АРБИТРАЖНЫЙ ПОДХОД К УПРАВЛЕНИЮ ИЗБЫТОЧНОСТЬЮ КОМПЛЕКСА БОРТОВОГО ОБОРУДОВАНИЯ НА ОСНОВЕ СУПЕРВИЗОРОВ КОНФИГУРАЦИЙ Текст научной статьи по специальности «Компьютерные и информационные науки»

У

правление техническими системами и технологическими процессами

УДК 519.873 DOI: http://doi.org/10.25728/pu.2022.2.3

АРБИТРАЖНЫМ ПОДХОД К УПРАВЛЕНИЮ ИЗБЫТОЧНОСТЬЮ КОМПЛЕКСА БОРТОВОГО ОБОРУДОВАНИЯ НА ОСНОВЕ СУПЕРВИЗОРОВ КОНФИГУРАЦИЙ

А.М. Агеев, В.Н. Буков, В.А. Шурман

Аннотация. Рассмотрена проблема оперативного реконфигурирования комплекса бортового оборудования, содержащего избыточные неоднородные и неуниверсальные компоненты, с целью одновременного достижения как отказоустойчивости, так и других эксплуатационно-технических характеристик. В качестве концептуального решения сформулирован подход к построению системы управления избыточностью (СУИ), использующий супервизоры конфигураций по числу заранее отработанных конкурентоспособных конфигураций комплекса. Каждый такой супервизор может быть самодостаточен в смысле мониторинга готовности и показателей функциональной эффективности компонентов, входящих в соотнесенную с ним конфигурацию, участия в арбитраже за право реализации в сложившихся условиях соответствующей конфигурации, а также инициализации и контроля функционирования этой конфигурации. Предложен трехэтапный алгоритм работы СУИ, содержащий последовательность парных арбитражей вычислителей и конфигураций. Методический пример поясняет работу СУИ в различных режимах работы комплекса, при возникновении обнаруживаемых и необнаруживаемых отказов компонентов оборудования и выделенных для управления избыточностью вычислителей. Изложенные предложения позволяют унифицировать и рационализировать информационно -логическую структуру средств управления избыточностью, упрощая тем самым задачу создания СУИ требуемого уровня эффективности, обеспечивающей гибкость и широту охвата оборудования и конфигураций, а также существенное уменьшение числа узких мест избыточного комплекса.

Ключевые слова: комплекс бортового оборудования, избыточный ресурс, реконфигурирование, управление избыточностью, супервизор конфигурации, парный арбитраж.

_ВВЕДЕНИЕ_

Развитие отечественного авиационного приборостроения должно в максимальной степени отвечать вызовам, обусловленным как генеральными тенденциями развития мировой авиации, так и условиями, особенностями и целевыми установками отечественного авиастроения. Среди главных направлений развития авиации [1-4] видное место занимает создание предельно надежных авиационных комплексов бортового оборудования (КБО), обладающих широким диапазоном возможностей и высокой конкурентоспособностью как на отечественном, так и на мировом рынках. В условиях объективно ограниченной надежности элементной базы [5] безальтернативным путем достижения

указанного эффекта является создание реконфигу-рируемых избыточных1 КБО, позволяющих удовлетворить требование по отказоустойчивости посредством использования системных свойств КБО.

Вопрос поиска рациональных путей проектирования систем реконфигурирования для бортовых авиационных применений является весьма актуальным, о чем свидетельствует большой объем работ как в нашей стране [6-9], так и за рубежом [10-13]. К традиционным решениям в области ре-конфигурирования можно отнести технологию

1 Под избыточностью технической системы понимается наличие в ней возможностей сверх тех, которые могли бы обеспечить ее нормальное функционирование [5].

24

CONTROL SCIENCES No. 2 • 2022

FDIR2 (Fault-Detection, Fault-Isolation and Recovery Techniques), подразумевающую резервирование конфигураций целиком, и покомпонентное резервирование [7, 8], относящееся в основном к однотипным по конструкции и функциям частям системы. Кроме того, известны разработки и более продвинутых подходов, к которым можно отнести, например, распределение функциональных задач между доступными аппаратными ресурсами многопроцессорных комплексов [9] и использование принципа мультиагентного взаимодействия бортовых вычислителей на основе локальных диспетчеров [14].

Вместе с тем общим ограничением указанных подходов является их узкая ориентированность на конкретный вид управляемых ресурсов и сосредоточенность исключительно на отказоустойчивости, в то время как для пользователей систем с избыточностью разнородного оборудования представляет интерес не только предельно достижимая отказоустойчивость таких систем, но и обеспечение других эксплуатационно-технических характеристик, предпочтительных в сложившихся условиях.

В настоящей статье предлагается развитие подхода [15] к управлению избыточностью с большей гибкостью в отношении разнородности и универсальности компонентов оборудования и большими возможностями достижения требуемых интегральных характеристик комплекса.

1. КОНФИГУРАЦИИ ИЗБЫТОЧНЫХ РЕСУРСОВ

Предметной областью применения подхода к управлению избыточностью, предлагаемого в настоящей статье, являются все компоненты избыточного КБО, под которыми будем понимать информационно обособленные устройства (узел, подсистема, система и пр.) или программные продукты (модуль, приложение), доступ к данным которых возможен только через соответствующие входы и выходы. Каждый компонент неделим в смысле прохождения потоков данных. Совокупность компонентов, выполняющих одинаковые или взаимозаменяемые (с точностью до реализуемой компонентом эффективности) функции, составляет соответствующий избыточный ресурс.

Для использования комплекса по предназначению в каждый данный момент должна действовать специальная минимально достаточная работоспо-

2 URL: http://deacademic.com/dic.nsf/dewiki/422452 (дата обращения 01.11.2020).

собная совокупность аппаратных и/или программных компонентов КБО, называемая конфигурацией. Будем считать, что любая работоспособная конфигурация использует по крайней мере по одному компоненту из каждого ресурса.

При этом организация резервирования компонентов [7] зачастую сталкивается с особенностями, поясняемыми на рис. 1, где показаны следующие характерные случаи:

а) случай однородных по интерфейсам и универсальных по возможностям компонентов в составе каждого ресурса;

б) наличие неоднородных компонентов в составе того или иного ресурса, когда возникает барьер, непреодолимый для межкомпонентных связей, и замена компонентов в одном ресурсе требует соответствующей замены компонентов в другом (смежном) ресурсе;

в) влияние неуниверсальности компонентов на возможности реконфигурирования комплекса, при котором каким-либо образом сужается круг допустимых альтернативных конфигураций.

Принципиальным является то, что указанные обстоятельства могут сделать невозможным или неэффективным выбор альтернативных (замещающих) компонентов исключительно внутри ресурса. Для эффективного управления избыточностью может потребоваться рассмотрение альтернатив между группами ресурсов, а в пределе - между конфигурациями целиком.

2. ПОСТАНОВКА ЗАДАЧИ

Будем исходить из того, что избыточный КБО представлен совокупностью К разнородных (различные возможности соединений) и неуниверсальных (различные выполняемые функции) информационно обособленных компонентов, разбиваемых в силу различных обстоятельств на группы К. ресурсов:

к.} е К., К с К , I = "КМ, у = Щ, (1) где к{ . - у-й компонент в г-й группе; N - количество групп ресурсов в КБО; М - количество компонентов в г-й группе.

Каждому компоненту к у ставится в соответствие пара таких показателей, как индекс готовности ИГг у и показатель функциональной эффективности ПФЭг у. Бинарное значение первого из них

(1 - готов, 0 - не готов) соответствует совокупной оценке системой мониторинга его готовности

Рис. 1. Типовой состав избыточного комплекса оборудования: а - с однородными универсальными компонентами, б - с неоднородными компонентами, в - с неуниверсальными компонентами

(работоспособности и завершенности всех предусмотренных подготовительных процедур) посредством встроенных средств контроля (ВСК), а действительное скалярное значение второго интегрально характеризует потенциальный вклад компонента в целевую функцию определенного режима КБО. Предусматриваются возможности априорного и текущего (по результатам мониторинга и внешнего целевого воздействия) определения актуальных значений как ИГ; -, так и ПФЭ; -.

Кроме того, в состав КБО входит бортовая интегрированная вычислительная среда (БИВС), формально не относимая к компонентам и осу-

ществляющая межкомпонентный обмен данными, а также обработку этих данных в соответствии с предусмотренными правилами. Вычислители БИВС, обозначаемые как уг, тоже представлены в избытке:

V е V, г = Гй, (2)

где V - совокупность вычислителей3, привлекаемых для управления избыточностью КБО, общим

3 Вычислители, как и коммуникационные средства, могут обладать различными характеристиками, тогда необходимы соответствующие модификации последующих формулировок.

26

С0МТ1?01- ЭаЕМСЕЭ N0.2 • 2022

количеством Л, каждому из которых ставится в соответствие ИГг с бинарным значением (1 - готов, 0 - не готов).

Для выполнения функций КБО по предназначению его компоненты объединяются средствами БИВС в различные работоспособные конфигурации

управления избыточностью, характеризуемый значениями

т = т (к*> к2*>•••> км*> ах

тч е М,д = 1

(3)

где * - номер входящего в д-ю конфигурацию компонента из каждой группы ресурсов; - совокупный процесс обработки данных вычислительными средствами БИВС в д-й конфигурации комплекса; М - ограниченное множество конфигураций; Q - количество различных конфигураций в множестве М. Без потери общности подхода принято, что любая конфигурация КБО включает по одному компоненту из каждой группы ресурсов, а проблемы неоднородности и неуниверсальности компонентов преодолеваются заблаговременной проработкой всех конкурентоспособных конфигураций на этапе проектирования СУИ.

Для каждой потенциальной конфигурации (3) по определенным правилам формируются интегральные показатели:

— ИГ конфигурации как конъюнкция ИГ составляющих компонентов

ИГ(ш )=ИГ1„ЛИГ2„Л...ЛИГл

(4)

— ПФЭ конфигурации как результат агрегирования ПФЭ составляющих компонентов

ПФЭ(ш?) = рСПФЭ,ПФЭ2„,..., ПФЭд,,), (5)

где р - скалярная функция, в качестве которой в зависимости от особенностей компонентов и других обстоятельств могут использоваться различные способы агрегирования показателей (суммирование, умножение, выбор характерных значений, использование инструментов искусственного интеллекта типа регуляризации, нормализации, свертки, включая сети с глубоким обучением [16] и пр.).

Ставится задача разработки подхода (согласованной совокупности алгоритмов, методик и приемов), обеспечивающего оперативный выбор из прямого произведения множеств вычислителей и

конфигураций V х М =\уг , } предпочтительного элемента (Уа, т ^), содержащего:

• вычислитель уа (в дальнейшем будем называть его а-вычислителем) для осуществления

V» = ^ 1

ИГ(уг) = 1, отсутствие ошибок (6)

подготовки конфигурации т^;

• готовую к реализации предпочтительную конфигурацию т^, у которой значения интегральных показателей имеют оптимальные (рациональные) значения

т

'opt

ИГ(т?) = 1, =<? Ыэ^ = шахПФЭт).

(7)

Второе условие в выражении (6) подразумевает проверку определенной совокупности признаков того, что сформированные в вычислителе Уа данные о выбранной по формуле (7) конфигурации mopt отвечают предъявляемым требованиям (вали-

дация конфигурации).

Предполагается, что при наличии нескольких конфигураций с максимальным значением ПФЭ такие конфигурации эквивалентны, а окончательный выбор может осуществляться по предусмотренным дискриминационным правилам.

Удовлетворение выражения (6) и первого равенства в формуле (7) соответствует отказоустойчивости КБО в целом, а второго - одновременному достижению его оптимальных (рациональных) эксплуатационно-технических характеристик, формализуемых посредством ПФЭ. Гибкость соответствующего подхода обусловлена широкими возможностями выбора или конструирования функции р , что выходит за рамки данной статьи.

3. СУПЕРВИЗОРЫ КОНФИГУРАЦИЙ

Центральным понятием предлагаемого подхода является понятие супервизора конфигурации [15]. При этом с каждой конкурентоспособной конфигурацией тд соотносится свой супервизор конфигурации СК из множества 5, взаимно однозначно соответствующего множеству М : тд е М ^ sq е 5 ,

осуществляющий «надзор» исключительно над этой конфигурацией, что подразумевает:

• проведение мониторинга ИГг. и ПФЭг ■ компонентов (1), охватываемых конфигурацией, и

V

всех вычислителей (2), а также формирование ИГ(т?) и ПФЭ(т?) конфигурации в целом в соответствии с выражениями (4) и (5);

• хранение информации о конфигурации: о взаимных связях компонентов, распределении ресурсов, а также других данных, необходимых для

4

ее реализации ;

• участие в периодическом конкурсе (межсу-первизорном арбитраже) на выявление предпочтительной конфигурации торХ в соответствии с правилом (6), в результате которого соотнесенный СК приобретает статус доминирующего СК (ДСК):

•V ^ тор1 ;

• для ДСК, победившего в арбитраже, дополнительно:

- мониторинг ИГ(уг) вычислителей;

- проведение арбитража вычислителей (2) на выявление среди них а-вычислителя уа ;

- валидацию конфигурации тор(., соотнесенной с ДСК

- активизацию и контроль функционирования конфигурации тор(.;

координацию всех процедур управления избыточностью КБО.

Рис. 2 иллюстрирует место и роль совокупности СК в общей архитектуре КБО.

Таким образом, каждый СК, являясь «полномочным представителем» соотнесенной с ним конфигурации, выполняет весь набор функций по оценке ее готовности, хранению соответствующей информации, представительству в арбитраже и активизации в случае победы.

Предлагаемый подход во многом схож с муль-тиагентным подходом на базе распределенного локального диспетчера [14], однако отличается от него возможностью обеспечить:

достижение отказоустойчивости не только вычислительных ресурсов, но всего разнородного и неуниверсального оборудования комплекса;

- парирование ошибок средств мониторинга готовности конфигураций путем перекрестного анализа информационных посылок предпочтений при выполнении парного арбитража конфигураций5 (ПАК);

- парирование необнаруживаемых (использованием ВСК) отказов и ошибок вычислителей посредством анализа информационных посылок

Рис. 2. Место и роль супервизоров конфигураций в архитектуре КБО

4 Методы формирования и способы хранения информации о 5 Описание процедуры парного арбитража конфигураций вы-

конфигурациях приведены в работе [17]. ходит за рамки данной публикации

28

С0МТ1?01- ЭаЕМСЕЭ N0.2 • 2022

предпочтений при выполнении парного арбитража вычислителей6 (ПАВ);

- одновременное достижение различных эксплуатационно-технических показателей;

- самодостаточность супервизоров (резервирование всех процедур управления избыточностью);

- унификацию средств поддержки конфигураций;

- унификацию процедур выбора среди различных по структуре и составу конфигураций.

4. ОРГАНИЗАЦИЯ УПРАВЛЕНИЯ ИЗБЫТОЧНОСТЬЮ КБО

Область V х K поиска решений содержит конечное, возможно, значительное, число комбинаций RQ вычислителей vr и конфигураций mq.

Кроме того, потенциальные решения (vr, mq) могут обладать различными техническими характеристиками из весьма широкого перечня. Поэтому наиболее эффективным способом поиска предпочтительного решения представляется рафиниро-ванный7 сравнительный перебор всех возможных решений.

Для скалярных критериев Hr(mq) и ПФЭmax

достаточно универсальным и приемлемо трудоемким является парный арбитраж супервизоров. Он гарантирует отсутствие зацикливаний и однозначность определения лидера (va, mopt). При этом недостаток такого арбитража в виде не обязательно приоритетного распределения остальных решений (vr, mq), r Ф а, q ф opt в данном случае не критичен, поскольку по постановке задачи требуется только конфигурация-лидер.

С учетом размещения всех СК sq в каждом вычислителе vr , исключения априорных преимуществ каких-либо вычислителей и конфигураций, а также определенной взаимосвязанности правил (6) и (7) для системы управления избыточностью (СУИ) КБО предлагается алгоритм, представленный на рис. 3. Его специфической особенностью является очередность выполнения трех этапов арбитража.

6 Описание процедуры парного арбитража вычислителей выходит за рамки данной публикации.

7 Исключающий повторы и неоднозначности шагов.

Первый этап - арбитраж вычислителей (фаза 1), на котором а-вычислитель, выбранный на предыдущем цикле работы системы (а в случае его отказа а-резерв), осуществляет:

- формирование группы готовых вычислителей;

- выбор «выделенной пары» вычислителей, претендующих на статус а-вычислителя;

- предварительный выбор вычислителя-претендента (а-претендента) Упрет в выделенной

паре на основе детерминированных, возможно дискриминационных, правил. Второй вычислитель пары приобретает статус резерва (а-резерва) vрез;

- инициализацию вычислителя v

прет •

Второй этап - арбитраж супервизоров, на котором в вычислителе Упрет происходит:

- последовательный попарный выбор ДСК ^ из совокупности sq с учетом ИГ(тд) и ПФЭ(тд) путем выполнения специальных процедур ПАК;

— инициализация выбранного ДСК ^ (передача функций управления);

— передача из вычислителя Упрет в вычислитель

vрез информации о выбранном ДСК у {, где он принимает имя .

Третий этап - арбитраж вычислителей (фаза 2), на котором вычислители выделенной пары осуществляют:

- окончательный выбор а-вычислителя уа на

основе процедур ПАВ: V

в случае v

-> v или v

прет а *1J1Jrl крез

■ va инициализацию вычисли-

теля v (переход к резервному вычислителю);

в случае v

рез

инициализацию ДСК

^о^.рез ^ Ур в вычислителе Урез (переход к супервизору в резервном вычислителе);

- инициализацию выбранной конфигурации ^ mopt посредством ДСК у { в а-вычислителе

(остановка прежней и запуск новой конфигурации на очередной цикл работы КБО).

Работа СУИ происходит циклично. При этом на каждом цикле процедурам арбитража предшествует мониторинг, обеспечивающий формирование ИГ(тч) и ПФЭ(тд) конфигураций применительно

к сложившимся условиям функционирования КБО. По завершении арбитража и активизации победившей конфигурации т^ выполняются целевые

Рис. 3. Алгоритм организации работы СУИ

функции КБО согласно предназначению, и через определенное время или по факту обнаружения отказа (смены режима работы КБО) начинается новый цикл работы СУИ.

Проигрыш вычислителя или конфигурации в арбитраже текущего цикла, идентифицированных

как неготовые или обладающие меньшей эффективностью, не означает их безоговорочное исключение из дальнейшей работы. Таким образом допускается возможность восстановления готовности компонентов в другом режиме или после снятия отказа (перезагрузки), кроме того, «слабая» конфи-

гурация может оказаться решающей в критической ситуации. Выработка различных решений по отношению к сбоям и постоянным отказам возлагается на систему мониторинга и межвычислительного обмена и выносится за рамки настоящей статьи.

Указанные выше процедуры ПАК и ПАВ основаны на взаимно-перекрестном анализе информационных посылок предпочтения (в первом случае -супервизоров, а во втором - вычислителей), что обеспечивает заданную достоверность арбитража. Критерием определения отказавших объектов арбитража являются матрицы предпочтения, сформированные на основе ИГ, ПФЭ и идентификаторов. Детали указанных процедур требуют отдельного рассмотрения.

5. МЕТОДИЧЕСКИЙ ПРИМЕР

Рассмотрим гипотетический КБО, состоящий из шести компонентов К1, ..., К6, разбитых на три

последовательные группы ресурсов. Первые две группы представлены в избытке (два и три компонента). Соответствующую схему в пяти поясняемых далее ситуациях иллюстрируют рис. 4 и таблица. Вычислительные средства БИВС включают в себя три одинаковых вычислителя V! V2 и V3, в каждом из которых размещены шесть СК по числу предусмотренных конфигураций согласно таблице. Управляемые супервизорами два коммутатора С1 и С2 обеспечивают соединение компонентов комплекса в соответствии с данными конфигурациями. Кроме того, предусмотрены два режима работы КБО, характеризуемые различными значениями ПФЭ конфигураций.

Типовые ситуации:

А) Штатная работа КБО.

Реализуется режим 1, все компоненты исправны (см. рис. 4, а). При штатной работе КБО (отсутствии отказов и смены режимов работы) на первом и последующих циклах работы СУИ выполняются следующие действия.

Рис. 4. Структурные схемы избыточного КБО: а - штатная работа в режиме 1, б - отказ компонента К1, в - отказ компонента К1 и переход на режим 2, г - отказ компонента К1, переход на режим 2 и отказ вычислителя У1 (обнаруживаемый или не обнаруживаемый)

Конфигурации КБО

ИГ компонентов в разных ситуациях ПФЭ

Конфигурации конфигураций

Номер Схема соединений Ситуации А, Д Ситуации Б, В, Г Режим 1 (ситуация А, Б) Режим 2 (ситуация В, Г, Д)

К1 К2 КЗ К4 К5 К6 К1 К2 КЗ К4 К5 К6

1 К1^К3^К6 1 - 1 - 1 0 - 1 - - 1 6 0,6

2 К1^К4^К6 1 - - 1 - 1 0 - - 1 - 1 5 5

3 К1^К5^К6 1 - - - 1 1 0 - - - 1 1 4 4

4 К2^К3^К6 - 1 1 - - 1 - 1 1 - - 1 3 0,3

5 К2^К4^К6 - 1 - 1 - 1 - 1 - 1 - 1 2 2

6 К2^К5^К6 - 1 - - 1 1 - 1 - - 1 1 1 1

Первый этап арбитража (выполняется в ДСК а-вычислителя V! активизированного при старте СУИ по умолчанию):

- в группу готовых вычислителей включаются все три вычислителя VI, V2 и V3;

- в качестве выделенной пары по порядковым номерам выбираются вычислители V! и V2;

- по порядковому номеру вычислитель V1 объявляется а-претендентом, вычислитель V2 - а-резервом;

- инициализируется вычислитель V1.

Второй этап арбитража (выполняется в вычислителе VI):

- на основе ПАК в а-претенденте по большему значению ПФЭ в качестве ДСК выбирается супервизор СК 1;

- инициализируется супервизор СК 1;

- информация о выбранном супервизоре СК 1 передается из вычислителя V1 в вычислитель V2.

Третий этап арбитража:

- на основе ПАВ между вычислителями V1 и V2 в качестве а-вычислителя выбирается VI;

- вычислитель V1 сохраняется активным;

- в вычислителе V1 сохраняется активным супервизор СК 1;

- супервизор СК 1 в вычислителе V1 инициализирует конфигурацию № 1.

Б) Отказ компонента КБО.

Реализуется режим 1, обнаруживаемый ВСК отказ компонента К1 (см. рис. 4, б). На очередном цикле работы СУИ выполняются следующие действия (без повторов формулировок ситуации А).

Второй этап арбитража:

- на основе ПАК в а-претенденте по большему значению ПФЭ в качестве ДСК выбирается супервизор СК 4;

- инициализируется супервизор СК 4;

- информация о выбранном супервизоре СК 4 передается из вычислителя V1 в вычислитель V2.

Третий этап арбитража:

- на основе ПАВ между вычислителями V1 и V2 в качестве а-вычислителя выбирается V1;

- вычислитель V1 сохраняется активным;

- в вычислителе V1 инициализируется супервизор СК 4;

- супервизор СК 4 в вычислителе V1 инициализирует конфигурацию № 4.

Анализ ситуации показывает, что на этапе ПАК отсеиваются конфигурации, содержащие отказавший компонент К1 по условию ИГ1 = 0. Выбранная в итоге конфигурация № 4 парирует возникший отказ компонента К1, задействуя резервный (альтернативный) компонент К2.

В) Смена режима КБО.

Комплекс переходит из режима 1 в режим 2, обнаруживаемый ВСК отказ компонента К1 (см. рис. 4, в). На очередном цикле работы СУИ выполняются следующие действия (без повторов формулировок ситуации Б).

Второй этап арбитража:

- на основе ПАК в а-претенденте по большему значению ПФЭ в качестве ДСК выбирается супервизор СК 5;

- инициализируется супервизор СК 5;

- информация о выбранном супервизоре СК 5 передается из вычислителя V1 в вычислитель V2, где запоминается в качестве ДСК-резерва.

Третий этап арбитража:

- на основе ПАВ между вычислителями V1 и V2 в качестве а-вычислителя выбирается V1;

- вычислитель V1 сохраняется активным;

- в вычислителе V1 инициализируется супервизор СК 5;

- супервизор СК 5 в вычислителе V1 инициализирует конфигурацию № 5.

Анализ ситуации показывает, что победу в ПАК одерживает супервизор СК5, ПФЭ которого (ПФЭСК5 = 2) теперь оказывается больше, чем пониженный при смене режима ПФЭСК4 = 0,2. По окончании цикла реализуется соответствующая ДСК конфигурация № 5, меняющая выполняемый комплексом функционал, адаптируя его к смене режима.

Г) Обнаруживаемый отказ вычислителя.

Реализуется режим 2, обнаруживаемые ВСК отказы компонента К1 и вычислителя V1 (см. рис. 4, г). При обнаружении ВСК отказа вычислителя V1 на очередном цикле работы СУИ функции УИ передаются резервному вычислителю V2, в котором выполняются следующие действия (без повторов формулировок ситуации В).

Первый этап арбитража:

- в группу готовых вычислителей включаются два оставшихся исправных вычислителя V2 и V3;

- в качестве выделенной пары выбираются оба вычислителя V2 и V3;

- по порядковому номеру вычислитель V2 объявляется а-претендентом, вычислитель V3 - а-резервом;

- инициализируется вычислитель V2.

Третий этап арбитража:

- на основе ПАВ между вычислителями V2 и V3 в качестве а-вычислителя выбирается V2;

- вычислитель V2 инициализируется как а-вычислитель;

- в вычислителе V2 инициализируется супервизор СК 5;

- супервизор СК 5 в вычислителе V2 инициализирует конфигурацию № 5.

Д) Необнаруживаемый отказ вычислителя.

Реализуется режим 2, обнаруживаемый ВСК отказ компонента К1, частичный отказ вычислителя V1 (не обнаруживаемый средствами ВСК, но выявляемый при оценке предпочтений при ПАВ, см рис. 4, г). На очередном цикле работы СУИ выполняются следующие действия (без повторов формулировок ситуации В).

Третий этап арбитража:

- на основе ПАВ между вычислителями V1 и V2 в качестве а-вычислителя выбирается V2;

- вычислитель V2 инициализируется как а-вычислитель;

- в вычислителе V2 инициализируется супервизор СК 5;

- супервизор СК 5 в вычислителе V2 инициализирует конфигурацию № 5.

Анализ ситуации показывает, что СУИ может являться дополнительным средством контроля состояния компонентов, выявляя необнаруживаемые средствами ВСК отказы через контролируемые ошибки формирования предпочтительных (ДСК) конфигураций.

Пример поясняет работу системы управления избыточностью на основе супервизоров конфигураций при контролируемых и неконтролируемых отказах компонентов (отказоустойчивость) и смене режима работы КБО (функциональная реконфигурация).

ЗАКЛЮЧЕНИЕ

Сформулированы основные положения подхода к управлению избыточностью КБО на основе супервизоров конфигураций. Число таких супервизоров соответствует числу конкурентоспособных конфигураций КБО, каждый из них обобщает информацию о соотнесенной конфигурации, участвует в арбитраже и выполняет все процедуры, обеспечивающие реализацию конфигурации в случае победы в арбитраже.

Такой подход позволяет:

- унифицировать структуры средств управления избыточностью;

- обеспечить гибкость охвата разных, включая уникальные, конфигураций;

- исключить (или существенно уменьшить) число узких мест в структурах, управляющих избыточностью;

- осуществлять выбор работоспособных конфигураций с предпочтительными эксплуатационно-техническими характеристиками.

К потенциальным недостаткам подхода можно отнести чрезмерное увеличение числа конфигураций (числа СК) и связанные с этим ожидаемые сложности сертификации. Однако такая ситуация является объективной, а возможность ее решения выглядит оптимистично. Так, близкая проблема сертификации современных интегрированных КБО, содержащих так называемые виртуальные каналы передачи данных, уже сейчас находит свое решение.

Авторы выражают благодарность А.М. Бронникову, И.Ф. Гамаюнову и А.С. Попову за неоценимый вклад в проработку отдельных аспектов предлагаемого подхода.

ЛИТЕРАТУРА

1. Алешин Б.С., Бабкин В.И., Гохберг Л.М. и др. Форсайт развития авиационной науки и технологий до 2030 года и на дальнейшую перспективу: справочное пособие. - М.: Изд. ФГУП ЦАГИ, 2014. - 128 c. [Aleshin, B.S., Babkin, V.I., Gohberg, L.M., et al. Forsajt razvitiya aviacionnoj nauki i tekhnologij do 2030 goda i na dal'nejshuyu perspektivu: spravochnoe posobie. - Moscow: Izd. FGUP CAGI, 2014. -128 p. (In Russian)]

2. Digital Avionics Handbook. 3-d ed. / Ed. by C.R. Spitzer, U. Ferrell, T. Ferrell. - London, N.-Y.: CRC Press, Taylor & Francis Group, 2015. - 815 p.

3. Федосов Е.А. Основные направления формирования научно-технического задела в области бортового оборудования перспективных воздушных судов // Перспективные направления развития бортового оборудования гражданских воздушных судов: матер. докладов 4-й Междунар. науч.-практ. конф. - Москва, Жуковский: ГосНИИАС, 2017. - С. 6-14. [Fedosov, E.A. Osnovnye napravleniya formirovaniya nauchno-tekhnicheskogo zadela v oblasti bortovogo oborudovaniya perspektivnykh vozdushnykh sudov // Perspektivnye napravleniya razvitiya bortovogo oborudovaniya grazhdanskikh vozdushnykh sudov: mater. dokladov 4th Mezhdunar. nauch.-prakt. konf. - Moskva, Zhukovskii: GoSNIIAS, 2017. - P. 6-14. (In Russian)]

4. Ezhilarasu, C.M., Zakwan, Skaf Z., Jennions, I.K. The Application of Reasoning to Aerospace Integrated Vehicle Health Management (IVHM): Challenges and Opportunities // Progress in Aerospace Sciences. - 2019. - No. 105. - P. 60-73.

5. Авакян А.А. Унифицированная интерфейсно-вычисли-тельная платформа для систем интегральной модульной авионики // Тр. МАИ: Электронный журнал. - 2013. -№ 65. - С. 1-15. Режим доступа: // http://trudymai.ru/ published.php?ID=35845 (дата обращения 13.09.2021). [Avakyan, A.A. Unifitsirovannaya interfeisno-vychislitel'naya platforma dlya sistem integral'noi modul'noi avioniki // Tr. MAI: Ehlektronnyi zhurnal. - 2013. - No. 65. - P. 1-15. URL: // http://trudymai.ru/ published.php?ID=35845 (accessed 13.09.2021). (In Russian)]

6. ГОСТ Р ИСО/МЭК 19762-1-2011. Информационные технологии. Технологии автоматической идентификации и сбора данных (АИСД). Гармонизированный словарь. Ч. 1. Общие термины в области АИСД. - Москва: Стандарт-информ, 2012. [ISO/IEC 19762-1:2008 «Information Technology - Automatic Identification and Data Capture (AIDC) Techniques - Harmonized Vocabulary - Part 1: General Terms Relating to AIDC», IDT]

7. Клепиков В.И. Отказоустойчивость распределенных систем управления. - М.: Золотое сечение, 2014. - 391 с. [Klepikov, V.I. Otkazoustoichivost' raspredelennykh sistem upravleniya. - Moscow: Zolotoe sechenie, 2014. - 391 p. (In Russian)]

8. Тарасов А.А. Функциональная реконфигурация отказоустойчивых систем. - М.: Логос, 2012. - 151 с. [Tarasov, A.A. Funktsional'naya rekonfiguratsiya otkazo-ustoichivykh sistem. - Moscow.: Logos, 2012. - 151 p. (In Russian)]

9. Дегтярев А.Р. Киселев С.К. Отказоустойчивые реконфигурирующиеся комплексы интегрированной модульной авионики // Электротехнические и информационные комплексы и системы. - 2016. - № 1, T. 12. - С. 89-99. [Degtyarev, A.R. Kiselev, S.K.

Otkazoustoichivye rekonfiguriruyushchiesya kompleksy integrirovannoi modul'noi avioniki // Ehlektrotekhnicheskie i informatsionnye kompleksy i sistemy. - 2016. - No. 1, vol. 12.

- P. 89-99. (In Russian)]

10. Nicholson, M. Health Monitoring for Reconfigurable Integratedcontrol Systems // Proceedings of the 13th Safety-Critical Systems Symposium, Southampton, UK. - London: Springer, 2005. - P. 149-62.

11. Halle, M., Thielecke, F. Next Generation IMA Configuration Engineering - from Architecture to Application // 2015 IEEE/AIAA 34th Digital Avionics Systems Conference (DASC). Prague, CzechRepublic, 2015. - P. 6B2-1-6B2-13.

12. Zhiao, Y., Wang, S., Jiapan, F. IMA Dynamic Reconfiguration Modelling and Reliability Analysis of Tasks Based on Petri Net // Complex Systems Design & Management, 2021. -P. 241-251.

13. Sollock, P. Reconfigurable Redundancy - The Novel Concept Behind the World's First Two-Fault-Tolerant Integrated Avionics System // Avionics, Navigation, and Instrumentation, 2019. pp. 243-246.

14. Каляев И.А., Мельник Э.В. Децентрализованные системы компьютерного управления. - Ростов н/Д: Изд. ЮНЦ РАН, 2011. - 196 с. [Kalyaev, I.A., Mel'nik, Eh.V. Detsentra-lizovannye sistemy komp'yuternogo upravleniya. - Rostov n/D: Izd. YUNTS RAN, 2011. - 196 p. (In Russian)]

15. Агеев А.М., Бронников А.М., Буков В.Н., Гамаюнов И.Ф. Супервизорный метод управления технических систем с избыточностью // Изв. РАН. Теория и системы управления.

- 2017. - № 3. - С. 72-82. [Ageev A.M., Gamayunov I.F., Bronnikov A.M., Bukov V.N. Supervisory Control Method for Redundant Technical Systems // Journal of Computer and Systems Sciences International. - 2017. - Vol. 56. - No. 3. - P. 410-419.]

16. Николенко С., Кадурин А., Архангельская Е. Глубокое обучение. Погружение в мир нейронных сетей - СПб.: Питер, 2021. - 476 с. [Nikolenko, S., Kadurin, A., Arkhangel'skaya, E. Glubokoe obuchenie. Pogruzhenie v mir neironnykh setei - SPb.: Piter, 2021. - 476 p. (In Russian)]

17. Агеев А.М. Принципы хранения и мониторинга информации о конфигурациях в задаче управления избыточностью комплекса бортового оборудования // Мехатроника, автоматизация, управление. - 2022. - № 1 . -Т 31. - С. 45-55. [Ageev, A.M. Principles оf Storing and Monitoring Configuration Information in the Task of On-Board Equipment Complex Redundancy Managing // Mekhatronika, avtomatizatsiya, upravlenie. - 2022. - No. 1, vol. 31. - P. 4555. (In Russian)]

Статья представлена к публикации членом редколлегии

В.Г. Лебедевым.

Поступила в редакцию 8.02.2022, после доработки 21.02.2022.

Принята к публикации 28.02.2022.

Агеев Андрей Михайлович - канд. техн. наук, ВУНЦ ВВС «Военно-воздушная академия им. проф. Н.Е. Жуковского и Ю.А. Гагарина», г. Воронеж, И e-mail: ageev_bbc@mail.ru,

Буков Валентин Николаевич - д-р техн. наук, АО «НИИАО», г. Жуковский, И e-mail: v_bukov@mail.ru,

Шурман Владимир Александрович - заместитель главного конструктора, Филиал АО «РПКБ», г. Жуковский, И e-mail: vshurman@rpkb.ru.

34

CONTROL SCIENCES No.2 • 2022

REDUNDANCY MANAGEMENT OF ONBOARD EQUIPMENT: AN ARBITRATION APPROACH BASED ON CONFIGURATION SUPERVISORS

A.M. Ageev1 , V.N. Bukov2 , and V.A. Shurman3

1Zhukovsky and Gagarin Air Force Academy, Voronezh, Russia 2Research Institute of Aircraft Equipment, Zhukovsky, Russia 3Ramenskoe Instrument-Making Design Bureau (Branch), Zhukovsky, Russia ageev_bbc@mail.ru, 2H v_bukov@mail.ru, 3H vshurman@rpkb.ru

Abstract. This paper considers the operational reconfiguration of an onboard equipment complex with redundant heterogeneous and non-universal components for achieving fault tolerance and other operational and technical characteristics. An approach to building a redundancy management system (RMS) is formulated as a conceptual solution. This approach uses configuration supervisors according to the number of previously developed competitive configurations of the complex. Each supervisor can be self-sufficient to execute the following functions: monitor the readiness and functional efficiency indicators of the components included in the corresponding configuration; participate in arbitration for the right to implement the corresponding configuration in current conditions; initiate and control the operation of the corresponding configuration. A three-stage algorithm of the RMS is proposed. It contains a sequence of paired arbitrations of computers and configurations. An illustrative example explains RMS operation in different modes of the complex under detectable and undetectable failures of equipment components and computers allocated for redundancy management. The proposed approach unifies and rationalizes the information and logical structure of redundancy management tools, thereby simplifying the creation of an efficient RMS with flexibility, a wide coverage of equipment and configurations, and a significant reduction of bottlenecks in the redundant complex.

Keywords: onboard equipment complex, redundant resource, reconfiguration, redundancy management, configuration supervisor, paired arbitration.

Acknowledgments. The authors are grateful to A.M. Bronnikov, I.F. Gamayunov, and A.S. Popov for their invaluable contribution to some aspects of the proposed approach.