Оценка достоверности представления базы данных судовому специалисту в интегрированной системе ходового мостика Текст научной статьи по специальности «Компьютерные и информационные науки»

Оценка достоверности представления базы данных судовому специалисту в интегрированной системе ходового мостика

В.А. Чкония, В.И. Меньшиков

Судоводительский факультет МГТУ, кафедра судовождения

Аннотация. В статье предложены варианты оценки достоверности представления базы данных судовому специалисту в интегрированной системе ходового мостика в соответствии с требованиями Международной Морской Организации (ИМО), изложенных в Резолюции MSC. 64(67).

Abstract. In the paper the variants of the estimation of reliability of the data base representation to the ship specialist in the integrated bridge system have been proposed according to the demands of the International Marine Organisation Resolution MSC. 64(67).

1. Введение

В требованиях Международной Морской Организации (ИМО), изложенных в Резолюции MSC. 64(67), интегрированная система ходового мостика (ИСМ) определена как комбинация систем, которые взаимосвязаны для централизованного доступа к информации от датчиков с рабочих мест. Эта система должна обеспечивать выполнение как минимум двух операций из следующего перечня:

- реализация безопасного в эксплуатационном плане перехода судна;

- поддержание устойчивой связи судна по направлениям "судно-берег" и "судно-судно";

- управление судовыми устройствами и механизмами при выполнении операций, в том числе грузовых;

- поддержание заданного уровня безопасности и охраны труда судового экипажа.

Такой достаточно широкий спектр системных требований к ИСМ предусматривает наличие в ее составе большого числа датчиков информации, причем каждый датчик является технической системой, которая способна выполнять или контрольные, или управляющие функции. При этом не исключены варианты использования датчиков, одновременно выполняющих как контрольные, так и управляющие функции.

Функциональная интеграция датчиков информации, предусмотренная требованиями Резолюции ИМО MSC. 64(67), позволяет рассматривать формируемый комплекс как сложную систему, к которой предъявляются весьма высокие требования надежности. Однако оценка надежности любой сложной системы по заданным показателям работоспособности отдельных элементов, как правило, связана как с достаточно серьезными вычислительными трудностями, так и с неопределенностью, которую вносит в расчеты коммерческая тайна производителей контрольной и управляющей аппаратуры. Вычислительные трудности в определении показателя надежности ИСМ в первую очередь могут быть обусловлены большим числом возможных состояний системы. Так, например, для сложной системы, состоящей из n элементов, даже в предположении, что каждый включенный в ее состав элемент имеет только два независимых состояния (рабочее и нерабочее), общее число состояний N, характеризующих функционирование такой системы составляет 2n. Очевидно, что судовому специалисту, даже имеющему специальную подготовку и обладающему соответствующим дипломом, многократно оперировать с двумерными массивами такой размерности и рассчитывать вероятность безотказной работы синтезированной ИСМ достаточно затруднительно даже на этапе планирования производственной деятельности судна.

В общем, показатели надежности любой сложной системы, как правило, являются функциями показателей надежности ее элементов. Однако, если принять во внимание особенности эксплуатации на судне ИСМ (формирование базы данных в эргатической системе управления безопасной эксплуатацией судна), то для оценки степени достоверности информации, которая поступает судоводителю от системы индикации ИСМ, ему достаточно оперировать только граничными значениями показателей надежности сложной системы. Поэтому далее целесообразно рассмотреть вариант определения граничных значений показателей надежности ИСМ, как сложной, которая образована в результате объединения ряда более "простых" информационных и управляющих систем.

Далее будем полагать, что каждая из "простых" систем, входящих в состав интегрированной системы ходового мостика, является восстанавливаемой и может находиться только в двух предельных состояниях - нормальная работа или отказ. Причем отказ одной "простой" системы не вызывает изменений в работе остальных "простых" информационных или управляющих систем (требование Резолюции ИМО MSC. 64(67)), а сам термин "отказ" далее следует трактовать с позиции и технического, и информационного сбоя одной или нескольких "простых" систем.

2. Анализ вариантов резервирования "простых" систем

При функционировании информационной системы типа ИСМ, которая, по своей сути, должна являться неотъемлемой частью эргатической системы управления безопасной эксплуатацией судна, всегда существует вероятность разрушения или недостоверного отображения информационной базы данных. Такие несоответствия при отображении информации способны привести к серьезным ошибкам в выходных результатах, увеличению времени решения задачи по управлению и, наконец, к невозможности вообще решения задачи управления судовым специалистом. Именно поэтому для уменьшения вероятности несоответствия базы фиксированных данных реальному состоянию судна, идущих судовому специалисту от системы отображения ИСМ, предусматриваются варианты резервирования "простых" контролирующих и управляющих систем, используемых в качестве датчиков информации.

Варианты резервирования определяются выбором стратегии дублирования элементов базы данных и структурой сопряжения простых систем с программным обеспечением ИСМ. Стратегия дублирования и структура сопряжения зависят от требований, изложенных Международной Конвенции СОЛАС-74. Эти требования, определяя необходимый состав контрольной и управляющей аппаратуры и технические требования к ней, создают потенциальные условия для уменьшения вероятности несоответствий между фиксированной базой данных, идущей от ИСМ к судовому специалисту, и реальным состоянием эксплуатируемого судна. Причем стратегия дублирования должна, в рамках имеющейся на судне контрольной и управляющей аппаратуры, сохранять достоверность отображаемой информации даже при отказах отдельных "простых" систем, входящих в состав ИСМ. В свою очередь структура сопряжения должна обеспечивать движение информации в сетях ИСМ в строгом соответствии с традиционными функциями линейных протоколов связи.

Кроме того, варианты резервирования, при наличии отказа хотя бы одной из "простых" систем, входящей в состав ИСМ, должны подавать судовому специалисту соответствующее аварийное сообщение.

Косвенно общие подходы к проблеме резервирования "простых" навигационных и радионавигационных систем, направленные на поддержание заданного уровня безопасности мореплавания, рассмотрены в работе (Душников, 2000). В этой работе анализируются приоритеты "простых" навигационных систем с их привязкой к решению конкретных задач навигации. Однако, полученные в работе (Лушников, 2000) результаты, к сожалению, скорее могут быть использованы для определения того минимального приборного состава навигационной аппаратуры, который способен потенциально обеспечить безопасность мореплавания. Действительно, рекомендации не дают ответа на самый главный вопрос: каким образом, используя полученные приоритеты, обеспечить судоводителя контролируемой по достоверности базой навигационных данных для тех или иных условий плавания судна.

3. О стратегиях дублирования элементов базы данных

Особенности использования ИСМ при решении основных задач, связанных с обеспечением безопасной эксплуатации судна, позволяют выделить несколько наиболее приемлемых, с практической точки зрения, стратегий дублирования элементов базы данных, способных обеспечить специалиста контролируемой по достоверности информацией. К таковым стратегиям в первую очередь можно отнести:

- использование некоторого числа "простых" резервных систем, которые, в соответствии с приоритетами при разрушении основной базы данных, позволяют формировать копии такой базы и таким образом поддерживать достоверность отображаемой информации;

- организацию обновления и поддержания достоверности текущей базы данных, за счет ее предысторий, т.е. за счет хранения предыдущих массивов информации, а так же изменений этих массивов;

- использование смешанной стратегии - создание копий базы данных и хранения заданного числа предысторий отображаемой информации.

Любую из перечисленных выше стратегии резервирования можно характеризовать рядом показателей. К таким показателям, как правило, относят: вероятность успешного использования информационной базы данных; вероятность разрушения основной базы данных и ее копий и (или) предысторий; среднее время восстановления базы данных при условии успешного решения задачи восстановления; среднее время до разрушения базы данных и ее копий; среднее время восстановления базы данных вне зависимости от того успешно или нет решена задача восстановления и т.д.

Исследованию выделенных выше стратегий дублирования элементов базы данных посвящена работа (Мамикронов и др., 1972). При выполнении исследования авторы работы привлекали элементы теории случайных блужданий. Такой подход позволил им получить аналитические выражения для расчета характеристик стратегий в том случае, когда вероятность появления недостоверной информации

не зависит от состояния, в котором находилась база данных в предшествующий момент времени. Однако практическая реализация этих стратегий в ИСМ с одновременным выполнением процедур передачи данных, контролем и оповещением судового специалиста о состояниях "простых" систем и достоверности базы данных может существенно усложнить общую структуру линейных протоколов связи "простых" систем с программным обеспечением ИСМ.

4. Оценка достоверности базы данных для ИСМ, в которой структура сопряжения с датчиками информации строится на "прямом" доступе к ним

Оценим достоверность отображаемой базы данных для ИСМ, в которой структура сопряжения с датчиками информации строится на "прямом" доступе к ним. Для этой цели обозначим вероятность состояния ИСМ при нормальной работе всех "простых" систем, входящих в ее состав и достоверном отображении информации через Ро, а вероятность состояния отказа хотя бы одной "простой" системы и, соответственно, поступление судовому специалисту недостоверной информации - как Р„. Определение граничных значений этих вероятностей, можно выполнить, если дополнительно предположить, что восстановление достоверной базы данных должно осуществляться без каких-либо существенных временных задержек.

Далее будем считать, что для всей совокупности "простых" контрольных или управляющих систем, входящих в состав ИСМ, известны, во-первых, наработка на отказ Т, и, во-вторых, среднее время восстановления ТВ при 1 е п. Время эксплуатации "простой" системы, входящей в синтезированный состав ИСМ, можно рассматривать как альтернирующий процесс и характеризовать его отношением вида pi = Т® / Т. В дополнение к введенной характеристике добавим еще и среднее значение этого отношения <р>, которое так же будем использовать при оценке достоверности базы данных, поступающей судовому специалисту от ИСМ.

В силу гипотезы о независимости отказов в "простых" контрольных и управляющих системах, входящих в состав ИСМ, имеем

п

Ро= 1 / [П(1 + А)]; (1)

1 = 1

Ро*= 1 / (1 + <Р»", (2)

где Ро - вероятность поступления судоводителю достоверной информации от системы индикации ИСМ, рассчитанная по среднему отношению <р,->.

С помощью неравенства Коши можно объединить выражения (1, 2), в результате чего получить соотношение вида

п

П(1 + р) < (1 + <А>)п,

= 1

которое дает право говорить о наличии нижнего граничного значения для вероятности достоверного формирования базы данных в ИСМ и такого же достоверного представления этой базы данных судовому специалисту с учетом возможных отказов "простых" контрольных и управляющих систем в структуре сопряжения с "прямым" доступом. Нижнее граничное значение для вероятности Р0 при таком сопряжении записывается

Ро > Ро'. (3)

Для оценки верхнего граничного значения вероятности Рп' уже недостоверного формирования ИСМ базы данных и, соответственно, недостоверного отображения ее судовому специалисту при наличии отказов в "простых" контрольных и управляющих системах и структуре сопряжения с "прямым" доступом, используем два очевидных равенства:

п

Рп = 1 / [П(1 + 1/А)];

1 = 1

Рп'= 1 / (1 + 1/<А>) п.

Если зафиксировать число простых навигационных систем, входящих в состав ИСМ, и допустить простейший вариант, для которого п = 2, то из двух предыдущих равенств можно получить

Рп = 2 = [1 + (Л + р2 + 1) / Л А]" \ Рп = 2' = [1 + (2<Р> + 1) / <Р>2]- 1

или

Pn = 2 ^ Pn = 2 .

Далее, расширяя число простых навигационных систем в составе ИСМ до (n - 1) и используя метод математической индукции, найдем оценку верхнего граничного значения вероятности недостоверного отображения базы данных, формируемой с учетом отказов в "простых" контрольных и управляющих системах. Соответственно для (n - 1) "простых" систем, входящих в состав ИСМ, можно записать неравенство

n - 1 n - 1

1 / [П(1 + 1/А)] < [1 + (n - 1) / Ер,]- (n - 1)

i = 1 i = 1

которое при

n - 1 n

Тр, = "Lp, - Pn

i = 1 i = 1

позволяет составить следующее соотношение:

n n - 1

1 / [П(1 + 1/А)] = 1/(1 + 1/р) [П(1 + 1/А)] < (1 + 1/А) -1[1 + (n - 1)/ЕР, - р](n - 1 =

i = 1 i = 1

n n

= Pn(1 + pn)\zpi - pn/ Sa - Pn + (n - 1)]n- \ (4)

i = 1 i = 1

В соотношении (4) введем обозначение

n

R = Ърг

i = 1

и рассмотрим это соотношение как функцию вида

Ла) = А(1 + Pn) [(R-Pn)/(R-Pn + n- 1)]n - 1.

Максимальное значение функции J(pn) можно найти:

max f(pn) = Лт = [R/(R + n)]n = [<p>/(1 + <p>)]n,

0 <pn < а

откуда вновь, но уже для (n - 1) "простых" контрольных и управляющих систем, обладающих вероятностью отказов и входящих в состав ИСМ, получим

Pn < Pn. (5)

Следовательно, надежность интегрированной системы ходового мостика как в части формирования достоверной базы данных, так и достоверного представления этой базы судовому специалисту при структуре сопряжения, основанной на принципе "прямого" доступа, может быть определена с помощью граничных значений (3) и (5), рассчитанных с использованием только средних отношений <р>.

Однако вариант сопряжения со структурой "прямого" доступа существенно влияет на структуру линейных протоколов, обеспечивающих связь между ИСМ и датчиками информации. Любой линейный протокол сопряжения, в первую очередь, предназначен для пересылки достоверных данных с регламентацией, следующих функций: установление связи, управление связью, передачу данных, исправление ошибок в передаче данных, восстановление сообщения после исправления ошибок в передаче. Естественно, что дополнительное включение в регламент линейного протокола сопряжения таких дополнительных функций, как технический и информационный контроль состояния "простых" систем, их коммутацию в зависимости от приоритета при наличии технических и информационных отказов, оповещение судового специалиста о недостоверности отображаемой ИСМ базы данных, неизбежно приведет к существенному усложнению общей структуры этих протоколов. Кроме того, нельзя исключать и того, что сложные процессы коммутации "простых" систем при их сопряжении с системой отображения ИСМ сами будут служить источником дополнительной неопределенности, вносимой в базу данных. Поэтому рассмотрим еще один вариант сопряжения "простых" систем с программным обеспечением ИСМ, основанный на использовании ветвящейся иерархической структуре подключения.

5. Оценка достоверности базы данных для ИСМ, в которой структура сопряжения с датчиками информации строится на использовании ветвящейся иерархической структуре подключения

При таком сопряжении любая ветвь структуры должна включать в себя параметризованный класс "простых" систем, причем их последовательность сопряжения в таком классе определяется приоритетом, с которым эти системы дублируют конкретные параметры состояния безопасности судна в базе данных, отображаемой ИСМ. Здесь следует отметить, что выделенные параметризованные классы могут иметь пересечения, т.е. включать в свой состав одни и те же "простые" системы, если последние обеспечивают программное обеспечение ИСМ разнородными параметрами.

Оценим нижнюю границу показателя надежности формирования достоверной базы данных и достоверного представления этой базы судовому специалисту в предположении, что сопряжение "простых" систем с программным обеспечением ИСМ реализовано на основе ветвящейся структуры. Пусть на каждом уровне ветвящейся структуры расположена совокупность "простых" систем, в отношении которых сохраним предположения, выдвинутые ранее. Кроме того, дополнительно примем, что отказ любой "простой" системы в ветви нарушает нормальное функционирование только этой ветви, и не нарушает нормальной работы других ветвей.

Достоверность информации, поступающей судовому специалисту от ИСМ при такой ветвящейся иерархической структуре сопряжении, будет зависеть только от количества нормально функционирующих "простых" систем с высшими приоритетами. Поэтому для оценки достоверности базы данных можно использовать компоненту R0 вектора R, определяющую вероятность состояний этой базы данных в функции лишь от числа отказов "простых" систем с высшим приоритетом.

Обозначим параметры распределения времени работы простых систем через Лу, где i - номер ветви сети сопряжения, j - номер простой системы в этой ветви, а времени восстановления простой системы j-ro уровня в i-ой ветви через //у. Кроме того, примем, что вероятность R0 для условия вида

Лу = <Л> (6)

равна величине Ro , а для условия

n

^ = ЕЛу; Xj = 0; 5 ф j,

X/Y

соответственно, равна величине R0 .

Если далее принять во внимание, что время работы и время восстановления простых систем, образующих в структуре уровень с наивысшими приоритетами, подчинены экспоненциальному распределению с параметрами, отвечающими соотношениям

Xj = <Л> = const,

JUi = <^> = const,

причем восстанавливаться могут две и более простых систем одновременно, то аналогично (3) можно получить

Ro > Ro<">, (7)

где знак равенства соответствует выполнению условия (6).

При оценке работоспособности ИСМ с многоуровневой ветвящейся структурой сопряжения "простых" контрольных и управляющих систем можно отказаться от использования расчета вероятности верхнего граничного значения вероятности Pn' недостоверного формирования ИСМ базы данных и, соответственно, недостоверного отображения ее судовому специалисту (5), заменяя этот показатель значением верхней грани R0. С практической точки зрения однородная интервальная оценка вероятности R0 более предпочтительна, чем ранее полученные (3) и (5), особенно при планировании и реализации управления безопасной эксплуатацией судна с гарантированным качеством в эргатической системе "судовой специалист - ИСМ".

Для подтверждения возможности привлечения к оценке достоверности отображаемой базы данных в случае использования многоуровневой ветвящейся структуры сопряжения с простыми системами, верхней грани R0 вместо оценки (5) найдем минимум функции

n

F(ji, Л) = Щы + А,). (8)

j = 1

Представим выражение (8) в следующем виде

п

п - 1

П(ы + А,) = (р + Л*) П(ы + £,),

3 = 1

3=1

где 0 < щ < Я* и введем дополнительное обозначение

п - 1

Л* + = %

3 = 1

Учитывая введенное выше обозначение, минимум функции Г(р, Л) можно найти

п

п - 1

П(р + X) = + рп - 1(Я* + £$■) + - 2(^1 £2 + . + £п - 1 Л*) + ...

3 = 1

3 = 1

п - 1

... + Л* Ш; >МП + - 1Я1,

3 = 1

если принять, что Л^ = Д„ Я^ = 0 и 3 ^ 5.

Тогда для многоуровневой ветвящейся структуры сопряжения достоверность базы данных и, соответственно, информации, поступающих судовому специалисту, можно в дополнение к оценке (7) характеризовать и верхним граничным значением, т.е.

6. Заключение

Соотношения (3, 5) и (8, 9) при любой структуре сопряжения "простых" информационных и управляющих систем с программным обеспечением ИСМ позволяют существенно упростить расчеты достоверности отображаемой информации, необходимой судовому специалисту для управления безопасной эксплуатацией судна в сложной эргатической системе "судно - судовой специалист". Упрощение расчетов достигается, во-первых, за счет значительного сокращения числа состояний, а, во-вторых, за счет возможности построения простых рекуррентных расчетных формул, основой для которых могут служить выражения (3, 5) и (8, 9). При наличии таких расчетных рекуррентных формул расчет показателей достоверности отображаемой информации можно осуществлять без необходимого в общем случае обращения к решению системы уравнений большой размерности.

В то же время вариант сопряжения "простых" систем с программным обеспечением ИСМ по многоуровневой ветвящейся структуре имеет определенные преимущества по отношению к варианту сопряжения со структурой "прямого" доступа, поскольку не требует значительного расширения списка функций, регламентирующих деятельность линейных протоколов связи. Так, технический и информационный контроль эксплуатационных состояний "простых" систем и оповещение судового специалиста о недостоверности отображаемой ИСМ базы данных в многоуровневой ветвящейся структуре сопряжения можно объединить с функцией контроля качества передаваемой информации традиционно осуществляемой линейными протоколами связи. При наличии технического или информационного отказа "простой" системы в одной из ветвей структуры сопряжения формируется ошибка в передаваемых по ней данных. Линейный протокол связи идентифицирует эту ошибку и оповещает судового специалиста о возможности передачи по ветви структуры недостоверных параметров состояния судна. Поиск отказавшей "простой" системы в ветви может выполнить судовой специалист, он же, в случае необходимости, должен решить задачу по блокированию "простой" системы, искажающей отображаемую ИСМ базу данных. Такие функциональные дополнительные обязанности оператора ИСМ не противоречат требованиям Резолюции ИМО М8С. 64(67), поскольку в них предусмотрено, что эксплуатацию интегрированной системы ходового мостика должен осуществлять подготовленный судовой специалист.

Лушников Е.М. Техническое обоснование методов и средств обеспечения навигационной безопасности

мореплавания. Автореф. диссертации на звание д-ра техн. наук. СПб, 46 е., 2000. Мамикронов А.Г., Кульба В.В., Цвиркун А.Д. Системные методы повышения качества функционирования сложных управляющих систем. В сб. "Анализ и проектирование АСУ", М., изд. Ин-та проблем управления, вып. 2, с.26-64, 1972.

(9)

Литература