМ = PВСК, PобнФМ|1 = PВСК|1 , PобнФМ|2 = PВСК|2 .
Кроме того, использование ЛПМ позволяет обнаруживать неисправности
ММ, совершая ошибки 1-го или 2-го рода, с вероятностями:
PобнММ = PВСК, PобнММ|1 = PВСК|1 - для всех значений ИМ,
PобнММ|2 = PВСК|2 - для всех значений ИМ, кроме (4),
PобнММ|2 = PВСК|2 + Q1 - для значения ИМ (4).
Здесь указанный в разделе 5 случай со значением ИМ, равным (4), состав-
ляет исключение, когда ложное подтверждение одним из ММ (ВСК) исправ-
ности обоих ФМ оборачивается пропуском соответствующей неисправности
этого ММ.
Таким образом, эффект соответствует использованию как бы “абсолютно
надежных” ММ (ВСК) в отношении ФМ и “почти абсолютно надежных” ММ
(с оговоркой об ИМ (4)) по отношению к самим себе.
8 Речь идет о неисправностях, которые ВСК должен обнаруживать. Неисправности же
“вне ответственности” конкретного ВСК остаются за границами контроля технического
состояния соответствующего изделия.
110
Для более тонкого анализа эффекта использования ЛПМ требуется вве-
дение различия вероятностных характеристик модулей разных узлов и, что
более существенно, требуется допустить нарушение предположения Б с неко-
торой вероятностью. Однако это заслуживает особого внимания и не является
предметом данной статьи.
9. Примеры
Преобразование векторов. Рассмотрим в качестве примера характерный
фрагмент вычислений, выполняемых на борту воздушного судна.
--→
Пусть ФМ
- программный модуль преобразования вектора
OGн =
=
[xg yg zg]T (скорость, орт линии визирования или др.), заданного про-
екциями на оси нормальной системы координат (СК) OXgYgZg (направле-
ния осей ориентированы по характерным направлениям местности), в вектор
--→
OGсв =
[x y z]T, представленный проекциями на оси СК OXY Z, связан-
ной с воздушным судном (направления осей ориентированы по характерным
направлениям воздушного судна). Для преобразования вектора в ФМ произ-
водятся вычисления по формуле
--→
--→
OGсв = AнсвOGн,
где
⎡
⎤
cosϑ cosψ
sinϑ
- cosϑsinψ
⎦
Aнсв = ⎣- cosγ sinϑ cosψ + sinγ sinψ cosγ cosϑ cosγ sinϑsinψ + sinγ cosψ
sinγ sinψ cosψ + cosγ sinψ
- sinγ cosϑ
- sinγ sinϑsinψ + cosγ cosψ
– ортогональная матрица преобразования координат из нормальной в связан-
ную СК, γ - угол крена, ψ - угол рыскания, ϑ - угол тангажа. Относительную
ориентацию этих СК и направления отсчета углов иллюстрирует рис. 7.
Yg
Y
yg
y
G
x
X
xg
Xg
O
z
zg
Zg
Z
Рис. 7. Системы координат и преобразование проекций вектора.
111
Рис. 8. Модуль проверки входных данных типовой функции авионики.
При этом ММ осуществляет мониторинг ФМ, выполняющего указанное
преобразование, путем расчета и сравнения норм векторов (см. рис. 6,в):
(x2g + y2g + z2g)- (x2 + y2 + z2)
= Δ.
:
;<
=
:
;<
=
квадратичная
квадратичная
--→
--→
норма
OGн
норма
OGсв
Эти нормы при безошибочных вычислениях должны совпадать, т.е. Δ = 0.
Таким образом, в случае совпадения норм векторов до и после преобразова-
ния ММ должен выдавать значение логической переменной “1”, в противном
случае - “0”.
В результате ЛПМ двух узлов ФМ+ММ соответствующая ИМ Sиндτ будет
принимать одно из значений, перечисленных в индикаторном правиле, предо-
ставляя тем самым возможность для оценивания работоспособности функ-
циональных узлов в процессе их функционирования.
Проверка входных данных. В авионике принято решаемые в бортовом
комплексе прикладные задачи называть функциями. Вычислители, реали-
зующие какую-либо функцию, получают от периферийных систем данные
нескольких уровней точности (возможно деление на уровни и по другому
признаку).
Поступающие данные подвергаются входной проверке, выполняемой в со-
ответствии с рис. 1,в и нацеленной на обнаружение отказов сопрягаемых дат-
чиков информации и каналов связи. На рис. 8 показана упрощенная струк-
тура соответствующего ММ - модуля проверки входных данных (МПВД).
Укрупненно эта проверка делится на проверку устойчивости (ПУ) приема
кодовых слов, поступающих по каналу связи, и применения правил досто-
112
МПВД 1
Данные
канала 1
ПУ
ПД
“0”
“0”
“1”
КсП
ПК
ФИМ
Признаки
“0”
“0”
“1”
Данные
ПУ
ПД
канала 2
МПВД 2
Рис. 9. Организация ЛПМ для проверки данных i-го уровня в двух каналах.
верности (ПД) для получаемой информации. Проверка устойчивости заклю-
чается в проверке кодов и анализе временных интервалов их поступления, по-
средством чего обнаруживаются сбои и ошибки передачи данных. Проверка
достоверности включает сравнение различных полученных параметров меж-
ду собой и с заданными границами, позволяющее обнаружить большинство
статических и динамических ошибок (независимо от природы их возникно-
вения) источников информации.
Если входные данные уровня 1 отвечают критериям устойчивости и досто-
верности, то они без каких-либо изменений передаются в следующий модуль,
реализующий функцию (функциональное приложение - ФП). Параллель-
но туда направляется признак исправности данных. Если же прием данных
неустойчив или они не удовлетворяют критериям достоверности, то управ-
ление передается уровню 2, где проверочные процедуры повторяются, как
правило, с другими требованиями. При необходимости цикл повторяется еще
раз. Если данные последнего уровня не прошли контроль, то модуль выдает
признак отказа функции, не передавая данные для дальнейшей обработки.
Так вкратце выполняются входные проверки в современной авионике. ФМ
представляет собой определенный поток данных, а ММ - совокупность проце-
дур параметрического контроля [18]. Проверки же логики работы самого ММ
осуществляются периодически по тестовым наборам данных, т.е. вне реаль-
ного времени и рабочего режима. Вопрос об исправности диагностического
теста, который в интересах полноты может быть весьма сложным, остается
открытым.
Предлагаемый подход в применении к описанному процессу иллюстриру-
ется на рис. 9, где два ММ (МПВД 1 и МПВД 2) в составе разных вычисли-
113
тельных каналов, разнородных в указанном выше смысле, участвуют в ЛПМ.
Признаки исправности или неисправности данных (в данном примере они в
терминах мониторинга играют роль ФМ) и ММ формируются по ИМ Sиндτ в
соответствии с разделами 5 и 6.
Серым цветом на рисунке выделены дополнительные элементы (пере-
крестный коммутатор - ПК, формирователь индикаторной матрицы - ФИМ,
коммутатор с потребителями - КсП), вместе играющие роль заключительно-
го звена. И хотя эти элементы показаны как части схемы за пределами обоих
проверочных модулей, при реализации они могут быть разнесены и/или ча-
стично дублированы в каждом из модулей.
Подчеркивается, что признаки исправности данных и модулей их провер-
ки формируются одновременно в реальном времени и в рабочем режиме на
каждом цикле мониторинга. Наличие перекрестной коммутации на входе и
выходе ММ предоставляет дополнительные возможности для реконфигура-
ции системы в целом [6].
Снятие же подозрения с одного из ММ в неисправности, заключающейся
в ложной выдаче “1”, при получении значения ИМ (4) обеспечивается повтор-
ной проверкой данных с предварительным отключением в элементе ПК входа
одного из МПВД (см. раздел 6).
10. Заключение
Показано, что существующие подходы к построению средств контроля тех-
нического состояния бортового оборудования обладают особенностями, ис-
ключающими, в значительной степени затрудняющими или ставящими в за-
висимость от сильных предположений построение систем мониторинга ис-
правности компонентов оборудования в реальном времени.
Предложен подход к осуществлению мониторинга путем совмещенного ис-
пользования самостоятельного и взаимно-перекрестного контроля пары раз-
нородных по производственным платформам избыточных узлов, каждый из
которых содержит функциональный и мониторинговый модули, в одинако-
вой степени допускающие неправильное функционирование. Подход, назван-
ный логическим парным мониторингом (ЛПМ), позволяет установить ис-
правность или одну-две неисправности как функциональных, так и мони-
торинговых модулей одновременно.
Достоинствами предложенного подхода ЛПМ являются:
однозначность определения технического состояния функциональных мо-
дулей в условиях возможных неисправностей как самих функциональных мо-
дулей, так и модулей, осуществляющих мониторинг их состояния;
определение одиночных и двойных неисправностей в соответствии с таб-
лицей в разделе 5;
использование хорошо развитой технологии разработки и применения
встроенных средств технического диагностирования;
относительно незначительное усложнение схематических и программных
решений для реализации ЛПМ.
114
Эффект применения ЛПМ заключается в приведении традиционных
встроенных средств контроля в разряд средств как бы “абсолютно надеж-
ных” в отношении контроля ФМ и “почти абсолютно надежных” в отношении
контроля самих себя.
Приведенные примеры демонстрируют объекты для организации ЛПМ.
СПИСОК ЛИТЕРАТУРЫ
1.
Буков В.Н., Бронников А.М., Агеев А.М., Гамаюнов И.Ф., Озеров Е.В., Шур-
ман В.А. Концепция управляемой избыточности комплексов бортового оборудо-
вания // Науч. чтения по авиации, посвящ. пам. Н.Е. Жуковского: Матер. XVI
Всерос. науч.-практ. конф. / Гл. ред. С.П. Халютин (11-12 апр. 2019, Москва).
М.: Изд. дом Акад. им. Н.Е. Жуковского, 2019. С. 17-33.
2.
Буков В.Н., Евгенов А.В., Шурман В.А. Интегрированные комплексы борто-
вого оборудования с управляемой функциональной избыточностью // Актуаль-
ные проблемы и перспективные направления развития комплексов авиационного
оборудования. Сб. науч. ст. по матер. V Междунар. науч.-практ. конф. “Акаде-
мические Жуковские чтения” (22-23 нояб. 2017, Воронеж). Воронеж: КВАЛИС,
2018. С. 23-28.
3.
Буков В.Н., Евгенов А.В., Шурман В.А. Управление функциональной избыточ-
ностью перспективных интегрированных комплексов бортового оборудования //
Матер. засед. межвед. раб. груп. по подгот. предлож-й, направл. на выявл. пер-
спект. и прорыв. направ. науч.-технич. и инновац. развития авиац. отрасли. М.:
Студия Этника, 2018. С. 45-53.
4.
Sollock P. Reconfigurable Redundancy - The Novel Concept Behind the World’s
First Two-Fault-Tolerant Integrated Avionics System // Avionics, Navigation and
584731main_Wings-ch4e-pgs242-255.pdf.
5.
Каляев И.А., Мельник Э.В. Реконфигурируемые информационно-управляющие
системы // Матер. пленар. засед. 5-й Рос. мультиконф. по пробл. управл. СПб.:
Изд. ЦНИИ Электроприбор, 2012. С. 36-37.
6.
Агеев А.М., Бронников А.М., Буков В.Н., Гамаюнов И.Ф. Супервизорный ме-
тод управления технических систем с избыточностью // Изв. РАН. Теория и
системы управления. 2017. № 3. С. 72-82.
7.
Pouliezos A.D., Stavrakakis G.S. Real time fault monitoring of industrial processes.
The Netherlands: Kluwer Acad. Publishers, 1994.
8.
DO-297. Integrated modular avionics (IMA) development guidance and certification
considerations. Washington: RTCA Inc., 2005.
9.
ГОСТ Р 27.605-2013. Надежность в технике. Ремонтопригодность оборудования.
Диагностическая проверка.
10.
ГОСТ 20911-89. Техническая диагностика. Термины и определения.
11.
Amato F., Cosentino C., Mattei M., Paviglianiti G. A Direct/Functional
Redundancy Scheme for Fault Detection and Isolation on an Aircraft // Aerospace
Science and Technology. 2006. No. 10 (4). P. 338-345.
12.
Isermann R., Ball’e P. Trends in the Application of Model-based Fault Detection and
Diagnosis of Technical Processes // Control Eng. Pract. 1997. No. 5 (5). P. 709-719.
13.
Marcos A., Balas G. A Robust Integrated Controller/Diagnosis Aircraft
Application // Int. J. Robust Nonlin. Control. 2005. No. 15. P. 531-551.
115
14. Чернодаров А.В. Контроль, диагностика и идентификация авиационных прибо-
ров и измерительно-вычислительных комплексов. М.: Научтехлитиздат, 2017.
15. Диагностирование и прогнозирование технического состояния авиационного
оборудования. Уч. пос. для вузов гражд. авиации / Под ред. И.М. Синдеева.
М.: Транспорт, 1984.
16. Основы технической диагностики. В 2-х кн. / Под ред. П.П. Пархоменко. М.:
Энергия, 1976.
17. Машиностроение: Энц. Т. III-7. Измерения, контроль, испытания и диагности-
ка / Под ред. В.В. Клюева. М.: Машиностроение, 1996.
18. Долбня Н.А. Встроенные средства контроля бортовой вычислительной систе-
мы под управлением операционной системы реального времени как итератив-
ный агрегированный объект // Вестн. Самарского гос. аэрокосмич. ун-та. 2012.
№ 5(36). С. 224-228.
19. Буков В.Н., Базанов А.П., Колодежный А.П., Максименко И.М., Шпиле-
вой Ю.М. Теоретические основы и средства автоматизированного контроля /
Под общ. ред. В.Н. Букова. М.: Изд. ВВИА, 1997.
20. ГОСТ 27.002-2015. Надежность в технике. Основные понятия. Термины и опре-
деления.
21. Авакян А.А, Сучков В.Н., Искандеров Р.Д., Шурман В.А., Копнёнкова М.В.,
Вовчук Н.Г. Способ и вычислительная система отказоустойчивой обработки ин-
формации критических функций летательных аппаратов. Патент RU 2413975
C2. Бюл. № 7 от 10.03.2011.
Статья представлена к публикации членом редколлегии М.Ф. Караваем.
Поступила в редакцию 17.01.2019
После доработки 04.07.2019
Принята к публикации 18.07.2019
116
