|
"ЖУРНАЛ
РАДИОЭЛЕКТРОНИКИ" N 12, 2002 |
|
РАЗРАБОТКА СИСТЕМ С ПРЕДСКАЗУЕМЫМ ПОВЕДЕНИЕМ В УСЛОВИЯХ ОТКАЗА ЭЛЕМЕНТОВ СИСТЕМЫ
Московский государственный институт радиотехники, электроники и автоматики (технический университет)
119454 Москва пр-т Вернадского, д.78, e-mail: petrov@mirea.ru
Получена 17.12.2002 г.
В статье рассматриваются основные принципы и подходы к созданию систем различных классов с предсказуемым поведением в условиях отказа элементов этой системы.
Показана актуальность создания таких систем, связанная с возможными последствиями для других объектов, сферы жизнеобитания, экосистемы Земли.
Определены основные последствия отказа для широкого класса элементов системы.
Предложены основные алгоритмы анализа систем на предсказуемость, а также основные методы такого анализа.
Ключевые слова: система, предсказуемость поведения, безопасность, отказ, алгоритм анализа, моделирование.
Внедрение современных информационных технологий в различные сферы практической деятельности приводит к возникновению сложных взаимосвязей между элементами информационной среды. Особое место в ней занимают информационно-управляющие системы, в которых часть функций управления (в том числе в реальном масштабе времени) передана системе. Масштаб управления и последствия принятия неправильного решения приводят к возникновению новой качественной характеристики любой системы, такой как её предсказуемость в условиях возникновения отказа одного или нескольких элементов системы.
Поэтому, является актуальным создание автоматических и автоматизированных систем с предсказуемым поведением с точки зрения их надежного, безопасного и эффективного функционирования и использования с учетом потенциальных опасностей, определяемых их внутренней организацией и возможных внешних воздействий.
Среди основных сфер применения таких систем, в которых цена и объем последствий отказа являются существенными, можно выделить следующие:
- исследования и практические работы, требующие применения автоматических систем (освоение космоса, мирового океана, недр, военные применения и т.д.);
- исследования и практические работы, требующие применения автоматизированных систем контроля и управления (системы экомониторинга, системы контроля и управления на вредных и опасных производствах, на перспективных источниках энергии, высокотехнологичных процессах производства и т.д.);
- технологии и процессы реального времени (системы управления воздушным движением, АСУ ТП, ВЦ коллективного пользования, банковские системы и обработка транзакции, ряд других).
Среди основных опасностей, возникающих при отказе элементов систем, используемых в перечисленных выше сферах применения, выделим следующие:
- физическая потеря объекта управления;
- выдача неправильных или недостоверных данных;
- нарушение управления, приводящее к неуправляемому характеру течения управляемого процесса;
- возникновение смежных деструкционных последствий;
- появление новых выходных эффектов;
- потери ресурсов, ценностей, продукции.
Как результат, возможно возникновение вторичных последствий, таких как:
- возникновение локальных и глобальных экологических катастроф;
- возникновение радиологических, химических, биологических и других локальных и глобальных загрязнений;
- несанкционированное применение средств вооружения;
- разрушение объектов;
- катастрофы движущихся объектов;
- гибель флоры, фауны, человеческие потери.
В последнее время в ряде проведенных исследований, в частности в [1-6], актуальность подобных работ подтверждена, выполнены разработки различных методологий синтеза систем, обладающих свойствами надежности и безопасности. Вместе с тем, анализ и учет факторов, определяющих последствия отказа, в том числе последовательный учет последствий от отказавшего элемента дальше на всю цепочку элементов системы, включая влияние отказа на внешнюю среду, разработка методологии создания систем с предсказуемым поведением в условиях отказа будет рассмотрена впервые.
Критерием создания систем с предсказуемым поведением служит их безопасность в условиях одиночного или множественного отказа их элементов.
При этом, под безопасностью таких систем будем понимать в соответствии с [1] «свойство систем противодействовать появлению аварийных ситуаций, порог критичности состояний системы, влияющих отрицательно на жизнедеятельность человека и среду его обитания (окружающую среду) при функционировании системы в соответствии с целевым назначением».
Вместе с тем, данное определение полезно расширить путем включения в число объектов, на которые может повлиять поведение системы в условиях отказа, ряд объектов, не относящихся впрямую к среде обитания человека, такие как природные и космические объекты.
Дадим определение системы с предсказуемым поведением (СПП). Под такой системой будем понимать систему, которая в условиях отказа одного или нескольких элементов, ее составляющих, будет иметь заранее предсказанное поведение, учитывающее минимизацию последствий для человека, окружающей среды и иных объектов.
Последствия могут быть:
- локальными, когда ущерб наносится только самому объекту управления без воздействия на окружающую среду;
- региональными, когда ущерб наносится объектам и окружающей среде, смежной с объектом управления в масштабах региона;
- глобальными, когда ущерб наносится существенной части жизненного пространства человека и окружающей среды;
- и, наконец, необратимыми глобальными, когда ущерб наносится подавляющей части жизненного пространства человека и окружающей среды.
По характеру последствий они могут быть:
- обратимыми, когда возможно их устранение;
- необратимыми, когда их устранение невозможно;
- условно необратимыми, когда их устранение невозможно в обозримом будущем с существующем уровнем технологий, и т.д.
По воздействию на человека они могут быть:
- не оказывающие воздействие на человека;
- приведшие к нанесению ущерба здоровью людей;
- приведшие к гибели людей.
- воздействующие на смежные объекты без последующего «затухания» последствий воздействия.
К числу систем, для которых последствия отказа элемента(ов), являются существенными можно отнести:
- информационные и информационно-справочные системы;
- информационно-управляющие системы (АСУ, АСОИ и т.д.);
- информационные, вычислительные и телекоммуникационные системы общего назначения;
- технические системы с элементами информационных, вычислительных и телекоммуникационных систем, включая территориально удаленные (распределенные) элементы систем;
- автоматические системы.
Критерием отбора таких систем является:
- нанесение, вследствие отказа элемента(ов), существенного ущерба материальным объектам, информации, ресурсам и т.д.;
- нанесение вследствие отказа элемента(ов), ущерба человеку, его жизненному пространству, окружающей среде;
- значимость самого объекта;
- значимость процесса управления;
- уникальность объекта, процесса управления, системы и т.д.
Для эффективного анализа систем, в том числе сложных, выделим основные их особенности [4, 8-9]:
- наличие большого числа взаимосвязанных и взаимодействующих между собой элементов;
- сложность функций, выполняемых системой и направленных на достижение заданной цели функционирования;
- возможность разбиения системы на подсистемы, цели функционирования которых подчинены общей цели функционирования всей системы;
- наличие процессов управления и существенных объемов информационных потоков;
- постоянное случайное воздействие внешней среды.
Возникновение ситуации, когда хотя бы один из элементов системы переходит в неисправное и неработоспособное состояние, приводит к отказу.
Причинами отказа могут быть:
- закономерные воздействия, вызванные несовершенством конструкции, компоновки, алгоритма обработки, качеством и сроком службы элементов и т.д.;
- случайные воздействия, вызванные неконтролируемыми процессами, происходящими во внешней среде, в самой системе, а также выходом параметров и характеристик элемента за пределы нормальных значений;
- случайные и закономерные воздействия, вызванные сознательным целенаправленным действием на систему со стороны внешней среды.
В первом случае существуют специальные методики конструирования, проектирования, эксплуатации и сопровождения, которые учитывают возможные недостатки и позволяют их оперативно устранять, не доводя до отказа.
Во втором случае, вследствие (в общем случае) бесконечного числа влияющих факторов, учесть их влияние в полном объеме не представляется возможным.
В третьем случае, существуют организационно-технические мероприятия, снижающие уровень и вероятность воздействия, однако не имеется возможности полностью исключить их влияние.
В условиях отказа даже одного элемента, его последствия могут отражаться на смежных с ним элементах и работе всей системы в целом, выполнении возложенных функций, общей работоспособности, а также возможности появления новых, непредсказуемых функций, действий и реакций системы, которые выходят за рамки определенных для нее при нормальном выполнении целевой функции.
В настоящее время разработаны методы повышения надежности системы, прогнозирования сбоев и отказов, планирования резервирования отдельных элементов системы. Однако, они не дают представления о возможном характере реакций системы на отказ одного из элементов и возможных последствиях такого отказа как для самой системы, так и для окружающей среды. Основными причинами, по которым данные работы не развивались до сих пор достаточно активно, являются:
- трудоемкость и ресурсоемкость подобного анализа, вызванная множеством учитываемых факторов, взаимосвязей;
- недостаточная развитость средств вычислительной техники;
- существенное время, необходимое для проведения подобного анализа;
- высокая цена материальных затрат.
Вместе с тем, опыт практической деятельности показывает, что возможные последствия по своему объему могут иметь существенно больший, а некоторых случаях просто необратимый характер. Проведение уникальных, редких и особо опасных экспериментов также требует предварительного учета возможных последствий. Все это, а также еще ряд причин, о которых не упомянуто в настоящей работе, говорит о том, что сфера деятельности, для которой проведение подобного анализа становится необходимым, расширяется, поэтому требуется дополнительная разработка более совершенных методов анализа и синтеза сложных систем с предсказуемым поведением в условиях отказа одного или нескольких элементов.
Моделирование последствий отказа элемента системы
Проблема надежности радиоэлектронной и электронно-вычислительной техники разрабатывается довольно давно. Создан аппарат прогнозирования отказов, выработаны методики повышения надежности аппаратуры. Вместе с тем, важным также является анализ последствий отказа элемента или группы однотипных элементов системы (ЭС) на дальнейшее функционирование блока, устройства, системы.
Необходимость моделирования последствий отказа заключается в важности следующей информации:
1. сохранит ли ЭС способность выполнять свои функции, в том числе неполностью, в условиях отказа элемента;
2. выйдут ли за рамки допустимых значения выходной функции ЭС и если выйдут, то к каким последствиям это приведет;
3. не появится ли новых, не являющихся результатом нормального функционирования системы, выходных функций с непредсказуемыми уровнями значений параметров;
4. как повлияет отказ в данном ЭС на функционирование окружающих ЭС, системы в целом, а также окружающих систем?
Определим некоторые понятия, используемые ниже.
Отказ ЭС - прекращение выполнения ЭС своей функции.
Нормальный режим работы ЭС - режим работы, когда все элементы ЭС работают (находятся) в нормальных условиях.
Критический процесс в ЭС - режим работы (состояние) одного или нескольких элементов ЭС вне нормального режима без возникновения отказа.
Помехи в работе ЭС - кратковременные закономерные или случайные, однократные или многократные ошибки (нарушения) в выполнении ЭС своих функций.
Допустимые пределы изменения - диапазон изменения значения характеристики элемента, нахождение внутри которого не изменяет нормальный режим работы как самого элемента, так и ЭС в целом.
Выделим основные группы последствий отказа элемента (группы элементов) в системе.
1. Система продолжает работать в нормальном режиме неопределенное время. Этот случай является наиболее благоприятным, так как отказ элемента в системе не нарушает ее работоспособность, вместе с тем, в системе происходят критические процессы.
2. Система продолжает работать в нормальном режиме с помехами (снижение эффективности системы).
3. Отказ системы.
4. Система начинает работать вне нормального режима. Это приводит к возникновению следующих ситуаций:
4.1. ошибка в работе последующего, смежного с оказавшим, ЭС не возникает. В этом случае несмотря на критические процессы, происходящие в ЭС, выполнение основной функции системы не нарушается.
4.2. возникают помехи в работе системы. Этот случай по последствиям аналогичен случаю 2.
4.3. происходит отказ системы.
5. Отказ ЭС, смежных с данным.
6. Появление новых реакций системы.
Алгоритмы анализа последствий отказа элементов системы
Для моделирования последствий отказа будем представлять систему орпсевдографа G({X},{U}), где вершинами {X} будут ЭС, а дугами {U} - электрические и иные связи между ними (рис.1.). Отметим, что в орпсевдографе G отсутствуют петли.
Рис.1. Представление элемента системы в виде орпсевдографа.
Псевдограф GE является подмножеством графа G, таким, что в графе GE исключены все неэлектрические связи между элементами, тогда граф GE будет обладать свойством отсутствия кратных ребер.
Определим некоторые условия функционирования для элементов графа GE.
Условие У 3.1. Множество электрических связей {UE} графа GE не оказывает влияния на распространение последствий отказа элемента блока, а лишь определяет возможные пути распространения.
Применение У 3.1. имеет два ограничительных момента для частного случая реализации вычислительного или радиотехнического устройства:
- при работе на достаточно высоких частотах, когда начинает существенным образом сказываться реактивное сопротивление линии связи, граф GE необходимо заменить на граф GES, состоящий из множества вершин {XES} и множества дуг {UES} и образованный путем добавления в граф GE множества вершин {SU}, возникающих в результате деления каждой связи на две последовательные связи, при этом свойства вершин {SU} будут определяться RLC-характеристиками данной линии связи;
- при учете физического обрыва линии связи необходимо поступить также, как и в предыдущем случае, только свойства вершин {SU} будут определяться наличием или отсутствием обрыва.
Условие У 3.2. Отказ любого из ЭС приводит к одному из следующих последствий:
- не оказывает воздействия,
- к отказу одного или нескольких элементов, с ним связанных,
- к изменению режима работы одного или нескольких связанных с ним элементов.
Введем несколько определений.
Определение О 3.1. Элементом n-го порядка будем называть элемент, связанный с данным через n последовательных связей.
Определение О 3.2. Затуханием влияния последствий отказа по k-тому пути будем называть достижение независимости условий функционирования i-го элемента от отказа исходного элемента при распространении влияния последствий отказа по k-тому пути.
Пусть Х(1) - первый элемент в схеме, Х(2)...Х(N) - элементы схемы, U1...UK - электрические связи между элементами, {{F(1)}...{F(N)}} - множество функций, выполняемых элементами X(1)...X(N), {{W(1)}...{W(N)}} - множество условий функционирования элементов. Предположим, что произошел отказ первого элемента Х(1). Это приведет к тому, что изменятся значения некоторых из элементов массивов {W(1)} и {F(1)}. Пусть элемент Х(1) имеет связь с элементами Х(2)...Х(К). Тогда изменение значений элементов массивов {W(1)} и {F(1)} может привести к изменению значений элементов массивов {W(2)}...{W(K)}. Проводим проверку возможности функционирования элементов Х(2)...Х(К) в новой ситуации, или, иначе говоря, выполнение элементом множества функций {F(K)}. При этом может возникнуть необходимость изменения значения элементов массивов {F(K)} в том случае, если та или иная функция элемента не выполняется или выполняется неполностью или появляется новая функция.
После корректировки массивов {W(K)} и {F(K)} рассматриваем множество связей 1-го порядка {U(1,K)}, связывающих Х(1) с другими элементами. Определяем подмножество Q(1) множества {X(N)}, содержащее все элементы графа GE, имеющие связи с первым элементом. Фиксируем первый элемент (I=1) подмножества Q и анализируем его возможность выполнять свои функции в изменившихся условиях. В случае, если отказ X(1) не привел к изменениям в работе элемента X(I), то устанавливаем значение параметра W(K)=«0» и дальнейший анализ по этой ветви графа не проводим. Если же, нормальное функционирование элемента X(I) нарушается, то производится корректировка массива {F(I)}, а значение W(K) устанавливается равным «1», если отказ Х(1) привел к отказу Х(I), или равным «*», если отказ Х(1) привел к нарушению нормального функционирования. После этого определяется подмножество Q(I), принадлежащее {X(N)} и содержащее все элементы графа GE, имеющие связи
c элементом X(I) и имеющие значение параметра W(K) не равным «*», и проводится анализа исключаются элементы (j+1)-го и более порядков для тех элементов, для которых уже был проведен анализ ранее. Индекс j определяет ранг порядка элементов, при котором подвергается анализу элемент со значением W(K)={«*»,»1»}.
После перебора всех вершин графа делается заключение об объемах последствий и возможности функционирования блока в целом в условиях отказа элемента.
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
Рис.2. Обобщенный алгоритм моделирования последствий отказа
(начало)
Рис.2. Обобщенный алгоритм моделирования последствий отказа
(окончание)
Для этого проводится анализ массива {W(K)}, при этом возможно появление следующих ситуаций:
- все элементы массива, за исключением одного, имеют индекс «0», следовательно, можно сделать вывод о том, что ЭС выполняет свои функции неполностью (работа с помехами);
- все элементы массива имеют индекс «1», что говорит о полной деструкции ЭС;
- все элементы массива, за исключением одного, имеют индекс «*» или «0», причем должен быть хотя бы один элемент с индексом «*», тогда можно говорить о возможном изменении результирующей функции системы и возможном появлении новых результирующих функций;
- элементы массива имеют индексы «0», «*», «1», при этом должно быть не менее двух элементов с индексом «*», тогда возможно невыполнение функции ЭС.
Частным случаем последней ситуации будет случай, когда индекс «1» будет принадлежать всем элементам системы, равноудаленным от начального, тогда можно говорить об отказе ЭС и возможном появлении новых результирующих воздействий.
После этого, в качестве следующего ЭС, с которым возможно возникновение отказа, рассматривается следующий элемент массива X(K). В результате, возникает множество массивов W(K), содержащих возможные последствия отказа ЭС, размерностью N. Сквозной анализ элементов этого множества позволяет выделить те из них, которые чаще всего подвержены влиянию последствий отказа.
Для анализа степени предсказуемости поведения системы в условиях отказа предлагается следующий обобщенный алгоритм моделирования последствий для технической системы с учетом взаимного влияния (А1). При этом, необходимо построить дополнительную матрицу {WQ}, в которой отразить наличие возможных взаимных влияний ЭС. Это увеличит размерность формируемых массивов Q*(K). В дальнейшем, используется алгоритм, аналогичный А0, однако в отличии от него, объем обработки увеличивается в силу увеличения числа рассматриваемых связей, хотя размерность массива W(K) остается прежней.
Далее, как и в предыдущем пункте рассматривается очередной элемент системы с предположением об его отказе и образуется множество массивов W(K), содержащее последствия возможного отказа всех ЭС.
Алгоритм анализа с учетом неэлектрических связей (А2). В случае учета неэлектрических связей между ЭС (механические, динамические и др.) в орпсевдографе G увеличивается кратность ребер, что в свою очередь, приводит к увеличению объема работы по анализу последствий. Отличие алгоритма анализа с учетом неэлектрических связей А2 от предыдущих алгоритмов (А0, А1) заключается в том, что значение массива Q** больше (или равно) значения массива Q* и Q для каждого из ЭС. При анализе, до его начала, представляется целесообразным также построить матрицу взаимного влияния ЭС.
Основными особенностями анализа последствий отказа ЭС для информационно-управляющих систем являются:
- отсутствие кратных ребер в орпсевдографе G в силу отсутствия взаимных, в том числе неэлектрических, влияний (помимо чисто информационного обмена) между ЭС;
- отсутствует обратное влияние между смежными ЭС.
Из особенностей видно, что алгоритм анализа последствий отказа будет аналогичен алгоритму А0, только в качестве вершин орпсевдографа будут выступать ЭС, в которых осуществляется преобразование и хранение информации, а также информационный обмен.
В этом случае, можно выделить несколько групп отказов в зависимости от источника и времени возникновения:
- множественный последовательный (цепочечный) отказ элементов, вызванных отказом первого из них;
- множественный отказ однотипных элементов;
- множественный отказ разнотипных элементов.
Рассмотрим подробнее, как изменятся алгоритмы анализа системы с учетом множественного характера отказов в системе.
Алгоритм А4. Анализ последствий множественного последовательного (цепочечного) отказа элементов.
В этом случае полезно проанализировать последствия отказа для ЭС, смежных с теми, которые составляют последовательную цепочку. Это позволит сократить объем анализа.
Алгоритм в этом случае в целом повторяет алгоритмы A0-A4, однако выбор элементов X(K) (XI(K)) осуществляется не из всего массива {X(N)} ({XI(N)}), а только из массива
{X*(N)}Ì {X(N)} ({XI*(N)}Ì {XI(N)}),
содержащего только те ЭС, которые составляют последовательную цепочку отказа.
Алгоритм А5. Анализ последствий множественного отказа однотипных элементов.
В этом случае, для алгоритмов А1 и А2 сокращается объем работы по анализу, так нет необходимости выполнять повторный анализ взаимных и неэлектрических воздействий для однотипных элементов, и размерность итогового массива результатов анализа {(W(N)} на величину:
N*=N-(v+1)-(v1+1)-(v2+1)-….,
где v – число типов элементов, v1, v2, v3 … - число элементов конкретного типа.
Алгоритмы А0 и А4 в этом случае не корректируется, а алгоритмы А1 и А2 корректируются в части состава элементов в массиве {W(K)}.
Алгоритм А6. Анализ последствий множественного отказа разнотипных элементов.
В этом случае, имея заранее известный перечень отказавших ЭС, необходимо в исходном массиве W(N) пометить их как «1», просчитать последствия отказа для этих элементов, а, затем, внести результаты этого анализа в массив W(N), затем для всех оставшихся элементов выполнить традиционные алгоритмы А0 – А3.
Таким образом, в алгоритмы А0 – А3 вместо блока, содержащего присвоение всем элементам массива W(N) значения «0», будет работать процедура, выполняющая описанные в предыдущем абзаце действия.
В реальных системах помимо учета и устранения статических источников опасностей существенную роль играют и динамические процессы в системе. Они характеризуются следующими признаками:
- в силу влияния множества случайных воздействий (факторов), вызывающих различные условия протекания динамических процессов в ЭС, описывать и моделировать их представляется достаточно сложным делом, требующим как применения аппарата дифференциальных уравнений, так и вероятностных методов анализа;
- существенное усложнение описания процесса и его моделирования при значительном числе ЭС на несколько порядков увеличивает ресурсоемкость моделирования;
- учесть все возможные особенности протекания динамических процессов не представляется возможным.
В целом, задача моделирования последствий отказа ЭС в динамическом режиме требует дальнейшего исследования и решения. В качестве направления исследования можно предложить следующий алгоритм (А7-): проведение натурных испытаний реального объекта в условиях изменяющегося характера влияющих факторов с попеременным принудительным выводом из строя одного из элементов системы, от начального до конечного, с последующим анализов как величины планируемых (ожидаемых) последствий, так и выявления появления новых непланируемых результатов. Данное предложение аналогично методу анализа технических средств (МАТС), который будет рассмотрен в следующей главе.
- представление основных характеристик ЭС, описывающих их состояние в статическом режиме, дополняется представлением в виде набора вероятностных характеристик, определяющих возможные влияния со стороны действующих случайных факторов на ЭС;
- в дальнейшем, применяется алгоритм типа А1 ко всем элементам системы.
Также, может быть эффективно применен алгоритм (А9), основанный на проведении натурных испытаний реального объекта в условиях изменяющегося характера влияющих факторов с попеременным принудительным выводом из строя одного из элементов системы, от начального до конечного, с последующим анализов как величины планируемых (ожидаемых) последствий, так и выявления появления новых непланируемых результатов. Данное предложение также аналогично методу анализа технических средств (МАТС), который будет рассмотрен в следующем пункте.
Для построения перспективных ИУС с предсказуемым поведением в условиях возникновения нештатной ситуации необходимо исключить все возможные действия системы в этих условиях, не относящиеся к выполнению основных и вспомогательных заранее оговоренных функций.
Можно предложить три основных метода решения стоящей задачи [10]:
- метод комплексного анализа (МКА),
- метод приближенного анализа (МПА),
- метод анализа технических средств (МАТС).
При методе комплексного анализа производится полное моделирование последствий отказа для всех элементов системы на основании алгоритмов, предложенных в [3]. Достоинством данного метода является полное (гипотетически!) выявление всех возможных последствий отказа. Основным и главным недостатком, препятствующим его практическому использованию, является его трудоемкость, которая возрастает геометрически пропорционально количеству рассматриваемых элементов и для большого их числа является непригодным. Как промежуточный вариант метода комплексного анализа можно предложить вариант, когда система разбивается на достаточно малое количество элементов и число рассматриваемых факторов тоже невелико. При этом необходимая степень детализации обеспечивается последующим разбиением выбранных на первом этапе элементов на субэлементы с применением к каждому такому разбиению приведенного выше метода. Очевидно, что в пределе мы получим такую же трудоемкость, как и при применении метода комплексного анализа к системе в целом. Поэтому выигрыш и практическое применение может быть достигнуто либо при большом объеме однотипных элементов, когда анализ одного из них переносится на остальные, либо при ограничении степени детализации структуры системы.
Метод приближенного анализа является подмножеством метода комплексного анализа и заключается в том, что вводятся допустимые граничные условия на число и перечень рассматриваемых элементов системы, на число и перечень рассматриваемых функций системы, на точность моделирования работы системы. При этом возможно применение дополнительных методов определения перечней элементов, функций и точности моделирования, допустимых для обеспечения требуемой предсказуемости работы системы. Достоинством метода являются меньшие, по сравнению с предыдущим методом, затраты на анализ. Недостатками метода являются вероятность пропуска фактора, влияющего на предсказуемость системы, и его трудоемкость.
Метод анализа технических средств исходит из предположения, что при анализе необходимо рассматривать не совокупность внешних и внутренних действующих факторов, как это было в двух предыдущих методах, а максимально возможное множество реакций системы и выделять (а затем и исключать, по возможности) действие тех факторов, которые могли бы вызвать такую реакцию, или блокировать возможность появления такой реакции вообще. Данный метод, как видно из предыдущего рассуждения, концентрируется не на перечне внешних воздействий, который может быть сколь угодно большим, а на возможностях технических средств по отработке команд информационно-управляющей системы, которые, во-первых, имеют конечный характер, и их существенно меньше, чем действующих факторов, во-вторых. Таким образом, налицо выигрыш в затратах на анализ и одновременно с анализом выявляется перечень технических возможностей, подлежащих ограничению. К недостатку метода можно отнести то, что он не работает в случае, когда планируемая неадекватная реакция системы находится в поле возможных значений для нормальной работы системы. Например, вследствие какого-либо воздействия летательный аппарат вместо того, чтобы лететь прямо, повернул налево, но параметры полета находятся в нормальных пределах.
Анализируя предлагаемые методы, а также их достоинства и недостатки, можно определить область возможного применения каждого из методов.
Так, все три метода применимы в случае, когда известно внутреннее построение ИУС и технических средств, ее реализующих. Это обычно происходит при новой разработке или модификации существующей системы. В этом случае, выбор конкретного метода определяется ресурсными возможностями и необходимой степенью предсказуемости.
В случае, когда неизвестно внутреннее построение ИУС и (или) технических средств, ее реализующих, возможно применение только первых двух методов. Это происходит в случае, когда внутренняя структура объекта анализа преднамеренно или случайно представляется «черным ящиком», например, объект или его является «know-how» (например, внутренний интерфейс Windows), утеряна документация на систему, объект опечатан или защищен от обратной трансляции, или когда нет непосредственного взаимодействия с объектом (например, АСУВ или АСУО потенциального противника).
В любом случае, перед проведением анализа системы на предсказуемость поведения, необходимо понимать потенциальную необходимость такого анализа вследствие дополнительных, и, может быть существенных, затрат на него.
Перечень факторов, принимаемых в рассмотрение, при проведении анализа может быть ограничен или дополнен, в зависимости от полноты рассмотрения. При этом необходимо выделить несколько основных тенденций такого рассмотрения:
- рассмотрение детерминированного внешнего воздействия. В этом случае, рассматривается только поток внешних детерминированных воздействий на систему, исключается детерминированное внутреннее и все виды случайных воздействий и предполагается, что любое воздействие может привести к отказу ЭС.
- рассмотрение совокупного детерминированного внешнего и внутреннего воздействия. В этом случае, рассматривается только поток внешних и внутренних детерминированных воздействий на систему, исключаются все виды случайных воздействий и предполагается, что любое воздействие может привести к отказу ЭС.
- совокупное рассмотрение внешних и внутренних воздействий. В этом случае, весь поток внешних и внутренних детерминированных и случайных воздействий на систему рассматривается как суперпозиция детерминированных внешних и внутренних воздействий с возможным случайным, уровнем самого воздействия, при этом не выделяются значимые или незначимые воздействия и предполагается, что любое воздействие может привести к отказу ЭС.
- рассмотрение случайного совокупного внешнего и внутреннего воздействия. В этом случае, исключается детерминированное внутреннее и внешнее воздействие воздействий и предполагается, что любое воздействие может привести к отказу ЭС. Данный случай полезно рассматривать для случая, когда необходимо оценить степень предсказуемости поведения системы от влияния случайных факторов.
Выше было показано, что предлагаемые методы являются достаточно ресурсоёмкими, что может ограничивать их широкое применение. Можно ли сократить их ресурсоёмкость и как?
Одним из способов решения этой задачи является применение функциональной стандартизации на элементы системы и, может быть, на систему в целом. Рассмотрим подробнее, как это достичь практически.
Для этого должны существовать Реестр сертифицированных продуктов и нормативное обеспечение, обеспечивающее включение объекта в реестр. Реестр должен содержать типовые элементы (программные модули, схемные решения, типовые алгоритмы) такие, что для них уже выполнена процедура анализа на предсказуемость и определен перечень последствий отказа системы.
Для формирования реестра необходимо, как уже было сказано, наличие нормативного обеспечения. Оно включает в себя нормативные акты, определяющие сертификацию на предсказуемость и методики тестирования. В качестве нормативных актов должны выступать функциональные стандарты (профили) – набор взаимосогласованных и взаимоувязанных стандартов, направленных на достижение конкретной цели. Примером могут служить функциональные стандарты – Профили открытых систем организаций-пользователей [4]. В общем случае, на каждый типовой элемент, входящий в реестр, должен быть разработан функциональный стандарт - Профиль типового элемента, определяющий его характеристики, в том числе, с точки зрения предсказуемости систем.
При практическом применении, в начальный момент осуществляется декомпозиция системы на элементы, но не на любые, а только на те, которые входят в реестр. В том случае, если элемента в реестре нет, для него осуществляется процедура анализа согласно одному из приведенных выше методов. После того, как для всех элементов будут определены перечни возможных последствий отказа, проводится интегральный анализ для системы в целом.
Очевидно, что затраты на анализ предсказуемости системы в условиях отказа снижаются, причем снижение будет тем более ощутимым, чем больше типовых элементов будет в перечне и чем больше их будет применено в конкретной разработке.
Таким образом, можно сделать несколько выводов:
1. Применение методов анализа системы на предсказуемость является ресурсоёмким, поэтому выполнение такого анализа должно быть определено существенным значением фактора предсказуемости для функционирования конкретной системы (автономность работы, опасность техногенной катастрофы и т.д.).
2. При разработке и анализе работы систем необходимо учитывать не только действие значимых, но и незначимых факторов.
3. Выявление возможных последствий отказа в системе не является исчерпывающим, поэтому при разработке системы необходимо предусмотреть выработку запрещающих воздействий на функционирование системы при возникновении нештатных ситуаций.
4. Существует возможность анализа системы на предсказуемость как для объектов с известной внутренней структурой, так и для «непонятных» объектов.
5. Применение функциональной стандартизации может существенно сократить ресурсоёмкость анализа.
6. Степень детальности выявления возможных последствий отказа является самостоятельной задачей и должна решаться в рамках самостоятельного исследования.
1. Н. К. Тхыонг Методы и модели надежности, эффективности и безопасности сложных технических систем в конфликтных ситуациях. - Дисс. на соиск. уч. ст. д.т. наук. – М., ВЦ РАН, 1999. – 323 с.
2 Блохнин А.Г. Разработка и исследование нечеткой системы управления на базе современных информационных технологий. - Дисс. на соиск. уч. ст. д.т. наук. – М., 2000 г.
3. Зеленцов Б.П. Разработка матричных методов расчета надежности сложных систем. - Дисс. на соиск. уч. ст. д.т. наук. – М., 1990 г.
4. Салин А.Г. Методы и средства агрегатно-декомпозиционного синтеза многокомпонентных технических систем. - Дисс. на соиск. уч. ст. д.т. наук. – М., 2000 г.
5. Стефанюк В.Л. Локальная организация целесообразного поведения технических систем. - Дисс. на соиск. уч. ст. д.т. наук. – М., ИППИ РАН, 1990 – 423 с.
6. Харрасов И.А. Анализ надежности сложных технических систем в процессе их проектирования на основе понятий развивающихся систем. – Уфа, УфГАТУ, 1999. – 163 с.
7. IEEE Std.
1003.23-95 «IEEE Guide for Developing User Organization Open System Environment
(OSE) Profiles»
8. Евтихиев Н.Н., Петров А.Б. Моделирование последствий отказа: обобщенный подход Вопросы кибернетики: устройства и системы./Межвуз.сб. науч.трудов. – М.:МИРЭА, 1996.
9. Evtikhiev N.N., Petrov A.B. Algorithm of analysis of failure effects (Алгоритм анализа последствий отказа) - Сб. науч. трудов ОИВТА РАН, посвящ. 275-летию РАН - М., 1999.
10. Петров А.Б.
Математические методы анализа взаимодействий в сложных информационных системах.
- Сб. трудов XLIX науч.-техн. конф. МИРЭА – М., МИРЭА, 2000.
|
|