Способ логического парного мониторинга неоднородных избыточных технических систем и устройство для его реализации

Изобретение относится к области контрольно-измерительной и вычислительной техники и может использоваться для автоматического определения работоспособных элементами избыточного комплекса оборудования в целях сохранения его функциональной целостности и парирования отказов компонентов различной природы путем реконфигурирования.

Согласно общепринятому определению [1], избыточностью технического изделия называется наличие в нем возможностей сверх тех, которые могли бы обеспечить его нормальное функционирование. Такая избыточность в зависимости от предназначения изделия, характера решаемой задачи и других обстоятельств может использоваться либо для повышения общей его производительности (путем параллельного выполнения надлежащих функций), либо для обеспечения необходимого уровня безотказности (путем организации горячего или холодного резервирования различной кратности).

В качестве технического изделия рассматривается комплекс оборудования (КО) какого-либо технического объекта, в частности, для подвижных объектов - комплекс бортового оборудования (КБО), состоящий из избыточных разнородных по технологической основе компонентов (узлов, элементов). Избыточность такого неоднородного КБО заключается в том, что количество входящих в комплекс компонентов заведомо превышает минимально необходимый уровень, обусловленный предназначением и условиями использования комплекса [2].

Предметом данного изобретения является первая или начальная фаза циклического процесса реконфигурации [3, 4], заключающаяся в автоматическом определении (мониторинге) технического состояния (исправен или неисправен) компонентов КБО или их частей в реальном времени по располагаемым о них данным.

Известны системы и способы [5-12] автоматического определения технического состояния различных видов оборудования, основанные на использовании встроенных средств контроля (ВСК), специально вводимые в состав системы (комплекса), и внешние автоматизированные системы контроля (АСК). Этими средствами обеспечивается контроль (надзор над) функциональных модулей (ФМ) оборудования, выполняющих задачи его прямого предназначения, с целью определения их технического состояния (чаще в терминах состояний «исправен» или «неисправен»).

Построение ВСК и АСК уровня системы (комплекса) связано с применением различных методов параметрического контроля, основанных обычно на следующих двух подходах:

1. Использование различных схем голосования. Распространенным вариантом являются [8] так называемые кворум-элементы (КЭ), выделяющие неисправные модули на основе обработки результатов голосования нескольких подключенных ФМ.

Суждение о неисправности ФМ делается на основе значительного (наибольшего или превышающего пороговое значение) отклонения его выхода от других однотипных модулей.

Основные особенности метода включают:

а) предположение о неизменности технического состояния ФМ в пределах цикла;

б) предположение о том, что КЭ может быть только исправным;

в) применимо к числу ФМ, превышающему 2;

г) предположение о том, что с учетом правил голосования (равноправное, взвешенное, с дискриминациями и пр.) исправные ФМ внутри каждого цикла доминируют над неисправными;

д) общий поток данных для всех ФМ.

2. Использование правил достоверности (ПД). В зависимости от конкретных условий и решений в качестве таких правил могут выступать: сравнение с эталонными моделями, фиксирование нарушений заданных временных и/или параметрических интервалов (контроль по допуску на параметр [6]), проверка логических и др. соотношений, вычисление инвариантов разных порядков и пр.

Основными особенностями являются:

а) в пределах цикла исправность ФМ не изменяется;

б) предполагается, что элемент ПД может быть только исправным, в том числе при наличии эталонной модели она может быть только исправной;

в) применимо к любому числу ФМ;

г) предполагается, что входные и выходные данные в достаточной степени информативны;

д) каждый ФМ имеет свой поток данных.

Подводя итог краткому обзору, можно отметить в разной степени распространенные особенности:

- наличие слабых¹ (¹ Удовлетворение предположения не влияет на практическое использование подхода.) предположений о неизменности исправности проверяемых устройств внутри цикла мониторинга;

- наличие сильных² (² Удовлетворение предположения значительно сужает прикладные возможности подхода.) предположений об исправности систем контроля или их основных устройств,

- ограничение минимального или требование большого числа ФМ,

- требование по доминированию исправных ФМ над неисправными,

- требование по информативности процессов в ФМ,

- общий поток данных для всех ФМ.

В качестве прототипа взята система встроенных средств контроля бортовой вычислительной системы под управлением операционной системы реального времени как итеративный агрегированный объект [13], в которой реализован современный подход к построению ВСК, которые в свою очередь проверяются с помощью тестов вне рабочего режима.

Таким образом, в целом проанализированные подходы обладают весьма обременительными особенностями, исключающими, в значительной степени затрудняющими или ставящими в зависимость от сильных предположений построение систем мониторинга исправности компонентов КО в реальном времени.

Задача мониторинга избыточных технических устройств формулируется следующим образом. Пусть некоторый функциональный модуль (ФМ) на заданном интервале времени решает какую-либо содержательную задачу. Одновременно за его функционированием «наблюдает» мониторинговый модуль (ММ), в решении содержательной задачи участия не принимающий. По выходу ММ формируется суждение об исправности или неисправности ФМ. При этом возможно неправильное функционирование как ФМ, так и ММ. Кроме того, возможное неправильное функционирование ФМ или ММ не влияет на работоспособность друг друга. Ставится задача получить оценку работоспособности (дихотомическую оценку «исправен» или «неисправен») ФМ и одновременно изобличить ММ в случае его неисправности. Соединение ФМ+ММ в дальнейшем будем называть функциональным узлом (ФУз).

В известных работах [7-10] приняты упрощенные обозначения (логические переменные состояния): «1» - рассматриваемое устройство исправно, «0» - неисправно. При этом логика зависимости состояния исправности ФУз от состояния исправности ФМ и/или ММ выражается булевой формулой логического умножения (конъюнкции):

Здесь исправному состоянию ФУз соответствуют только исправные состояния обоих его компонентов.

Отказы ММ, по-видимому, можно в первом приближении подразделить на два вида: простые отказы «залипание на 1» и «залипание на 0» (аналоги «замыкания» и «разрыва» в электрических цепях) и сложный отказ «инверсия значения исправности ФМ». При этом сложный отказ на каждом отдельном цикле мониторинга очевидным образом сводится к одному из простых отказов. Если это справедливо, то при отказных состояниях ММ выдаваемый им результат будет неотличим от результата при исправном или неисправном состоянии ФМ (и ФУз).

Подобная ситуация маскирования действительного состояния ФУз и ФМ при отказе ММ имеет место и при использовании не булевой логики состояний с другими обозначениями состояния исправности устройств, например: «1» - при исправном состоянии, «-1» - при неисправном:

Здесь значение «-1» логического выхода ММ соответствует неправильному функционированию либо ФМ, либо ММ. Одновременное неправильное функционирование ФМ и ММ приводит к значению «1» на выходе ММ, т.е. такое состояние ФУз неразличимо с правильным функционированием обоих модулей.

Возможности указанных формализмов ограничены при их использовании для автономного (самостоятельного) мониторинга ФУз из-за существенной неопределенности возможных результатов.

Целью настоящего изобретения является улучшение достоверности диагностирования как комплекса оборудования (КО) с управляемой избыточностью, так и средств его диагностирования путем логического попарного мониторинга составляющих его избыточных компонентов, разнородных по проектным и технологическим платформам, для информационного обеспечения процедур выбора и реализации конфигураций (за рамками данного изобретения), в наибольшей степени соответствующих сложившимся условиям в смысле отказов или неблагоприятного внешнего воздействия.

Эта цель достигается тем, что в способе логического парного мониторинга (ЛПМ) неоднородной избыточности КО все конструктивно и/или технологически разнородные функциональные узлы (ФУз), состоящие из функционального (ФМ) и мониторингового (ММ) модулей каждый, подвергаются в какой-либо очередности или одновременно самоконтролю и взаимному контролю по предлагаемым правилам.

Принимаются широко распространенные на практике предположения:

A. Потоки данных через различные ФМ не связаны между собой (функциональная автономность ФМ).

Б. Каждый функциональный узел ФМ+ММ изготавливается на технологической базе и поддерживается инфраструктурными средствами, не зависимыми от базы и средств других ФУз (конструктивная разнородность ФУз).

B. Все ФМ и ММ изготовлены таким образом, что совместимы для образования различных ФУз независимо от технологических и инфраструктурных особенностей (интерфейсная однородность ФУз).

Г. Процесс мониторинга разбит на циклы, внутри которых техническое состояние ФМ и ММ неизменно (стационарность ФУз).

Принципиально важным следствием предположения Б является практическая невозможность одновременной неисправности двух ФМ и/или двух ММ в двух различных ФУз.

Изобретение и его особенности поясняются с помощью чертежа:

Фигура 1 изображает функциональную схему ЛПМ согласно настоящему изобретению, где:

1 - Функциональный модуль (ФМ1) первого функционального узла (ФУз1),

2 - Мониторинговый модуль (ММ1) первого функционального узла (ФУз1),

3 - Функциональный модуль (ФМ2) второго функционального узла (ФУз2),

4 - Мониторинговый модуль (ММ2) второго функционального узла (ФУз2),

τ - текущее время (номер цикла мониторинга),

- входные данные i-го ФМ в цикле мониторинга τ,

- выходные данные i-го ФМ в цикле мониторинга τ,

- контролируемые параметры i-го ФМ в цикле мониторинга τ,

- оценка состояния i-го ФМ j-м ММ в цикле мониторинга τ.

Результат оценивания работоспособности ФУз в паре с учетом предположения Г представляется индикаторную матрицей (ИМ) вида:

где - логическое заключение о состоянии i-го ФМ, сделанное j-м ММ. Таким образом, первая строка ИМ - результат оценки исправности ФМ1 двумя ММ, первый столбец ИМ - результат оценки исправности обоих ФМ посредством ММ1 и т.д.

Способ заключается в реализации следующего универсального правила логического парного мониторинга (ЛПМ).

Выделение полностью или частично исправной пары ФУз сводится к проверке структуры ИМ, уникальный вид которой соответствует определенной комбинации исправных и неисправных узлов в соответствии с таблицей.

Индикаторные матрицы технического состояния модулей при ЛПМ

Указанная неоднозначность и «ошибочное принятие исправного ФМ за исправный» (на выходе неисправного ММ оценка «ФМ исправен», не зависящая от состояния ФМ, относится к ФМ, который в действительности является исправным) не приводят непосредственно в текущем цикле к негативным последствиям. В отношении контроля ФМ никакой неоднозначности нет.

При этом допустимо использование любого из формализмов (1) и/или (2). Кроме того, это правило допускает возникновение в ИМ «странных» значений логических переменных, не соответствующих ни одному из формализмов.

Работает устройство (Фигура 1) следующим образом.

Выполнение одиночного мониторинга (один ФУз с одним ФМ и одним ММ).

Если ММ исправен, то он отражает действительное состояние ФМ, т.е. информирует об исправности или неисправности ФМ. Работа описывается любым из формализмов (1) или (2):

Если ММ неисправен, то при мониторинге происходит следующее. Пусть выход ММ не зависит от исправности ФМ принимает значение «1» или «0» (или «-1» в зависимости от формализма). Анализ каждого из вариантов дает:

а) устойчивая выдача значения «исправен», т.е. «1» на выходе ММ:

при исправном ФМ получается, что ММ срабатывает как исправный при любом формализме, и ситуация не распознаваема, т.е. отличить неисправное состояние ФУз от исправного невозможно, но и негативных последствий тоже нет:

при неисправном ФМ ситуация соответствует только формализму (2):

формализм же (1) неприменим;

б) устойчивая выдача значения «неисправен», т.е. «0» или «-1» на выходе ММ:

при исправном ФМ результат соответствует любому из формализмов:

и указывает на наличие неисправности в ФУз,

при неисправном ФМ получаем выполнение только формализма (1):

формализм (2) неприменим.

Таким образом, при довольно общем характере неисправностей ФУз налицо смешение двух формализмов (1) и (2), что предусмотрено сформулированным универсальным правилом ЛПМ.

Выполнение парного мониторинга (два ФУз, каждый с одним ФМ и одним ММ).

Если оба ФУз исправны, то в соответствии с (3) результат в виде ИМ на выходах ММ содержит все единичные элементы:

Если несправен только ФМ1 (или ФМ2), то ИМ в соответствии с (4) принимает значение

Наличие «1» на главной диагонали указывает на наличие исправного ФУз, а вместе с «1» вне главной диагонали указывает конкретно на исправность ФУз2 (или ФУз1), а также ФМ2 (или ФМ1).

Если неисправен только ММ1 (или ММ2), неизменно выдавая «1», то ИМ в соответствии с (5) не противоречит исправности обоих ФУз:

а неизменно выдавая «0», ошибочно приписывает неисправность исправным ФМ1 и ФМ2 одновременно, тем самым в соответствии с (7) изобличая себя (противоречит предположению Б) и отрицая исправность своего ФУз:

При одновременной неисправности ФМ1 и ММ1 (или ФМ2 и ММ2) с неизменной выдачей оценки «1» в соответствии с (4) и (6) получается значение ИМ:

указывающее на исправность ФУз2 (или ФУз1). Здесь взятые в рамки значения «1» символизируют появление «странного» значения «1» на выходе ММ1 (или ММ2). Странность заключается в том, что такое значение не соответствует ни одному из описанных формализмов (см. комментарий к (6)). И хотя пользователь не может знать о странности одного из элементов ИМ, это не влияет на работоспособность универсального правила, поскольку «странный» элемент расположен на главной диагонали вместе с «нормальным» элементом «1». В результате нужное решение безошибочно формируется по любому из диагональных элементов. В отличие же от (10) в этом случае делается вывод об отсутствии исправных модулей за пределами ФУз2 (ФУз1).

При одновременной неисправности ФМ1 и ММ1 (или ФМ2 и ММ2) с неизменной выдачей оценки «0» в соответствии с (7) и (8) получается значение ИМ:

что в силу формализма (1) указывает на исправность только ФУз2 (или ФУз1).

При одновременной неисправности ФМ1 и ММ2 (или ФМ2 и ММ1) с выдачей «1» неисправным ММ получается значение ИМ:

со «странным» элементом, о странности которого пользователь не подозревает. Вместе с тем вид ИМ позволяет утверждать об отсутствии исправных ФУз. Выдача «0» неисправным ММ2 (или ММ1) приводит к значению ИМ:

что свидетельствует об отсутствии исправных ФУз.

Можно убедиться, что указанный в разделе 3 сложный отказ в виде инверсии оценки состояния ФМ корректно отражается в ИМ (11) - (15).

Вариант использования ЛПМ выглядит следующим образом. Если ИМ принимает одно из значений

то исправны оба ФМ в паре ФУз. При значениях ИМ

среди ФМ пары исправен только ФМ1, а при значениях

- только ФМ2. При этом исправность или неисправность ММ не отмечается.

Аналогично можно выбрать комбинации значений ИМ для суждения об исправности только ММ с той лишь особенностью, что, если ИМ принимает значение (9), один из ММ следует подозревать (но не более того) в неисправности.

Устройство для реализации способа логического парного мониторинга (ЛПМ) неоднородных избыточных технических систем по п. 1 содержит пару функциональных узлов, каждый из которых состоит из функционального и мониторингового модулей, первый из которых осуществляет выполнение содержательной функции в интересах прямого предназначения системы, а второй осуществляет контроль функционального модуля и не принимает участия в выполнении содержательных функций, внутреннее соединение модулей пары позволяет каждому мониторинговому модулю контролировать каждый функциональный модуль в паре.

Промышленная применимость

Наиболее успешно заявленные способ автоматического мониторинга неоднородного избыточного комплекса оборудования и устройство для его реализации промышленно применимы в контрольно-измерительных и управляющих комплексах широкого назначения и могут использоваться для создания перспективных отказоустойчивых интегрированных комплексов бортового оборудования подвижных объектов и комплексов автоматизированного управления функционированием производственных и энергетических объектов с целью обеспечения их безотказности и безопасности функционирования.

Источники информации

1. ГОСТ Р ИСО/МЭК 19762-1-2011. Информационные технологии. Технологии автоматической идентификации и сбора данных (АИСД). Гармонизированный словарь. Часть 1. Общие термины в области АИСД. - введ. 2011 - 05 - 30. - М.: Стандартинформ, 2012. -36 с.

2. Буков В.Н., Евгенов А.В., Шурман В.А. Интегрированные комплексы бортового оборудования с управляемой функциональной избыточностью // Академические жуковские чтения: Сб. пленар. докл. V междунар. науч.-практ. конф., 22-23 ноября 2017. Воронеж: Изд. ВУНЦ ВВС ВВА, 2017. С. 32-40.

3. Буков В.Н., Евгенов А.В., Шурман В.А. Управление функциональной избыточностью перспективных интегрированных комплексов бортового оборудования // Матер. засед. межвед. раб. груп. по подгот. предлож-й, направл. на выявл. перспект. и прорыв. направ. науч.-технич. и инновац. развития авиац. отр. М.: Студия Этника, 2018. С. 45-53.

4. Sollock P. Reconfigurable Redundancy - The Novel Concept Behind the World's First Two-Fault-Tolerant Integrated Avionics System // Avionics, Navigation and Instrumentation. P. 243-246. URL: https://www.nasa.gov/centres/johnson/pdf/584731main_Wings-ch4e-pgs242-255.pdf.

5. Каляев И.А., Мельник Э.В. Реконфигурируемые информационно-управляющие системы // Матер. пленар. засед. 5-й Рос. мультиконф. по пробл. управл. СПб.: Изд. ЦНИИ Электроприбор, 2012. С. 36-37.

6. Агеев A.M., Бронников A.M., Буков В.Н., Гамаюнов И.Ф. Супервизорный метод управления технических систем с избыточностью // Изв. РАН. Теория и системы управления. 2017. №3. С. 72-82.

7. Долгов В.А. Встроенные автоматизированные системы контроля. М.: Энергия, 1967.

8. Чернодаров А.В. Контроль, диагностика и идентификация авиационных приборов и измерительно-вычислительных комплексов. М.: Научтехлитиздат, 2017.

9. Диагностирование и прогнозирование технического состояния авиационного оборудования: Учеб. пособие для вузов гражд. авиации / Под ред. И.М. Синдеева. М.: Транспорт, 1984.

10. Основы технической диагностики. В 2-х кн. / Под ред. П.П. Пархоменко. М.: Энергия, 1976.

11. Машиностроение: Энц. Т. III-7. Измерения, контроль, испытания и диагностика / Под ред. В.В. Клюева. М.: Машиностроение, 1996.

12. Буков В.Н., Базанов А.П., Колодежный А.П., Максименко И.М., Шпилевой Ю.М. Теоретические основы и средства автоматизированного контроля / Под общ. ред. В.Н. Букова. М.: Изд. ВВИА, 1997.

13. Долбня Н.А. Встроенные средства контроля бортовой вычислительной системы под управлением операционной системы реального времени как итеративный агрегированный объект// Вест. Самарского гос. аэрокосмич. ун-та. 2012. №5 (36). С. 224-228.

1. Способ логического парного мониторинга (ЛПМ) неоднородных избыточных технических систем, отличающийся тем, что включает автоконтроль (сам себя) и взаимный контроль (друг друга) технического состояния двух узлов, разнородных конструктивно и функционально, но совместимых по интерфейсам, результат контроля подвергают логическому анализу по универсальному правилу, связанному с размещением единичных (исправен) и нулевых (неисправен) оценок работоспособности в индикаторной матрице (ИМ) размером 2×2, составленной из оценок каждого функционального модуля каждым мониторинговым модулем вне зависимости от действующего формализма распространения (влияния) неправильного функционирования и допускающего возникновение «странных» оценок работоспособности, не подчиняющихся ни одному из формализмов, по конкретному значению ИМ из 13 возможных осуществляют селекцию контролируемых узлов на полностью и частично исправные или неисправные и детализируют места неисправности узлов до функциональных и мониторинговых модулей.

2. Устройство для реализации способа логического парного мониторинга (ЛПМ) неоднородных избыточных технических систем по п. 1, содержащее пару функциональных узлов, каждый из которых состоит из функционального и мониторингового модулей, первый из которых осуществляет выполнение содержательной функции в интересах прямого предназначения системы, а второй осуществляет контроль функционального модуля и не принимает участия в выполнении содержательных функций, внутреннее соединение модулей пары позволяет каждому мониторинговому модулю контролировать каждый функциональный модуль.