Проблеми забезпечення безпеки електронного 3 страница

20. Непрерывные цепи Маркова.

21. Уравнения Колмогорова.

22. Надежность систем с задержанным восстановлением.

3. Аппаратурная и информационная надежность навигационной системы

До сих пор в нашем изложении мы явно или неявно предполагали, что любой отказ объекта вызван появлением в нем некоторых необратимых изменений, а попросту поломки. Оказывается, что в общем случае это не так. Покажем это, выбрав для иллюстрации данного факта навигационную систему, которая в рассматриваемом случае является очень удобным объектом. Обратимся к анализу эффективности НС.

Получение адекватной оценки эффективности функционирования является важным этапом проектирования любой технической системы. Взгляд на эффективность технической системы принципиальным образом зависит от ее назначения, которое для НС, как и для всякой информационно-измерительной системы, состоит в выработке совокупности информационных параметров (в случае НС – навигационных) на основе данных, поступающих от датчиков. При этом обслуживаемые с помощью НС прикладные задачи весьма разнообразны. Среди них в морских приложениях можно выделить стабилизацию судна на заданной траектории, его динамическое позиционирование в точке, определение координат платформы при бурении скважин, определение координат буксируемого устройства при геодезической съемке рельефа дна и т.п. Ясно, что основными составляющими эффективности НС являются точность, обеспечиваемая ею при выработке навигационных параметров, и надежность.

Достижение необходимой точности представляет собой сложную научно-техническую задачу, решаемую путем усовершенствования первичных датчиков информации (чувствительных элементов), построения эффективных алгоритмов обработки информации, совместного использования различных навигационных систем. Характерной чертой многих современных НС и в особенности автономных НС, используемых на подводных объектах, является избыточность (структурная и информационная). Это видно из примерного состава современной НС (рис. 3.1).

В данную НС входят несколько подсистем, среди которых инерциальные навигационные системы (ИНС), измеритель скорости (лаг), приемник сигналов спутниковой навигационной системы (СНС), гирокомпас, а также ЭВМ, осуществляющая комплексную обработку информации.

Коротко остановимся на подходах, используемых при оценке точности НС. Под точностью понимается свойство НС обеспечивать нахождение в пределах некоторого допуска характеристик погрешностей вырабатываемых параметров. Как правило, погрешности параметров рассматриваются как случайные процессы, что объясняется множественностью причин, влияющих на показания датчиков информации, и вследствие этого подходы к оценке точности носят стохастический характер. При этом способы задания требований к точности могут быть различными, а их выбор зависит, прежде всего, от преследуемой цели. Здесь можно выделить два основных варианта. В первом варианте цель состоит в предъявлении требований по точности к проектируемой или сертифицируемой системе, во втором – к системе, находящейся в эксплуатации. Обычно при проектировании и сертификации требования формулируются в отношении статистических характеристик погрешностей, при эксплуатации – в отношении реализаций погрешностей.

Среди вариантов определения требований по точности к НС при ее проектировании и сертификации выделим два, один из которых состоит в использовании эллиптических и круговых ошибок, а второй – в использовании -квантилей погрешности.

При использовании понятий «эллиптической и круговой ошибок» требуемая точность определения местоположения отражается соответственно либо эллипсом, либо кругом, ограничивающими область возможного местоположения определяющегося объекта. По своему происхождению эллиптическая ошибка – это линия равного уровня двухмерной гауссовской плотности распределения вероятности вектора погрешностей выработки координат, а круговая ошибка – это статистически эквивалентное представление эллиптической ошибки в виде круга.

При использовании понятия «-квантиль погрешности» требование по точности выработки некоторого параметра формулируется путем задания такого значения (-квантиль) погрешности , вероятность непревышения которого в момент времени не меньше заданной величины . Другим (более жестким) требованием может быть требование для той же -квантили, но на заданном интервале времени . В обоих случаях используются некоторый заданный допустимый уровень и вероятность непревышения этого уровня. На практике в этой части существуют определенные традиции, в соответствии с которыми значение уровня выбирают обычно равным , что в предположении гауссовости плотности распределения вероятностей значений погрешности означает квантиль уровня 0,997 (– среднеквадратическое значение погрешности).

На этапе эксплуатации НС для формулирования требований по точности выработки некоторого параметра может использоваться задание допустимого уровня для текущего значения погрешности, а именно

. (3.1)

При этом в качестве обычно выбирается значение квантили, соответствующее большому уровню p. Все ограничения на характеристики погрешности назначаются исходя из условия той прикладной задачи, которая обслуживается данной НС. Так, например, если задача состоит в проводке судна через узкий пролив, то значение рассчитывается исходя из ширины пролива.

Другой не менее важной характеристикой эффективности НС является ее надежность. Далее будет показано, что если свойство надежности трактовать для НС строго в соответствии с ГОСТ, то оказывается, что оно включает в себя свойство точности.

Конкретизируем понятия работоспособного состояния и отказа применительно к НС. Очевидно, что НС находится в работоспособном состоянии, если она вырабатывает все навигационные параметры с погрешностями, определенные характеристики которых не превышают заданных допусков. Отсюда видно, что понятие работоспособного состояния, а значит, и понятие надежности для НС включают в себя понятие точности. Далее будем считать, что событие отказа наступает в НС в случае, когда хотя бы один из навигационных параметров вырабатывается в НС с повышенной погрешностью или вообще не вырабатывается. Отметим, что это определение отказа было введено в работе И.Б.Челпанова и Е.П.Гильбо [8]. Событие, представляющее отказ НС, может отличаться от выражения (3.1) и формулироваться, например, как появление в реализации погрешности выброса (ограниченного по времени превышения) длительностью не менее над заданным уровнем или как появление не менее n выбросов длительностью не менее в течение заданного интервала времени (0,t).

На рис. 3.2 приведены примеры отказов НС. Причем в моменты , и возникают выбросы реализации погрешности, которые могут быть признаны или не признаны отказами в зависимости от используемого определения отказа.

Очевидно, что к отказу НС могут приводить критические дефекты (отказы) ее элементов. Далее такие отказы НС будем называть аппаратурными. Однако характерной особенностью НС является возможность ее отказа и при отсутствии критических дефектов в элементах. Такие отказы в противоположность аппаратурным будем называть информационными [10]. Важным свойством информационного отказа(ИО) НС является то, что после него система либо самовосстанавливается, либо для ее восстановления достаточно лишь коррекции ее внутренней информации и не требуется замены элементов. Именно это свойство послужило основанием для использования термина «информационный отказ».

Аналогично можно определить понятие информационного отказа для любой компоненты НС и, в частности, для ее подсистем и первичных датчиков информации, если для них сформулированы требования по точности. Таким образом, приходим к классификации отказов, представленной на рис. 3.3.

Как уже было сказано, причиной аппаратурного отка­за НС является критический дефект ее элемента. Причины возникновения информационных отказов весьма разнообразны и зависят от специфики конкретной НС. Так или иначе, это некоторые аномальные события, сопровождающие внутренние или внешние по отношению к НС физические процессы. Такие события в свою очередь приводят к аномальным событиям в погрешностях НС, которые далее будем называть информационными нарушениями.

Среди причин, приводящих к информационным нарушениям можно выделить следующие классы:

1. Причины, связанные с датчиками НС.

2. Причины, связанные с вычислительными устройствами обработки информации (сбои аппаратуры и ошибки программного обеспечения),

3. Причины организационного характера (отсутствие своевременной коррекции автономной НС, например, по причине неблагоприятных метеоусловий).

События, соотнесенные со вторым и третьим классами, ввиду их специфики далее не рассматриваются.

Раскроем содержание первого класса. Здесь, в свою очередь, можно выделить три подкласса:

· аномальные события во внутренних физических процессах, протекающих в исправных датчиках;

· малозначительные дефекты в датчиках, не приводящие к катастрофическим последствиям для их функционирования;

· аномалии во внешней среде, влияющие на работу датчиков.

Последний подкласс, например для морской НС, может включать аномалии в условиях плавания, в условиях распространения радио- и гидроакустических сигналов и т.п. К аномалиям в условиях плавания, кроме качки, можно также отнести неоднородности теплового, электромагнитного и гравитационного полей.

Заметим, что аномалии во внешней среде, вызывая в НС информационный отказ, могут создавать для нее нештатную ситуацию, не предусмотренную в требованиях к НС. Очевидно, что такие ИО не должны учитываться при оценке надежности НС.

В зависимости от того, как проявляются информационные нарушения, их можно подразделить на две группы. Информационные нарушения из первой группы проявляются в виде повышенных значений номинальной погрешности датчика, возникающих достаточно редко. В нее войдут информационные нарушения, являющиеся следствием первого подкласса физических причин. Информационные нарушения из второй группы проявляются в виде аномальной дополнительной погрешности датчика. В нее войдут информационные нарушения, являющиеся следствием второго и третьего подклассов физических причин. Первую группу информационных нарушений назовем выбросами в реализациях погрешности датчика, подсистемы, НС, вторую – дополнительными аномальными погрешностями.

Прокомментируем механизм возникновения выбросов в реализациях погрешности. Считается, что адекватным описанием погрешности является представление ее в виде случайного процесса. Причем в случае НС (подсистемы или датчика НС) описание, как правило, имеет сложную многокомпонентную структуру, т.е. погрешность представляется в виде суммы нескольких случайных процессов. Очевидно, что даже при номинальном поведении этих процессов возможны события, при которых значения разных компонент суммируются с одним знаком, создавая аномальный
выброс для общей погрешности НС. В общем случае не исключается также ситуация, когда одна отдельно взятая компонента погрешности НС принимает аномально большое значение. В подобных фактах обычно усматривают основание для использования при описании погрешности гауссовской плотности распределения вероятности, которая фактически является нереализуемой математической моделью, поскольку допускает бесконечные значения для описываемых процессов.

Последствия информационного нарушения для НС могут быть различными. Оно может привести к информационному отказу НС, причем событие отказа по отношению к событию нарушения может произойти без задержки или с некоторой задержкой, порой весьма значительной, зависящей от структуры погрешности НС. Информационное нарушение может не привести к информационному отказу НС, но привести к информационному отказу подсистемы или первичного датчика информации, входящих в состав НС, если понятие отказа для них определено. Оно может не иметь ни одного из указанных последствий, если его величина незначительна.

Подводя итоги вышесказанному, отметим, что понятие надежности НС является комплексным и включает в себя две составляющие – аппаратурную надежность (надежность по аппаратурным отказам) и информационную надежность (надежность по информационным отказам) (рис. 3.4). Первая составляющая представляет свойство надежности НС в традиционном понимании, вторая составляющая представляет свойство точности. Практика показывает, что при функционировании НС информационный отказ является относительно частым событием. В связи с этим прецизионные НС всегда включают в свой состав средства для парирования ИО, основанные на использовании структурной, информационной и алгоритмической избыточности, а также средств контроля и диагностики информационных отказов и нарушений. Особую значимость средства парирования ИО имеют для автономных систем, погрешности которых являются нестационарными и с неизбежностью приводят к ИО в случае несвоевременного проведения корректирующих процедур.

Изложенная концепция позволяет уточнить традиционно используемый на практике подход к оценке надежности НС, однако более правильно рассматривать сказанное лишь как предложения по дополнительной оценке эффективности НС. Необходимо отметить еще одно важное следствие обсуждаемого подхода: он позволяет более корректно, нежели в известных методах, ставить и решать задачу контроля и диагностики НС, поскольку модель контролируемого процесса оказывается описанной более точно.

В заключение кратко прокомментируем введенный понятийный ряд. Прежде всего отметим, что в разбиении всех отказов НС на два класса – аппаратурные и информационные – есть определенная доля условности. В результате граница между этими классами оказывается нечеткой. Эта нечеткость не является привнесенной, а следует, в частности, из существующей нечеткости границы между понятиями «критический дефект» и «малозначительный дефект». Один и тот же дефект в разных приложениях НС и разными разработчиками может быть отнесен к разным классам. Иллюстрацией нечеткости используемой на практике терминологии могут служить понятия «сбой» и «отказ». Ясно, что одно из отличительных свойств сбоя – «кратковременность» – является нечетким.

 

 

Часть 2. Техническая диагностика

4. Основные принципы проектирования средств диагностирования

 

4.1. Назначение и достоверность средств диагностирования

Когда говорят о назначении средств диагностирования (СД), обычно называют две основные задачи, которые они призваны решать. Первая задача состоит в определении технического состояния рассматриваемой системы – работоспособного или неработоспособного. В этом случае СД должны либо обнаружить отказ, либо констатировать отсутствие в системе каких-либо отказов. Эту задачу часто называют задачей контроля. Вторая задача, решаемая СД, состоит в поиске места отказа в системе. Ее обычно называют диагностикой. Далее, говоря о диагностировании (задаче диагностирования), мы будем иметь в виду одну из этих двух задач и будем конкретизировать вид задачи, когда изложение этого потребует.

СД находят применение на всех этапах жизни любой системы [22]. Они используются как технологические средства при создании системы и ее отладке. Они играют важнейшую роль и на этапе применения системы по прямому назначению. Причем их качество существенно влияет на надежность системы. В этом случае применяются как встроенные, так и внешние СД, как СД работающие в реальном времени, так и СД, анализирующие работу системы в режиме постанализа. Также велика роль СД на этапе восстановления системы после отказа.

Средства диагностирования подразделяются на тестовые [18, 22] и функциональные [12, 14, 18, 21 23]. При этом соответственно говорят о тестовом диагностировании (ТД) и функциональном диагностировании (ФД). В первом случае диагностирование осуществляется на основе специально формируемых тестовых воздействий во время перерывов в функционировании диагностируемой системы (ДС) или ее подсистемы по прямому назначению (рис. 4.1, а), во втором – на основе рабочих воздействий в процессе функционирования диагностируемой системы или ее подсистемы по прямому назначению (рис. 4.1, б). Простейшим примером средств функционального диагностирования может быть сопоставление выходного напряжения источника питания с эталоном или использование дублирующего устройства, с выходом которого в процессе работы сравнивается выход основного.

Во встроенных СД системы можно выделить отдельные средства, каждое из которых имеет свою зону ответственности, т.е. одно или более устройств системы, диагностирование которых оно осуществляет. На рис. 4.2 приведен иллюстративный пример структуры системы со встроенными СД. В систему входит четыре устройства У₁ – У₄, с тремя из которых соотнесены средства диагностирования СД₁ – СД₃, а с четвертым нет. Кроме того, в системе предусмотрены средства диагностирования СД, не соотнесенные с конкретными устройствами, предназначенные, например, для диагностирования связей между устройствами. По-видимому, понятно, что СД, использованные в этой системе, не являются совершенными, поскольку часть аппаратуры (по крайней мере, У₄) оказалась вне поля зрения СД. Это могло произойти по разным причинам. Среди них, прежде всего, ограниченность допустимых затрат на реализацию СД, в результате чего наиболее надежные устройства могут быть оставлены без СД. Однако причина может быть и более прозаической, например, ошибка разработчика.

Надо сказать, что разработка СД требует от инженера скрупулезности. Может быть, трудно себе представить ситуацию, когда разработчик упустил из виду необходимость диагностирования какого-либо существенного устройства системы. Однако легко предположить, что разработчик пренебрег недостаточной эффективностью СД, использованных по отношению к некоторому устройству. В результате чего у разработчика могут появиться претензии к качеству СД? Причинами могут быть либо недопустимые по его мнению аппаратурные или временные затраты, либо невозможность диагностирования с их помощью существенных для работы устройства отказов. Ответить на вопрос о допустимости или недопустимости конкретных затрат на СД бывает непросто. Часто это определяется производительностью используемого в системе компьютера. Также непросто бывает ответить на вопрос о необходимости включения того или иного отказа в число подлежащих диагностированию (класс диагностируемых отказов). Конечно, в идеале разработчик должен обладать надежной статистической информацией об интенсивностях всех возможных отказов. Тогда из списка всех возможных отказов можно было бы выбрать наиболее вероятные и только для них предусмотреть СД в составе проектируемой системы. Однако на практике такая статистика может появиться только в условиях массового производства, что трудно предположить для сложных и зачастую уникальных информационно-управляющих систем. В этом же случае разработчик может рассчитывать лишь на опыт предыдущих разработок и свою интуицию. Можно пойти по пути, нередко используемому в теоретических исследованиях диагностических проблем, когда предполагают, что отказывать может всё. Конечно, этот путь может привести к затратным решениям. Так или иначе, но формирование перечня отказов, подлежащих диагностированию, должно предварять разработку СД.

 

Оценка достоверности средств диагностирования

Обладая перечнем отказов, подлежащих диагностированию, можно попытаться оценить качество разработанных СД, определив интенсивность необнаруживаемых отказов. Получение этой характеристики на практике обычно вызывает затруднения. Они минимальны, когда используется формальный метод, для которого существует математическое обоснование класса диагностируемых отказов. Напротив, они велики, если рассматривается какой-либо эвристический метод. В этом случае можно попытаться решить вопрос с помощью компьютерного моделирования задачи диагностирования, когда моделируется работа системы и ее СД при разных отказах и определяется доля необнаруживаемых отказов. Ниже будем предполагать, что необходимые характеристики СД так или иначе получены.

Для разных задач технического диагностирования используются разные характеристики достоверности. Обычно эти характеристики представляют собой вероятности событий, соответствующих правильным и ошибочным решениям о техническом состоянии. Так в задаче определения вида технического состояния при работоспособном состоянии системы СД могут принять правильное решение (система работоспособна) и неправильное решение (система неработоспособна). Аналогично при неработоспособном состоянии может быть правильное и неправильное решения. Вероятности этих состояний служат характеристиками СД. Понятно, что эти характеристики, соответствующие одному и тому же техническому состоянию, дополняют друг друга до единицы, а, значит, достаточно использовать одну характеристику из пары. Чаще используют вероятности ошибочных решений. Причем ситуация, когда бракуется работоспособная система, называется ошибкой первого рода, а ситуация, когда не бракуется неработоспособная система, называется ошибкой второго рода. Последняя характеристика наиболее часто используется на практике. При этом ее называют «неполнотой» СД. Определим для системы доли обнаруживаемых и необнаруживаемых отказов интенсивностями и соответственно, причем интенсивность отказов системы равна: . Тогда неполнота СД определяется как отношение:

.

Конечно, в общем случае СД, примененные в отношении разных устройств У_i некоторой системы, будут характеризоваться разной неполнотой α_i. Тогда неполноту α СД для системы целесообразно определить как характеристику, осредненную по всем устройствам:

, (4.1)

где λ_i - интенсивность отказов i-го устройства. В этом выражении отношение есть вероятность отказа i-го устройства при условии, что рассматриваемая система отказала.

В задаче поиска места отказа пользуются понятием «глубина диагностирования», подразумевая под ним точность, с которой определяется местоположения отказа. По этой причине иногда вместо «глубины диагностирования» используют термин «точность диагностирования». При определении глубины диагностирования приходится учитывать два фактора. Первый и главный – это диагностическая (различающая) способность используемых СД, второй – конструктивные особенности системы (объекта диагностирования). Для обсуждения первого фактора необходимо ввести понятие эквивалентных отказов. Если говорить упрощенно, то два отказа считаются эквивалентными, когда поведение системы при наличии в ней любого из этих отказов одинаково. В результате по анализу поведения системы при любых входных последовательностях невозможно понять, какой из отказов присутствует в системе. На рис. 4.3 приведен пример, поясняющий это понятие. Здесь представлен фрагмент системы, состоящий из семи элементов. Для простоты будем считать, что элементы однотипны и представляют собой, например, усилители, а рассматриваемые отказы состоят в изменении их коэффициентов усиления. Фрагмент имеет один вход x и два наблюдаемых выхода y₁ и y₂. Нетрудно понять, что отказы усилителей 1, 2 и 3 эквивалентны между собой, как и эквивалентны между собой отказы усилителей 4 и 5, а также усилителей 6 и 7. Таким образом, мы имеем три группы (класса) эквивалентных отказов, и диагностирование может осуществляться лишь с глубиной, определяемой размерами этих классов. Заметим, что любые представители разных классов различимы между собой. Так, например, отказ 1 различим с отказом 4 или 6, а отказ 4 различим с отказом 6. При разработке процедур диагностирования необходимо принимать во внимание наличие классов эквивалентных отказов, чтобы в случае, когда СД указывают, например, на отказ 1, понимать, что реально в системе может присутствовать отказ 2 или 3. Ясно, что состав и количество классов эквивалентных отказов будет изменяться при изменении набора используемых при диагностировании выходов. Так в пределе, если возможно наблюдение выхода каждого усилителя, число классов будет равно числу усилителей, а каждый класс будет включать лишь один отказ.

Измерять на практике глубину диагностирования рамками классов эквивалентных отказов весьма затруднительно, а на этапе эксплуатации системы зачастую, как это мы поймем чуть ниже, в этом и нет необходимости. Это связано с тем, что неразличимость конкретных отказов может быть вызвана не их эквивалентностью, а недостаточной развитостью используемых СД. Вполне может оказаться, что расширение используемого теста или добавление средств функционального диагностирования может сделать ранее неразличимые отказы различимыми. По этой причине глубину диагностирования на практике определяют числом конструктивных элементов, отказы которых не различаются используемыми СД. С точки зрения процедуры восстановления любая система состоит из некоторых «кирпичиков» – так называемых типовых элементов замены (ТЭЗ). Дубликаты ТЭЗов хранятся на объекте эксплуатации в так называемом ЗИПе (запасное имущество прибора) и извлекаются оттуда при восстановлении системы. При этом можно заменить лишь соответствующий ТЭЗ, но нельзя заменить только конструктивный элемент, входящий в ТЭЗ. В связи с этим на практике принято определять глубину диагностирования в ТЭЗах. Очевидно, что в общем случае одному ТЭЗу соответствует не один класс эквивалентных отказов. При этом совершенно не обязательно, чтобы границы каждого из этих классов оказались в пределах одного ТЭЗа. В результате при появлении отказа из такого «разорванного» класса процедура диагностирования должна подозревать все ТЭЗы, содержащие отказы этого класса. Типичным для практики требованием к СД системы является глубина диагностирования 1–2 ТЭЗ.

Таким образом, ясно, что глубина диагностирования определяется свойствами СД, а также конструктивными и функциональными особенностями конкретной системы. Путем анализа используемых СД множество ТЭЗов диагностируемой системы может быть разбито на группы ТЭЗов, отказы которых неразличимы между собой. Численность этих групп может быть неодинакова. На рис. 4.4 приведен иллюстративный пример разбиения ТЭЗов системы на группы, различимые примененными СД. Эти группы разделены штриховыми линиями. В данном случае таких групп четыре. Первая и четвертая группы содержат по четыре ТЭЗа (ТЭЗ₁₁ – ТЭЗ₁₄ и ТЭЗ₄₁ – ТЭЗ₄₄), вторая группа – два ТЭЗа (ТЭЗ₂₁ и ТЭЗ₂₂), третья – три ТЭЗа (ТЭЗ₃₁ – ТЭЗ₃₃). В результате при возникновении какого-либо отказа данные СД указывают на одну из четырех групп ТЭЗов, не уточняя, где конкретно находится отказ. Возникает вопрос, как в данном случае определить значение глубины диагностирования δ? Можно принять, что глубина диагностирования равна наихудшему значению, т.е. четырем. Однако эту оценку нельзя принять полностью удачной, поскольку она не вполне отражает всю картину в целом. Ведь может оказаться, что отказы в устройствах наибольшей группы маловероятны и будут происходить редко, а чаще будут происходить отказы из меньших групп, и, значит, в среднем картина будет более благоприятной. Эти соображения свидетельствуют в пользу применения в качестве характеристик осредненных величин.