Автоматика и телемеханика, № 6, 2020
© 2020 г. В.Н. БУКОВ, д-р техн. наук (v_bukov@mail.ru)
(ОАО “Бортовые аэронавигационные системы”, Москва),
Е.В. ОЗЕРОВ, канд. техн. наук (ozerovevg@yandex.ru)
(ВУНЦ ВВС “Военно-воздушная академия
им. проф. Н.Е. Жуковского и Ю.А. Гагарина”, Воронеж),
В.А. ШУРМАН (shurman@niiao.ru)
(Филиал АО “Раменское приборостроительное КБ”, Жуковский)
ЛОГИЧЕСКИЙ ПАРНЫЙ МОНИТОРИНГ С УЧЕТОМ СЕРОЙ ЗОНЫ
Развивается подход логического парного мониторинга функциональ-
ных узлов различной природы с одновременным контролем как основной
(функциональной), так и контролирующей (мониторинговой) частей си-
стемы. Вводится определение серой зоны парного мониторинга, обуслов-
ленной ограниченными возможностями необходимого для мониторинга
разделения частей функционального узла, реализующих его предназна-
чение и осуществляющих встроенный контроль исправности. Исследуют-
ся проявления указанных ограничений и предлагается методика прак-
тического использования логического парного мониторинга с учетом их
наличия. Приводится методический пример.
Ключевые слова: комплекс оборудования, функциональный модуль, мони-
торинговый модуль, функциональный узел, индикаторная матрица, логи-
ческий парный мониторинг, серая зона логического парного мониторинга.
DOI: 10.31857/S0005231020060062
1. Введение
Встроенные средства контроля (ВСК) [1, 2] относятся к наиболее распро-
страненным современным решениям обеспечения требуемого уровня отка-
зобезопасности различных технических систем. В системах же повышенной
опасности, к которым, в частности, относятся авиационные комплексы борто-
вого оборудования (КБО), встроенный контроль внедряется во все составляю-
щие компоненты (системы, подсистемы, узлы, модули и даже микросхемы).
Другим важным обстоятельством является то, что по разным причинам
комплексы, сопряженные с повышенной опасностью, почти всегда избыточны
в аппаратном, функциональном и других аспектах. Это позволяет использо-
вать сравнительный анализ функционирования физически однородных (оди-
наковых) и разнородных (различных по физической природе или техниче-
скому устройству) компонентов для выявления фактов наличия и мест неис-
правностей в реальном времени и в рабочем режиме системы [3-5].
Для мониторинга технического состояния используется широкий спектр
подходов и алгоритмов [6-9].
Так, в [10, 11] предлагается общий подход к решению задачи мониторинга,
основанный на модели оценки работоспособности бортового оборудования с
88
проверкой принадлежности команд к допустимым, с соответствующей логи-
кой управления и выдачей сообщений об ошибке. Работа [12] содержит опи-
сание задач, выполняемых встроенной системой контроля, которая входит в
состав бортового комплекса управления космического аппарата. Эти и дру-
гие аналогичные публикации нацелены на оценку надежности технических
систем и/или обоснование алгоритмов их диагностирования (с учетом или
без учета возможности восстановления [13]). При этом общим недостатком
описанных подходов является вынужденное доверие создаваемым средствам
диагностирования (априорное предположение об их непогрешимости).
В развитие технологии создания и применения ВСК в [14] разработан под-
ход, названный логическим парным мониторингом (ЛПМ), в котором предла-
гается организация одновременного (квазиодновременного) оценивания пра-
вильности функционирования как объектов, подлежащих контролю, так и
самих средств мониторинга (самоконтроля) с опорой на уже известные ре-
шения и алгоритмы, изложенные в доступных источниках по диагностике.
При этом не накладывается ограничений на тип обнаруживаемых отказов
(аппаратные, программные).
Вместе с тем эффективность (успешность) ЛПМ тесно связана с практиче-
ским (в виде конкретных аппаратных и/или программных решений) разделе-
нием технического устройства на части, выполняющие функциональную на-
грузку, и части, осуществляющие встроенный контроль. Недостаточная стро-
гость соответствующей границы при реализации подхода порождает неодно-
значность результатов контроля, снижая его практическую полезность.
В [14] это обстоятельство не учитывалось, в то время как настоящая
статья развивает указанный подход, содержит количественное описание
функционально-конструктивного перекрытия функциональной и мониторин-
говой частей контролируемого компонента, а также предлагает способ пре-
одоления отмеченного выше затруднения.
2. Логический парный мониторинг
Базой ЛПМ является совокупность сопоставимых в смысле диагностиро-
вания функциональных узлов (ФУз), каждый из которых содержит функцио-
нальный модуль (ФМ), выполняющий функции узла по назначению, и мони-
торинговый модуль (ММ), предназначенный для диагностирования в реаль-
ном времени (мониторинга) технического состояния ФМ. Состав, структура
и алгоритмы ММ могут быть различными и зависят от особенностей обла-
сти техники, подходов и методов, использованных при его создании, а также
целей и возможностей разработчика.
Суть ЛПМ заключается в том [14], что для двух контролируемых ФУз
одного функционального назначения (с идентичными принципами работы
и интерфейсами функциональной и мониторинговой частей), на входы ко-
торых подаются данные в общем случае от независимых источников (дат-
чиков), рассматривается сочетание автономного (в пределах одного ФУз) и
взаимно-перекрестного (между разными ФУз) мониторинга. По результатам
мониторинга формируется значение индикаторной матрицы (ИМ), исполь-
зуемое для определения наличия и места (с точностью до модуля) одной или
89
Рис. 1. Схема ЛПМ функциональных узлов.
одновременно двух неисправностей в паре ФУз. Изложенное иллюстрирует
рис. 1, где использованы обозначения: τ - текущее время (номер цикла мони-
торинга), vτ - входные данные, yτ - выходные данные, pτ - контролируемые
параметры (которые могут включать vτ и yτ ), sτ - оценка технического со-
стояния ФМ.
Физическая природа, форма представления и процессы обработки данных
могут быть разнообразными. Существенно то, что в силу односторонности
связей процесс v1τ → y1τ не может повлиять на процесс v2τ → y2τ и наоборот.
В то же время процессы и результаты обработки параметров pτ в мониторин-
говых модулях не влияют на процессы v1τ → y1τ и v2τ → y2τ в функциональных
модулях.
При этом мониторинг осуществляется в условиях типовых предположе-
ний:
А. Потоки однотипных данных через различные ФМ не связаны между
собой (функциональная автономность ФМ);
Б. Каждый функциональный узел ФМ+ММ выполнен на технологической
базе и поддерживается инфраструктурными средствами, не зависящими от
базы и средств других ФУз (техническая разнородность ФУз);
В. ФМ и ММ устроены таким образом, что совместимы для образования
различных ФУз независимо от технологических и инфраструктурных осо-
бенностей (интерфейсная однородность ФУз);
Г. Процесс мониторинга разбит на циклы, внутри которых технические
состояния ФМ и ММ неизменны (стационарность неисправностей ФУз).
Бинарные оценки sτ-j, определенным образом размещенные в ИМ разме-
ров 2 × 2:
[
]
s1-1
s1-2τ
Sиндτ =τ
,
s2-1τ s2-2
τ
90
сформированы каждым (j-м) ММ в τ-м цикле мониторинга и по определению
характеризуют исправность “1” или неисправность “0” каждого (i-го) ФМ.
Показано в [14], что при справедливости предположения Б полная группа
различных значений ИМ составляет 13 матриц, однозначно связанных с ис-
правным, работоспособным (при отказе ММ), а также неисправным состоя-
нием обоих ФУз. Причем, в соответствии с индикаторным правилом ЛПМ
[14], каждое значение ИМ с уникальной структурой однозначно определяет
техническое состояние как каждого ФМ, так и каждого ММ. Исключение
составляет значение ИМ
[
]
1
1
(1)
Sиндτ =
,
1
1
которому может соответствовать исправность обоих ФУз или неисправность
одного из ММ в виде выдачи ложного значения оценки “исправен”. Но эта
неоднозначность не касается утверждения об исправности ФМ, а в части ММ
может быть учтена конструктивными решениями1.
3. Понятие и описание серой зоны ЛПМ
Среди всевозможных схем конструктивного исполнения ФМ и ММ вы-
делим иллюстрируемый на рис. 2 вариант как наиболее характерный. Здесь
ММ представлен двумя последовательно соединенными частями: серой зоной
(СЗ) и аналитическим сегментом (АС).
СЗ, будучи функциональной частью ММ, из-за конструктивных особенно-
стей не может быть отделена от ФМ (в смысле переключения потоков данных
между разными ФМ и ММ для реализации ЛПМ) по концептуальной грани-
це. Но разделение возможно по другой, практически реализуемой границе.
Именно такая ситуация названа наличием серой зоны, а ЛПМ - соответствен-
но ЛПМ с учетом серой зоны, кратко ЛПМс.
Будем полагать, что технические состояния модуля ФМ, серой зоны СЗ и
аналитического сегмента АС, рассматриваемых в ЛПМс, независимы друг от
друга и соответствуют следующим моделям:
Рис. 2. Пояснение понятия ¾серой зоны¿ ЛПМ, связанной с переносом грани-
цы разделения ФУз.
1 См. раздел 7.
91
а) ФМ, осуществляющий преобразование многомерного входного потока vτ
в многомерный выходной поток yτ , может быть исправным - “1” , если вы-
полняет заданные функции надлежащим образом, и неисправным - “0” в про-
тивном случае; при этом неисправное состояние ФМ по определению должно
обнаруживаться посредством исправного ММ, состоящего из СЗ и АС;
б) СЗ, передающая из ФМ в АС и частично обрабатывающая многомерный
вектор параметров pτ , может быть исправной - “1”, если не вносит искажения
в pτ или вносимые ею искажения не влияют на качество выполнения требуе-
мой функции и адекватность оценок технического состояния ФМ, формируе-
мых АС, и неисправной - “0”, если вносимые ею в pτ искажения приводят к
инверсии оценок исправно работающего АС (на выходе “0” вместо “1” или “1”
вместо “0”);
в) АС, формирующий оценку технического состояния ФМ по вектору пара-
метров pτ , может быть исправным - “1”, если сформированная оценка адек-
ватна получаемым параметрам, и неисправным - “01”, если ложная, не за-
висящая от получаемых параметров оценка исправности ФМ на выходе АС
принимает значение “1”, или неисправным - “00”, если - “0”.
Существует объективная сложность точного (идеального) проведения в
некоторых реальных технических устройствах границы между оборудова-
нием встроенного контроля и основным оборудованием. Оптимальная или
приемлемая (рациональная) мера такого разделения в каждом конкретном
проекте определяется разработчиком. Предлагаемый подход дает разработ-
чику возможность оценить эффективность (результативность) мониторинга
в разных вариантах проведения такой границы.
4. Индикаторное правило ЛПМ с учетом серой зоны
Предлагаемые модели технического состояния не противоречат принятым
ранее в [14], а лишь развивают их с учетом разделения ММ на СЗ и АС.
При наличии серой зоны схема ЛПМ принимает вид, показанный на рис. 3.
Рис. 3. Схема ЛПМс функциональных узлов.
92
Таблица 1. Индикаторные матрицы Sинд.сτ при ЛПМс
Неисправность
Неисправность одного из АС*3
одного из ФМ*1
АС1
АС2
и/или
ложная ложный ложная ложный отсутствует
одной из СЗ*2
“1”
“0”
“1”
“0”
[
]
[
]
[
]
[
]
[
]
1
0
0
0
0
1
0
0
0
0
ФМ1 или СЗ1
1
1
0
1
1
1
1
0
1
1
[
]
[
]
[
]
[
]
[
]
1
1
0
1
1
1
1
0
1
1
ФМ2 или СЗ2
1
0
0
0
0
1
0
0
0
0
[
]∗6
[
]∗7
[
]∗5
[
]∗7
[
]∗7
ФМ1+СЗ2
1
0
0
0
0
1
0
0
0
0
или ФМ2+СЗ1
1
0
0
0
0
1
0
0
0
0
[
]∗4
[
]∗5
[
]∗4
[
]∗6
[
]∗4
ФМ1+СЗ1 или
1
1
0
1
1
1
1
0
1
1
ФМ2+СЗ2 или
1
1
0
1
1
1
1
0
1
1
отсутствует
∗1 ненадлежащее выполнение возложенных функций, которое должно обнаружи-
ваться посредством СЗ+АС,
∗2 искажение данных, приводящее к инверсии результатов исправных АС,
∗3 ложная выдача “исправен” или “неисправен”,
∗4 неоднозначно: все исправно или возможна неисправность АС11 или АС21 вме-
сте или без неисправностей в паре ФМ1+СЗ1 или ФМ2+СЗ2,
∗5 неоднозначно: возможна неисправность только АС10 или в сочетании с одной
из пар ФМ1+СЗ1 или ФМ2+СЗ2 или же только АС21 в сочетании с одной из
пар ФМ1+СЗ2 или ФМ2+СЗ1,
∗6 неоднозначно: возможна неисправность только АС20 или в сочетании с одной
из пар ФМ1+СЗ2 или ФМ2+СЗ1 или же только АС11 в сочетании с одной из
пар ФМ1+СЗ2 или ФМ2+СЗ1,
∗7 неоднозначно: возможно сочетание неисправностей самих ФМ1+СЗ2 или
ФМ2+СЗ1 или же еще и в сочетании с неисправностью АС10 или АС20.
И хотя индикаторная матрица с учетом серой зоны (ИМс) по размерам и
обозначениям аналогична ИМ, ее содержание и интерпретация отличаются.
Объемы и структура передачи данных на рис. 3 аналогичны рис. 1, но
увеличено число частей (до 6) и количество возможных комбинаций их ис-
правных и неисправных состояний соответственно. С учетом предположений
Б и В общее количество различных комбинаций технических состояний ФМ,
СЗ и АС для пары ФУз при ЛПМс равно 45 (это множество комбинаций
охватывает исправное состояние ФУз, а также одну, две и три неисправности
различных его частей). В их число входят 15 комбинаций2 с исправными СЗ,
которые совпадают с комбинациями ЛПМ [14].
Совокупность различных значений ИМс увеличилась с 13 (для ЛПМ)
до 14, пополнившись матрицей с нулевыми элементами. По аналогии с [14]
все уникальные значения ИМс размещены в табл. 1.
Уникальные значения ИМс своим размещением в табл. 1 указывают (инди-
каторное правило) на соответствующие комбинации технических состояний
2 Всего 13 различных ИМ, но одна из них (1) соответствует трем комбинациям техни-
ческих состояний ФМ и ММ.
93
модулей. Строки табл. 1, не содержащие в левом столбце набранные жирным
шрифтом СЗ1 и СЗ2, идентичны строкам аналогичной таблицы в [14]. Кроме
того, здесь строки, отмеченные в левом столбце суммой модулей, относят-
ся к соответствующей комбинации одновременных неисправностей. Строки в
левом столбце, не разделенные границей, представляют альтернативные ва-
рианты комбинаций неисправностей. Помимо этого, значения ИМс с неодно-
значным толкованием комбинаций неисправностей занимают несколько ячеек
и помечены верхними индексами от ∗4 до ∗7.
Используется табл. 1 следующим образом. По значению сформированной
ИМс определяется занимаемая ею ячейка (или группа ячеек). Наименова-
ния строк и столбцов этой ячейки несут информацию об исправности, одной
неисправности или комбинации неисправностей различных частей ФУз.
Так, значение ИМс
[
]
1
0
(2)
Sинд.сτ =
1
1
указывает на то, что в паре ФУз имеет место комбинация одновременных
неисправностей в ФМ1+АС11 или в СЗ1+АС11.
Значению ИМс
[
]
0
1
(3)
Sнид.сτ =
0
1
соответствует один из вариантов:
неисправность только АС10,
комбинация трех одновременных неисправностей: или АС10+ФМ1+СЗ1,
или АС10+ФМ2+СЗ2, или ФМ1+СЗ2+АС21, или ФМ2+СЗ1+АС21.
Если же ИМс содержит только нулевые элементы, то это соответствует
наличию одновременных неисправностей в паре модулей ФМ1+СЗ2 или в
паре модулей ФМ2+СЗ1.
Как и ИМ в [14], ИМс со значением
[
]
1
1
(4)
Sинд.сτ =
1
1
указывает на полную исправность обоих ФУз или на наличие неисправности
в одном из сегментов АС11 или АС21, а также на то, что вместо указанных со-
стояний могут иметь место одновременные неисправности в парах ФМ1+СЗ1
или ФМ2+СЗ2. Здесь неисправность любой из СЗ явным образом маскирует
(скрывает) неисправность “своего” ФМ.
Если решаемую задачу сузить до подтверждения только исправного со-
стояния ФМ, то получение такого подтверждения в виде ИМс (4) обреме-
няется альтернативами в виде одновременной неисправности ФМ1+СЗ1 или
ФМ2+СЗ2. Как и в [14], возможность неисправности АС11 или АС21 не от-
ражается на оценке состояния ФМ.
Из анализа следует, что серая зона ЛПМ вносит существенную неодно-
значность в детерминированное определение места неисправности.
94
5. Вероятностный ЛПМ с учетом серой зоны
Ситуация с учетом вероятностей обнаружения неисправностей и ошибок
1-го (ложная тревога) и 2-го (пропуск неисправности) рода в используемых
ВСК рассмотрена в [14], в настоящей же статье анализируется вероятностный
аспект, обусловленный только описанным разделением ММ на СЗ и АС.
Задача формулируется так. Значение ИМс, полученное при ЛПМс, счи-
тается свершившимся фактом. Требуется указать вероятности соответствую-
щих этому факту технических состояний частей ФУз или комбинаций их тех-
нических состояний при известной доле “содержания” ММ, отнесенной к СЗ,
т.е. если известна или задана относительная (отнесенная к некоторым обра-
зом определенной условной сложности ММ) условная сложность СЗ.
При этом в первом приближении предположения Б и В раздела 2 счита-
ются выполняемыми точно, без вероятностного контекста.
Для получения количественных оценок, связанных с разделением ММ на
СЗ и АС, будем считать, что ММ реализован в виде вычислительной системы,
для которой уместен показатель условной сложности в виде произведения
числа полупроводниковых переходов (или ячеек памяти) в аппаратном обес-
печении на число команд программного обеспечения. Тогда относительную
сложность СЗ в составе ММ можно охарактеризовать параметром:
условная сложность СЗ
λ=
=
условная сложность ММ
(число переходов СЗ) · (число команд СЗ)
=
(число переходов ММ) · (число команд ММ)
Условная сложность в каждом конкретном случае может и должна быть
если не точно рассчитана, то оценена. Мультипликативный показатель слож-
ности предлагается в виде примера и, в принципе, может быть усовершенство-
ван (и вообще заменен на иной при другой технической реализации ММ).
В соответствии с [14] будем полагать, что в ММ могут возникать два ви-
да простых неисправностей (“константные отказы”: ложная оценка “1” или
ложная оценка “0” на выходе) и один вид сложной неисправности (инвер-
сия оценки на выходе с “1” на “0” и наоборот), распределенных равномерно
по указанной условной сложности ММ с вероятностями соответственно Q1,
Q0 и Qинв (на единицу сложности) при условии Q1 + Q0 ≤ 1. Если первые
две неисправности очевидным образом несовместны (не могут быть одновре-
менно ложные “1” и “0”), то третью будем считать несовместной с первыми
двумя в силу доминирования неисправностей АС1 и АС0 над неисправно-
стью СЗ (в том смысле, что неисправность СЗ может проявиться только при
отсутствии неисправностей АС1 и АС0).
Полагая3, что при разделении ММ на СЗ и АС природа первых двух неис-
правностей ММ полностью наследуется в АС, а последней - в СЗ, и, подсчи-
тывая показатель λ относительной сложности СЗ, для конкретной реализа-
3 Это предположение обусловлено отсутствием достаточно простой альтернативы. В
дальнейшем, очевидно, потребуется более тщательное исследование.
95
ции ММ, можно оценить вероятности указанных неисправностей АС1, АС0 и
СЗ по формулам:
QAC(1) = (1 - λ)Q1,
QAC(0) = (1 - λ)Q0,
(5)
QСЗ = λQинв (1 - Q1 - Q0)
|
{z
}
Вероятность
исправности АС
Теперь, вводя вероятности QФМ ненадлежащего выполнения функций в
каждом из ФМ, которое по определению должно обнаруживаться посред-
ством ВСК (СЗ+АС), можно использовать табл. 1 индикаторных матриц
ЛПМс для вычисления вероятности той или иной комбинации неисправ-
ностей.
6. Использование вероятностного ЛПМс
Поскольку ячейки со значениями ИМс соответствуют одновременному на-
личию независимых неисправностей, указанных в наименованиях строк (пер-
вый столбец) и столбцов (третья строка шапки), то для каждого конкретного
значения ИМс вероятность событий в виде наличия комбинаций неисправно-
стей определяется произведением соответствующих вероятностей в первом
столбце и в третьей строке шапки табл. 1.
Комбинации неисправностей первого столбца табл. 1, соединенные сою-
зом “или”, а также строки и столбцы повторяющихся значений ИМс следует
считать альтернативными вариантами комбинаций неисправностей, соответ-
ствующих данному значению ИМс.
Так, например, ИМс (3) указывает на альтернативы в виде комбина-
ций неисправностей: ФМ1+СЗ2+АС21, ФМ2+СЗ1+АС21, ФМ1+СЗ1+АС10,
ФМ2+СЗ2+АС10 или неисправности только АС10.
Рассмотрим значение ИМс (2), получаемое в результате реализации пар-
ного мониторинга. В табл. 1 оно находится в единственной ячейке в левом
верхнем углу.
Согласно (5) и табл. 1 значению (2) соответствует одна из двух комбинаций
неисправностей:
1) ФМ1+АС11 с ненормированной вероятностью
QФМ1QАС1(1) = (1 - λ) QФМ1Q1;
2) СЗ1+АС11 с ненормированной вероятностью
QСЗ1QАС1(1) = λ(1 - λ)Qинв(Q1 - Q21 - Q1Q0).
Поскольку указанные события представляют собой полную группу (толь-
ко они соответствуют рассматриваемому значению ИМс) несовместных со-
96
бытий, то в результате нормирования получаем:
QФМ1
QФМ1+АС1(1) =
,
QФМ1 + λQинв (1 - Q1 - Q0)
(6)
λQинв(1 - Q1 - Q0)
QСЗ1+АС1(1) =
QФМ1 + λQинв (1 - Q1 - Q0)
Непосредственно из формул (6) видно, что при уменьшении показателя от-
носительной сложности СЗ, т.е. при λ → 0, вероятность того, что при ИМс (2)
неисправны одновременно ФМ1+АС11, стремится к единице, а СЗ1+АС11 -
к нулю. К этому же результату приводит увеличение вероятностей “констант-
ных” неисправностей АС11 и АС10, когда Q1 + Q0 → 1.
В другой крайней ситуации, когда Q1 + Q0 → 0, соответствующие вероят-
ности принимают значения
QФМ1
QФМ+АС1(1) =
,
QФМ1 + λQинв
λQинв
QСЗ1+АС1(1) =
,
QФМ1 + λQинв
из которых вытекают очевидные утверждения:
при Qинв → 0 имеют место одновременные неисправности пары
ФМ1+АС11
(возвращение соответствующего детерминированного слу-
чая, рассмотренного в [14]);
при QФМ1 → 0 имеют место одновременные неисправности пары
СЗ1+АС11
(возникновение детерминированного случая, отсутствующего
в [14], здесь АС1 дает ложную “1” обоим ФМ независимо от их исправно-
сти, а неисправность СЗ1 вызывает инверсию выхода исправного АС2 при
оценивании исправности обоих ФМ).
Формулам (6) соответствует также утверждение о том, что по отношению
к суждению об исправности ФМ1 вероятности ошибок 1-го (ложная тревога)
и 2-го (пропуск неисправности) рода равны между собой и определяются
формулой
P
P
QФМ1+АС1(1)QСЗ1+АС1(1) =
1 =
2 =
обн ФМ
обн ФМ
λQФМ1Qинв(1 - Q1 - Q0)
=
(QФМ1 + λQинв (1 - Q1 - Q0))2
Как и следовало ожидать, уменьшение показателя относительной сложно-
сти СЗ (λ → 0) приводит к обнулению ошибок диагностирования неисправ-
ности ФМ1, т.е. возвращает к детерминированной задаче, описанной в [14].
97
Формулы (6) можно использовать иначе. Если на основе каких-либо со-
ображений изначально заданы вероятности QФМ1, QФМ1+АС1(1), QСЗ+АС1(1),
Q1, Q0 и Qинв неправильного функционирования ФУз1, то по формуле
QФМ1(1 - QФМ1+АС1(1))
,
QинвQФМ1+АС1(1) (1 - Q1 - Q0)
λдоп = min
QФМ1QСЗ1+АС1(1)
(
)
Qинв
1-QСЗ1+АС1(1)
(1 - Q1 - Q0)
можно оценить допустимое значение относительной условной сложности се-
рой зоны этого узла (λ ≤ λдоп). Для более тщательного обоснования требова-
ний к серой зоне нужны специальные исследования, но это выходит за рамки
данной статьи.
7. Устранение неоднозначности мониторинга
Вернемся к детерминистской постановке задачи и дополним принятые в
разделе 2 предположения еще одной позицией.
Д. При каждом переходе от предыдущего к последующему циклу монито-
ринга в любом функциональном узле может возникнуть только одна4 неис-
правность (простота отказов ФУз).
Тогда из табл. 1 значений индикаторной матрицы с учетом серых зон ис-
ключаются все сочетания различных неисправностей, и табл. 1 принимает
вид табл. 2.
Таблица 2. Индикаторные матрицы Sинд.сτ при ЛПМс с предположением Д
Неисправность
Неисправность одного из АС*3
одного из ФМ*1
АС1
АС2
или
отсутствует
ложная ложный ложная ложный
одной из СЗ*2
“1”
“0”
“1”
“0”
[
]
0
0
ФМ1 или СЗ1
-
-
-
-
1
1
[
]
1
1
ФМ2 или СЗ2
-
-
-
-
0
0
[
]∗ 4
[
]
[
]∗4
[
]
[
]∗4
1
1
0
1
1
1
1
0
1
1
отсутствует
1
1
0
1
1
1
1
0
1
1
∗1 ненадлежащее выполнение возложенных функций, которое должно обнаружи-
ваться посредством СЗ+АС,
∗2 искажение данных, приводящее к инверсии результатов исправных АС,
∗3 ложная выдача “исправен” или “неисправен”,
∗4 неоднозначно: все исправно или возможна неисправность АС11 или АС21.
4 Считается, что инфраструктурные неисправности типа прерывание питания или от-
сутствие связи с другими компонентами обнаруживаются независимыми средствами.
98
Таблица 2 содержит три случая неоднозначностей для полученного значе-
ния ИМс:
а) в первой строке соответствует неисправности либо ФМ1, либо СЗ1;
б) во второй строке соответствует неисправности либо ФМ2, либо СЗ2;
в) в третьей строке соответствует исправному состоянию пары ФУз или
неисправности либо АС11, либо АС21.
Если условиями создания и использования средств мониторинга допуска-
ются, пусть в ограниченных объемах, элементы тест-контроля, то результа-
тивность мониторинга (теперь диагностирования) можно увеличить, внося
определенные изменения в систему.
В [14] описан способ снятия неоднозначности случая в, который заклю-
чается в использовании теста: следует искусственно ввести неисправность в
один из ФМ, отключив его от участия в функционировании системы. Тогда
в соответствии с табл. 1 обнаруживается неисправность АС11 или АС21.
Аналогично можно снять неоднозначность случаев а и б.
Пусть неоднозначность относится к ФМ1 и СЗ1 (случай а). Тогда в функ-
циональный модуль ФМ1 следует ввести изменения, делающие его заведомо
неисправным. Затем повторить цикл проверки и проанализировать значение
получаемой ИМс.
Если соответствующая индикаторная матрица не изменит свое значение,
то это свидетельствует о неисправности именно ФМ1. Если же ИМс принима-
ет значение (4), соответствующее согласно табл. 1 наличию одновременных
неисправностей в ФМ1 и СЗ1, то это свидетельствует об изначально неис-
правной СЗ1.
Получение достоверной информации о состоянии каждого из модулей поз-
воляет строить стратегию дальнейшего использования системы в целом:
при неисправности ФМ исключить его (вместе с соответствующей СЗ) из
возможного участия в формировании конфигурации комплекса оборудования
[15];
при неисправности СЗ и дефиците исправных связок5 ФМ+СЗ можно ис-
пользовать связку, содержащую данную СЗ, с принудительным инвертиро-
ванием результата мониторинга в случае подтверждения исправности АС,
взаимодействующего со связкой;
при неисправности АС исключить его из возможного участия в формиро-
вании функционального узла.
8. Пример
Детализируем пример, приведенный в [14] и относящийся к проверке вход-
ных данных типовой функции авионики. Укрупненная структура одного из
уровней соответствующего модуля проверки входных данных (МПВД) пред-
ставлена на рис. 4.
Выполняемый контроль (мониторинг) заключается в проверке устойчиво-
сти (ПУ) приема кодовых слов, поступающих по каналу связи, и в проверке
5 Ранее принято, что связка ФМ+СЗ неразделима в смысле коммутации каналов обмена
данными.
99
МПВД
Данные
ПУ
ПД
ФП
“0”
“0”
“1”
Признак
Отказ функции
Рис. 4. Один из уровней модуля проверки входных данных.
достоверности (ПД) получаемой информации. В случае успешности данные
вместе с признаком их исправности передаются в следующий модуль (функ-
циональное приложение ФП) для обработки. В противном случае в следу-
ющий модуль передается признак отказа функции.
В частности, сужая перечень данных, получаемых вычислителем от си-
стемы воздушных сигналов (СВС) до двух параметров: высота абсолютная
барометрическая (адрес 203)6 и скорость вертикальная (адрес 212), тради-
ционные проверки можно представить упрощенной структурой программы,
показанной на рис. 5.
В данном примере ФМ - поток данных с адресами 203 и 212, а ММ -
программа входной проверки.
У избыточного КБО может быть несколько систем получения и хранения
данных о параметрах полета. Например, в авиации практикуется обособление
информационных систем левого и правого бортов (по размещению компонен-
тов на воздушном судне).
Введем обозначения адресов параметров полета: 2031 и 2121 - для одной
системы (например, левого борта), 2032 и 2122 - для другой системы (правого
борта).
В этом случае программа ММ с учетом ЛПМ принимает показанный на
рис. 6 вид. Здесь серым цветом и штриховыми линями (стрелками) выделе-
ны элементы программы, внесенные в ММ с целью поддержки ЛПМ. Фор-
мирование управляющего кода мониторинга здесь не рассматривается, как и
последующее использование результатов мониторинга.
Со всей очевидностью серая зона ЛПМс для такой программы определя-
ется элементом “Подключение входа модуля к системе 1 или 2”, определенные
части которого неотделимы от каждого из каналов 1 и 2. Будем считать, что
каждая из таких частей, связанная со “своим” каналом, включает одну ячей-
ку памяти (для хранения необходимых атрибутов подключаемого канала) и
пять машинных команд.
При этом реализация всего модуля требует порядка двух ячеек памяти и
50 машинных команд.
6 Адресом (label) называется номер, постоянно закрепленный за соответствующим па-
раметром полета. Адреса всех параметров фиксированы международными нормативными
документами серии ARINC.
100
Запуск проверки
входных данных
Считывание адреса 203
Ответ хоть на 1 из 3 запросов
Нет
Да
Совпадение контрольной суммы
Нет
Да
Проверка
устойчивости
Считывание адреса 212
Ответ хоть на 1 из 3 запросов
Нет
Да
Совпадение контрольной суммы
Нет
Да
Соответствие 203 диапазону
Нет
Да
Соответствие 212 диапазону
Нет
Проверка
Да
достоверности
Вычисление скорости изменения 203
Допустимое различие 212
и скорости 203
Нет
Да
Передача данных 203 и
Отказ функции
212 для обработки
Рис. 5. Упрощенная программа входной проверки.
В результате параметр относительной сложности СЗ в составе ММ при-
нимает значение λ = 0,05. С увеличением объема входной проверки этот па-
раметр обратно-пропорционально уменьшается.
101
Запуск проверки входных
данных модулем j
Подключение входа модуля к системе 1 или 2
Считывание адреса 203
Ответ хоть на 1 из 3 запросов
Нет
Да
Совпадение контрольной суммы
Нет
Да
Проверка
устойчивости
Считывание адреса 212
Ответ хоть на 1 из 3 запросов
Нет
Да
Совпадение контрольной суммы
Нет
Да
Соответствие 203 диапазону
Нет
Да
Соответствие 212 диапазону
Нет
Проверка
Да
достоверности
Вычисление скорости изменения 203
Допустимое различие 212 и скорости 203
Нет
Да
“1”
“0”
Подключение выходов модуля к элементам si - j
Формирование
элементов ИМ и
Рис. 6. Структура упрощенной программы ММ, предусматривающей реали-
зацию ЛПМ.
Пусть7 в результате ЛПМс для ИМс получено значение (2). Задавшись, в
рамках примера, значениями
QФМ1 = 10-3, Qинв = 10-2, Q1 + Q0 = 10-2,
7 Числовые значения носят чисто методический характер, обеспечивающий наглядность
и доступность для проверки ¾с карандашом¿, нежели демонстрацию практически значи-
мых результатов.
102
получаем в соответствии с формулами (6) вероятности обнаруженных отка-
зов:
-3
10
QФМ1+АС1(1) =
= 1 - 5 · 10-3,
10-3 + 0,05 · 10-2 · (1 - 10-2)
0,05 · 10-2 · (1 - 10-2)
QСЗ1+АС1(1) =
= 5 · 10-3.
10-3 + 0,05 · 10-2 · (1 - 10-2)
Таким образом, при получении в результате ЛПМс значения (2) с вероят-
ностью 0,995 имеет место совместный отказ ФМ1 и АС11, а с вероятностью
0,005 - совместный отказ СЗ1 и АС11. В ЛПМ без серых зон соответствующие
вероятности приняли бы значения 1 и 0.
9. Заключение
Практическая реализация ЛПМ может столкнуться с наличием серой зо-
ны, обусловленной невозможностью полноценного разделения функциональ-
ного узла на составляющие его функциональный и мониторинговый модули.
В этом случае уровень неоднозначности результата логического парного мо-
ниторинга (теперь ЛПМс) возрастает.
Предложена корректная модель получения результатов мониторинга в ре-
жиме одновременного контроля как функциональной, так и мониторинговой
частей системы при указанных обстоятельствах. Существенным является то,
что мониторинговая часть контролируется только в тех конкретных услови-
ях, в которых работает в данный момент функциональная часть. В этом за-
ключаются принципиальное отличие и преимущество предлагаемого подхода
по сравнению с гипотетически возможной альтернативой в виде по необходи-
мости полного тест-контроля мониторинговой части, ресурсоемкого и труд-
новыполнимого в реальном времени.
Всего подход позволит обнаружить от одной до трех одновременных неис-
правностей модуля ФМ, серой зоны СЗ и аналитического сегмента АС.
Практическая ценность предлагаемого подхода тесно связана с назревшим
изменением взаимодействия функциональных частей технических изделий со
встроенными в них средствами контроля. Максимальное сокращение серой
зоны потребует не только преодоления технических сложностей, но и пере-
распределения ответственности разработчиков различных профилей.
СПИСОК ЛИТЕРАТУРЫ
1. ГОСТ Р 27.605-2013.Надежность в технике. Ремонтопригодность оборудования.
Диагностическая проверка.
2. Долбня Н.А. Встроенные средства контроля бортовой вычислительной системы
под управлением операционной системы реального времени как итеративный
агрегированный объект // Вест. Самарс. гос. аэрокосм. ун-та. 2012. № 5 (36).
С. 224-228.
3. Чернодаров А.В. Контроль, диагностика и идентификация авиационных прибо-
ров и измерительно-вычислительных комплексов. М.: Научтехлитиздат, 2017.
103
4.
Amato F., Cosentino C., Mattei M., Paviglianiti G. A Direct/Functional Redun-
dancy Scheme for Fault Detection and Isolation on an Aircraft // Aerospace Sci.
Technol. 2006. V. 10. No. 4. P. 338-345.
5.
ГОСТ 20911-89. Техническая диагностика. Термины и определения.
6.
Pouliezos A.D., Stavrakakis G.S. Real time fault monitoring of industrial processes.
The Netherlands: Kluwer Acad. Publishers, 1994.
7.
Bartys M., Patton R.J., Syfert M., Heras S., Quevedo J. Introduction to the
DAMADICS Actuator FDI Benchmark Study // Control Eng. Pract. 2006. V. 14.
No. 6. P. 577-596. Special Iss. “Fault Diagnosis of Actuator Systems: the DAMADICS
Benchmark Problem”.
8.
Blanke M., Kinnaert M., Lunze M., Staroswiecki M. Diagnosis and fault tolerant
control. N.Y.: Springer, 2008.
9.
Patton R.J., Uppal F.J., Simani S., Polle B. Reliable Fault Diagnosis Scheme for
a Spacecraft Attitude Control System // J. Risk Reliabilit. 2008. V. 222. No. 2.
P. 139-152.
10.
Мозгалевский А.В., Калявин В.П. Системы диагностирования судового обору-
дования. Уч. пос. Л.: Судостроение, 1987.
11.
Соколов Н.Л. Основные принципы диагностики работоспособности бортовой
аппаратуры автоматических КА и выработки рекомендаций по устранению
нештатных ситуаций
// Успехи современного естествознания.
2007.
№ 6.
С. 16-20.
12.
Барановский А.М., Привалов А.Е. Системы контроля и диагностирования бор-
тового оборудования малого космического аппарата // Изв. ВУЗов. Приборо-
строение. 2009. Т. 52. № 4. С. 51-56.
13.
Рябинин И.А., Черкасов Г.Н. Логико-вероятностные методы исследования на-
дежности структурно-сложных систем. Библиотека инженера по надежности.
М.: Радио и связь, 1981.
14.
Буков В.Н., Озеров Е.В., Шурман В.А. Парный мониторинг избыточных тех-
нических систем // АиТ. 2020. № 1. С. 93-116.
15.
Буков В.Н., Бронников А.М., Агеев А.М., Гамаюнов И.Ф., Озеров Е.В., Шур-
ман В.Н. Концепция управляемой избыточности комплексов бортового оборудо-
вания // Науч. чтения по авиации, посв. памяти Н.Е. Жуковского. Матер. XVI
Всерос. науч.-практ. конф. / Гл. ред. С.П. Халютин (11-12 апр. 2019, Москва).
М.: Изд. дом Акад. им. Н.Е. Жуковского, 2019. С. 17-33.
Статья представлена к публикации членом редколлегии В.И. Васильевым.
Поступила в редакцию 05.07.2019
После доработки 19.11.2019
Принята к публикации 28.11.2019
104
