Моделирование надежности программных компонентов киберфизических систем

Полный текст

Введение. Ключевые достижения и тренды научно-технического прогресса связаны с цифровизацией, предполагающей повсеместное применение цифровых технологий сбора и обработки информации [1]. Ускоренное внедрение цифровых технологий в экономику и социальную сферу является одной из национальных целей развития России. Ее достижение необходимо в интересах создания условий для высокотехнологичного бизнеса, повышения конкурентоспособности страны на глобальном рынке, укрепления национальной безопасности и повышения качества жизни людей. Одним из приоритетов цифровизации является внедрение киберфизических систем, отличительная особенность которых в интеграции вычислительных ресурсов в инженерно-технические системы [2, 3]. Причем вычислительная компонента киберфизической системы распределена по всей системе и синергетически увязана с составляющими ее элементами [4, 5]. Элементы киберфизических систем и отдельные киберфизические системы взаимодействуют, самонастраиваются и адаптируются к изменениям с помощью стандартных программно реализуемых интернет-протоколов [6, 7]. Поэтому надежность программных компонентов киберфизических систем является ключевой составляющей их эффективного функционирования, а ее адекватное моделирование имеет существенное значение для прогресса цифровизации.

Обзор существующих подходов

Причиной сбоев/отказов любого ПО являются ошибки, допущенные человеком, в том числе новые, возникшие при исправлении ранее сделанных ошибок и приводящие к отказам/сбоям того же самого или другого типа [8, 9]. Концепция моделирования надежности программных компонентов киберфизических систем должна быть единой, например, привязанной к их аппаратной части, а ввиду специфики причин отказов программная часть должна исследоваться в контексте моделей и задач обработки данных, сопровождающих функционирование киберфизических систем [10–12].

Недостатком известных подходов к моделированию надежности программных компонентов является то, что оценки характеристик надежности формируются на основе эмпирических данных о количестве ошибок, выявленных при тестировании программ [2, 13, 14]. Поэтому результаты тестирования существенно зависят как от его длительности, так и от полноты покрытия области обрабатываемых данных подобластью данных, генерируемых при тестировании [12, 15].

Программные компоненты киберфизических систем решают задачи обеспечения их взаимодействия, самонастройки и адаптации к изменениям [16, 17]. В простейшем случае обработка данных по заданному алгоритму осуществляется последовательно, а целью обработки является формирование управляющих воздействий, направленных на обеспечение заданных характеристик: устойчивости, времени достижения установившегося режима функционирования киберфизической системы, перерегулирования, точности поддержания установившегося режима и т.п. [1, 18, 19]. Кратковременный выход перечисленных характеристик за заданные пределы означает сбой функционирования программных компонентов киберфизической системы, а устойчивое несоблюдение требований – их отказ.

Структурно-параметрической моделью функционирования программных компонентов киберфизической системы является полумарковский процесс [20, 21], состояния которого – абстрактный аналог операторов алгоритма функционирования. Время пребывания в состояниях определяется вычислительной сложностью реализуемых алгоритмов, а вероятность переключения в сопряженные состояния – спецификой обрабатываемых данных и логическими условиями выбора каждого состояния [22]. Таким образом, моделирование надежности программных компонентов киберфизической системы сводится к синтезу структурно-параметрической модели отказов ПО, применимой на этапе разработки программных компонентов. Недостаточно полная разработка моделирования надежности программных компонентов киберфизических систем обусловливает актуальность проведенных исследований, отличительные особенности которых определяются ориентацией на устранение недостатков известных подходов к моделированию надежности программных компонентов, при реализации которых оценки характеристик надежности формируются только на основе эмпирических данных о количестве ошибок, выявленных при тестировании программ.

Метод исследования

Анализ опыта эксплуатации киберфизических систем показывает, что наиболее часто мониторинг состояния их элементов и компонентов реализуется с помощью циклического опроса (поллинга) [2, 22]. Поллинг реализует алгоритм, включающий множество операторов:

$S=\left\{s_0,s_1,\mathrm{...,}{s}_n,\mathrm{...,}{s}_N,s_{N+1}\right\},$

где s₀ и s_N+1 – фиктивные (неисполняемые) операторы, соответствующие операциям «Начало» и «Конец» запуска цикла поллинга, а остальные операторы s_n – исполняемые (инициирующие действия) операторы. Обратная связь между двумя неисполняемыми операторами придает цикличность алгоритму поллинга, а общее количество обращений (N) к элементам и компонентам киберфизической системы в цикле поллинга определяется количеством связей (К) между ними:

$N=2K$

Поскольку цикл поллинга реализует случайный процесс, эволюция (порядок обращений к элементам и компонентам киберфизической системы) которого после любого s_n не зависит от эволюции, предшествовавшей выполнению s_n, а время выполнения операции s_n имеет произвольные функции распределения, процедура поллинга может быть представлена в виде полумарковского процесса:

$\mu =\left\{S,h\left(t\right)\right\},$

где S – множество состояний, совпадающих с множеством операторов $\left\{s_n\right\},n\in \left[\mathrm{1,...,}N\right];$ h(t) = p $\otimes$ f(t) – полумарковская матрица; $f\left(t\right)=\left\{f_{j,n}\left(t\right)\right\}$ – матрица плотностей распределения времени выполнения операторов поллинга; $p=\left\{p_{j,n}\right\}$ – стохастическая матрица.

При разорванной обратной связи (связи между s₀ и s_N+1) полумарковский процесс имеет одно стартовое (s₀) и одно поглощающее (s_N+1) состояния и будет эргодическим, только если для любой пары состояний (s_j, s_n), j, n∈[0, N+1], существует хотя бы один путь из состояния s_j в состояние s_n и хотя бы один путь из состояния s_n в состояние s_j. Свойство эргодичности следует из требований к процедуре поллинга, которая в течение каждого цикла должна иметь возможность хотя бы по одному разу опросить каждый компонент киберфизической системы.

В общем случае плотности распределения f_j,n(t) время пребывания полумарковского процесса в состоянии s_j, если априорно известно, что следующим его состоянием будет s_n, определяется сверткой

$f_{j.n}\left(t\right)=f_{j.n}^c\left(t\right)\odot f_{j.n}^d\left(t\right),$

где $f_{j.n}^c\left(t\right)$ – плотность распределения времени программной подготовки данных для обмена с j-м элементом киберфизической системы в процессе поллинга; $f_{j.n}^d\left(t\right)$ – плотность распределения времени активации программного драйвера j-го элемента киберфизической системы в процессе поллинга; $\odot$ – операция свертки.

Вероятности переключения полумарковского процесса из состояния s_j в состояние s_n определяются плотностями распределения данных, обрабатываемых конкретным оператором, и логическими условиями перехода процедуры поллинга в сопряженные операторы (алгоритмом поллинга).

В простейшем случае поллинг представляет собой последовательный однократный опрос каждого элемента киберфизической системы, реализуемый подачей на вход вектора входных сигналов с последующим анализом времени получения и компонентов вектора выходных сигналов. Кортеж $〈s_0,s_1,\mathrm{...,}{s}_N,s_{N+1}〉$ образует на полном ориентированном графе процедуры поллинга гамильтонов (посещающий каждую вершину ровно один раз) путь из s₀ в s_N+1. Одна из очевидных реализаций гамильтонова пути получается исключением из кортежа состояний s₀ и s_N+1. Замыкание (связь) состояний s₁ и s_N гамильтонова пути порождает гамильтонов цикл, в соответствии с которым производится опрос элементов киберфизической системы при поллинге.

Конкретная последовательность опроса элементов определяется разработчиком алгоритма поллинга с учетом специфики эксплуатации конкретной киберфизической системы. Плотности распределения времени пребывания процесса в состояниях s₀ и s_N+1 определяются вырожденным законом распределения:

$f_{N+1.0}\left(t\right)=f_{\mathrm{0,}j}\left(t\right)=\delta \left(t\right),$

где δ(t) – δ-функция Дирака. Как и ранее, предполагается, что обработка данных производится в операторах {s_i}, i∈ [1…N].

Плотность распределения времени возврата в любой из операторов {s₁, … s_N}, образующих при замыкании цикл, равна

$f_{S_j}\left(t\right)=L^{-1}\prod _{j=1}^{N}L\left(f_j\right(t\left)\right),$

где L[…] и L^-1[…] – прямое и обратное преобразования Лапласа соответственно; f_j(t) ∈ f(t) – плотность распределения времени выполнения оператора s_j, выбираемая из матрицы f(t) в соответствии с построенным гамильтоновым циклом. Период цикла, характеризуемый оценкой математического ожидания времени возврата в начало после цикла поллинга, равен

$T=\sum _{j=1}^N{T}_j=\sum _{j=1}^N\underset{0}{\overset{\infty }{\int }}t{f}_j\left(t\right)dt,$

где T_j – математическое ожидание времени выполнения операции s_j, j∈[1…N].

Поскольку при опросе элементов киберфизической системы программа поллинга выполняет процедуру дискретизации входного сигнала, период T должен удовлетворять условию

$\frac{2\pi }{T}>\Omega \left(k\right),k\in \left\{\mathrm{1,...,}K\right\},$

где Ω(k) – минимальная круговая частота дискретизации k-го параметра, определяемая теоремой Котельникова для спектра вектора входных сигналов [23, 24]. На практике это условие, как правило, не выполняется, поэтому ошибка дискретизации при ее реализации с помощью процедуры поллинга должна быть меньше допустимой, то есть удовлетворять условию

$\epsilon \le \underset{k\in \left[\mathrm{1,}\mathrm{...,}K\right]}{\min {\epsilon }_k},$

где ε – допустимая ошибка дискретизации; ε_k – допустимая ошибка дискретизации k-го параметра.

При выходе периода дискретизации за порог, оцениваемый величиной e_k, возникает ситуация, которая может привести к сбою/отказу киберфизической системы вследствие накопления ошибки дискретизации. Вероятность появления такой ошибки вычисляется как

$p_k=\underset{\epsilon }{\overset{\infty }{\int }}{f}_{S_j}\left(t\right)dt.$

При организации обратной связи в киберфизической системе плотность распределения времени запаздывания вывода значений выходного (получаемого в результате поллинга) сигнала относительно ввода значений входного сигнала определяется выражением

$f_z\left(t\right)=L^{-1}\left[L{\left[f_{S_j}\left(t\right)\right]}^M\right],$

где M – порядок конечно-разностного уравнения в случае, если вектор выходного сигнала определяется как решение системы конечно-разностных уравнений, или количество отсчетов, необходимых для вычисления свертки, если вектор выходного сигнала определяется через вычисление свертки. Тогда математическое ожидание времени запаздывания будет

$T_Z=\underset{0}{\overset{\infty }{\int }}t{f}_Z\left(t\right)dt.$

Временной интервал между вводом входного сигнала и выводом выходного представляет собой чистое запаздывание в контуре обратной связи [25–27]. С точностью, достаточной для практических целей, можно считать, что запаздывание по времени во всех цепях обратной связи одинаково и определяется как временной интервал, начинающийся от чтения из буфера входного сигнала и заканчивающийся выводом выходного сигнала.

Если ${\tau }_k^1$, ${\tau }_k^2$ – пороговые значения времени запаздывания в цепи обратной связи, при которых перерегулирование параметра входного сигнала достигает критических значений, а ${\tau }_k^3$ – порог, при достижении которого киберфизическая система теряет устойчивость, то вероятность сбоя/отказа киберфизической системы определяется как

$p_Z=\underset{\tau }{\overset{\infty }{\int }}{f}_Z\left(t\right)dt,$

где

$\tau =\underset{k\in \left[\mathrm{1,}\mathrm{...,}K\right]}{\min }\left\{{\tau }_k^1,{\tau }_k^2,{\tau }_k^3\right\}.$

Обсуждение результатов

Оценки вероятностей p_k и p_z, а также плотностей распределения f_k(t) и f_z(t) являются основой для построения полумарковской модели отказов программных компонентов киберфизической системы. На рисунке показан алгоритм определения надежности программных компонентов киберфизической системы, характеризуемой временем запаздывания в цепи обратной связи.

 

Алгоритм определения надежности программных компонентов киберфизической системы, характеризуемой временем запаздывания в цепи обратной связи

Algorithm for determining the reliability of software components of a cyber-physical system characterized by the delay time in the feedback loop

 

По результатам подсчета надежности программных компонентов надежность киберфизической системы может быть оценена как высокая (ни одного выхода, то есть бессбойная работа программных компонентов), невысокая (от одного до N выходов, перемежающихся с периодами бессбойной работы, то есть сбойная работа программных компонентов) или низкая (больше N выходов, то есть отказ программных компонентов).

С помощью полумарковской модели времена наработки программных компонентов киберфизической системы до сбоя (T_S) и до отказа (T_O) могут быть оценены как

$T_S=\frac{T_Z}{p_Z},$

$T_o=N{T}_Z+\frac{T_Z(1-p_Z)(1-p_Z^N){\displaystyle \sum _{i=1}^{N}i{p}_Z^{i-1}}}{p_Z^N},$

где $T_Z$ – математическое ожидание времени цикла поллинга; $p_Z$ – вероятность отказа программных компонентов в текущем цикле наблюдения.

Поток выходов времени запаздывания формирования вектора выходных сигналов относительно вектора входных сигналов в цепи обратной связи за установленные пределы, представляющий собой сумму потоков с разными значениями времени запаздывания, стремится к пуассоновскому [28–30]. Плотность распределения времени между двумя выходами времени запаздывания за порог в пуассоновском потоке равна

$f_{T_S}\left(t\right)=\frac{1}{T_S}{e}^{-\frac{t}{T_S}},$ $f_{T_O}\left(t\right)=\frac{1}{T_O}{e}^{-\frac{t}{T_O}},$

где $f_{T_S}\left(t\right)$ и $f_{T_O}\left(t\right)$ – распределения, описывающие пуассоновские потоки сбоев и отказов программных компонентов киберфизической системы.

Выводы

В результате исследования разработан подход к моделированию надежности программных компонентов киберфизических систем. Надежность определяется сбоями и отказами, обусловленными некорректным учетом временной сложности реализуемых алгоритмов функционирования. Предлагаемый подход основан на применении структурно-параметрической полумарковской модели сбоев/отказов

ПО, параметры которой определяются вычислительной сложностью и требованиями, предъявляемыми к ПО с учетом его функционального назначения.

Об авторах

Александр Николаевич Привалов

Тульский государственный педагогический университет им. Л.Н. Толстого

Email: privalov.61@mail.ru

д.т.н., профессор, директор института

Россия, г. Тула, 300026

Евгений Васильевич Ларкин

Тульский государственный университет

Email: elarkin@mail.ru

д.т.н., профессор

Россия, г. Тула, 300012

Алексей Валерьевич Богомолов

Федеральный исследовательский центр «Информатика и управление» РАН

Автор, ответственный за переписку.
Email: a.v.bogomolov@gmail.com

д.т.н., профессор, ведущий научный сотрудник

Россия, г. Москва, 119333

Список литературы

Дополнительные файлы