Tehnici de diagnoză și decizie

Cursul 1

1. DEFECTE ÎN SISTEMELE DINAMICE Răspândirea largă şi în domenii diverse a sistemelor automate de conducere se datorează, în primul rând, performanţelor tehnice ale acestora, performanţe ce sunt din unele puncte de vedere net superioare celor dezvoltate de operatorul uman. Treptat, aceste structuri complexe, înzestrate cu posibilităţi largi de operare şi susţinute de baze de date impresionante, au pătruns în domenii vitale pentru om, adoptând roluri decizionale. Practic, fără aportul major al sistemelor automate, nu mai pot fi concepute astăzi ramuri ale industriei chimice, metalurgice, extractive, producerea energiei electrice, aviaţie, transporturi feroviare de mare viteză - TGV, activitatea spaţială, etc. Preluarea responsabilităţilor decizionale, esenţiale în procesele de conducere automată, s-a făcut însă nu numai pe baza performanţelor tehnice ci şi cu preţul acordării încrederii, al siguranţei în funcţionare. Întrebarea care se pune astăzi mai pregnant ca oricând este: răspund sistemele automate acestui deziderat? Din păcate, în ciuda unor progrese remarcabile, răspunsul este încă departe de cel dorit. Iată motivul pentru care specialiştii domeniului fac eforturi susţinute pentru ca aceste realizări cu adevărat remarcabile să fie însoţite de un atribut în plus: cel al siguranţei. Acestui scop i se dedică şi prezenta lucrare care tratează anumite aspecte ale detecţiei defectelor în buclele de reglare precum şi metodele de limitare a efectelor acestora astfel încât sistemele automate, în ansamblul lor, să nu-şi piardă în mod catastrofal proprietăţile funcţionale. 1.1. Formularea problemei Preocupările legate de realizarea unor echipamente cu ajutorul cărora să se depisteze prezenţa defectelor şi ulterior acestea să fie localizate în structura complexă a sistemelor automate, datează încă din perioada anilor '50 şi sunt strâns legate de progresele electronicii în general şi ale tehnicii de calcul în special. Problema a început însă să fie pusă în mod sistematic de abia după 1960, în corelaţie directă cu programele zborurilor spaţiale şi când intră în discuţie asigurarea în primul rând a securităţii vieţii oamenilor. Pe plan mondial se depun eforturi susţinute în dezvoltarea acestei noi direcţii de cercetare. Presiunea economică exercitată de concurenţa de pe piaţa liberă solicită apariţia de sisteme inteligente, de sisteme expert şi deci implicit, utilizarea largă a echipamentelor de calcul. Totodată, noţiunea de control (process control) se extinde, înglobând domenii noi cum ar fi: controlul automat al calităţii, prelucrarea datelor cu scop decizional la nivel înalt în sistemele ierarhizate (process data management) pentru o conducere strategică, asigurarea neîntreruptă a mentenabilităţii sistemului (just-in-time maintenance) , cu alte cuvinte asigurarea securităţii şi viabilităţii întregului ansamblu (system safety and availability). Aceasta reprezintă ceea ce în literatura de specialitate este cunoscut ca fiind următorul pas în dezvoltarea automaticii (the next level up) spre realizarea structurilor robuste şi tolerante la defecte. Desigur, siguranţa în exploatare a unui sistem este dependentă în primul rând de structura particulară a sistemului respectiv, însă se pot stabili, principial, câteva etape în algoritmul de realizare, etape ce sunt ilustrate în figura 1.1. După stabilirea obiectivelor urmărite de proiectant prin asigurarea siguranţei în exploatare, urmează o analiză a sistemului ce are drept scop definirea structurală, calitativă şi cantitativă prin identificarea acestuia. Sunt reliefate

interdependenţele dintre blocurile funcţionale ce alcătuiesc ansamblul, variabilele ce le descriu si se stabilesc valorile normale (în condiţii de funcţionare corectă) şi anormale (în condiţii de defect) ale acestora. Următoarea etapă constă în rularea simultană şi în timp real a mai multor modele matematice ce reprezintă:

Modelul matematic ataşat sistemului cu funcţionare corectă (ideală). O familie de modele ce reproduc sistemul şi la care în mod intenţionat au fost

provocate "defecte", mulţimea acestor modele precum şi tipul defectelor ilustrate depinzând în măsură covârşitoare de abilitatea proiectantului.

Preluarea datelor de la modelele ce simulează funcţionarea cu defecte se face numai atunci când diferenţa între funcţionarea corectă (ideală) şi funcţionarea reală depăşeşte un anumit prag de alarmă. După colectarea informaţiilor, în procesul de diagnosticare se caută să se depisteze mai întâi prezenţa sau absenţa unui defect. În cazul unui răspuns afirmativ, prin metode ce ţin de algoritmi specifici şi care vor fi dezvoltaţi în continuare, inclusiv prin folosirea răspunsurilor modelelor ataşate tipurilor de defecte şi compararea lor cu răspunsurile reale ale sistemului, se localizează defectul. Din acest moment, folosind baza de date a sistemului ce asigură siguranţa în exploatare, se trece la elaborarea deciziilor privind înlăturarea defectului sau cel puţin limitarea consecinţelor. Fiecare decizie este analizată şi, într-un caz ipotetic, sunt estimate rezultatele aplicării ei. În acest punct este în mod obligatoriu necesară o etapă de evaluare a acestor consecinţe (2) şi pe baza unor criterii cumulate, ce înglobează atât efectele deciziei cât şi eforturile energetice şi materiale presupuse de adoptarea ei, se validează decizia optimă. Numai după parcurgerea acestei etape se permite să se acţioneze direct asupra sistemului real.

Stabilirea obiectivelor

Analiza sistemului

Funcţionare corectă

(simulare)

Funcţionare reală

Funcţionare cu defecte (simulare)

Acţiune directă asupra

sistemului

Validarea deciziei adoptate

Evaluarea Consecinţelor

(2)

Concluzii (formarea

unei baze de date

pentru un sistem expert)

Estimarea evoluţiei cu defect (1)

Diagnosticare sistem (DLD)

Fig. 1.1. Schema bloc a sistemului de detecţie şi localizare a defectelor

Achiziţie de date

Elaborarea

deciziilor

Fiecare acţiune de acest gen poate fi folosită pentru îmbogăţirea bazei de date precum şi pentru eventualele corecţii ce ar fi necesare (proces de autoinstruire). De asemenea, se poate parcurge o etapă de estimare a consecinţelor (1) ce ar decurge din neintervenţia asupra sistemului defectat, rezultatele urmând a fi comparate cu efectele corecţiilor introduse. Rezultatele acestei comparări pot constitui " mărimi de intrare" într-un bloc de elaborare a concluziilor cu consecinţe asupra algoritmilor utilizaţi. Astfel, dacă efectele reale sunt consistente şi practic identice cu cele estimate, atunci se poate trage concluzia că întreaga metodologie parcursă este corectă. Dacă efectele compensării sunt minime, respectiv diferenţa dintre răspunsurile sistemului defect şi cel "depanat" este mică, rezultă că algoritmii utilizaţi în etapele de diagnosticare, elaborare şi respectiv validare a deciziilor nu sunt performanţi şi sunt necesare corecţii substanţiale. Tot pe baza acestor concluzii se pot aduce corective chiar şi etapei de stabilire a obiectivelor, permiţând creşterea performanţelor în anumite direcţii şi respectiv reducerea cerinţelor sau chiar invalidarea lor, atunci când aceste obiective se dovedesc a fi practic nerealizabile. Ca o concluzie generală, pentru buna funcţionare a structurii prezentate în figura 1.1, două aspecte sunt esenţiale: Modelarea şi identificarea cât mai exactă a sistemului (cu efecte asupra corectitudinii

răspunsurilor în timp şi a evaluării consecinţelor). Diagnosticarea sistemului, care la rândul său cuprinde două etape:

o Detecţia prezenţei defectului (defectelor) o Localizarea defectului (defectelor)

Soluţionarea punctului 2 cade în sarcina filtrelor pentru detecţia şi localizarea defectelor -FDLD (fault detection and identification - FDI). 1.2. Sisteme cu defecte Vehicularea noţiunii de sistem (echipament) defect s-a făcut până în prezent în cadrul mai larg al teoriei fiabilităţii de la care a şi preluat unele concepte de bază prezentate succint în continuare [Avizienis, 1976; Chang şi col.,1971; Cătuneanu şi col.,1983].

1.2.1. Noţiuni generale Prin sistem cu funcţionare corectă se înţelege un sistem a cărui evoluţie nu conţine erori iar timpul de execuţie al unei comenzi nu depăşeşte o limită specificată. Defectul este o imperfecţiune fizică a unui element al sistemului ce antrenează o funcţionare permanent, temporar sau intermitent eronată. Defectele permanente impun fie prezenţa componentelor de rezervă, destinate înlocuirii componentelor defecte, fie existenţa unor strategii de reconfigurare pentru evitarea utilizării în continuare a componentei defecte. Defectele temporare sunt de durată limitată, fiind determinate de ieşirea din parametrii nominali a unor componente pe durata unui interval de timp. Evitarea sau cel puţin atenuarea efectelor datorate defectelor temporare presupune, ca şi în cazul defectelor permanente, existenţa unor algoritmi de "ocolire" a zonei defecte pe o durată limitată în timp. Acest lucru se poate face fie prin activarea rezervelor, fie cu preţul reducerii performanţelor pe durata defectului. Fiabilitatea reprezintă capacitatea unui sistem de a executa corect sarcinile pentru care a fost proiectat şi realizat. Se măsoară prin funcţia de fiabilitate R(t) definită ca fiind probabilitatea ca sistemul să funcţioneze fără defectări în intervalul de timp [ tinitial , tfinal ]. Disponibilitatea reprezintă capacitatea unui sistem de funcţionare corectă în condiţii de utilizare precizate, la un moment de timp dat. Se măsoară prin funcţia de disponibilitate A(t), definită ca fiind probabilitatea ca sistemul să se afle în stare de funcţionare la momentul de timp tx∈[ tinitial , tfinal].

Securitatea sistemului este proprietatea acestuia de a evita deteriorarea sănătăţii sau pierderea vieţii oamenilor, precum şi provocarea de pagube materiale datorită funcţionării sale defectuoase. Noţiunea complementară securităţii este riscul . Evitarea consecinţelor ce decurg din defectarea unor componente (subansamble) ale sistemului se poate face principial în două moduri: 1. Proiectarea şi realizarea unui sistem sigur, fără defecte, situaţie evident ideală. 2. Proiectarea şi realizarea unui sistem tolerant la defecte. Cea de a doua variantă reprezintă o abordare realistă, ea fiind accesibilă tehnologiilor prezentului într-o proporţie semnificativă. Se poate uşor anticipa că sistemele tolerante la defecte vor cunoaşte în viitor o dezvoltare masivă şi ceea ce astăzi este doar o calitate suplimentară va deveni în curând o condiţie indispensabilă.

1.2.2. Toleranţa la defecte În literatura de specialitate, sistemele tolerante la defecte se clasifică în:

Sisteme cu toleranţă statică, caz în care sistemele sunt prevăzute cu redundanţă hardware şi software de tip static.

Sisteme cu toleranţă dinamică, sistemele ce au posibilitatea detectării şi localizării defectelor urmată de reconfigurarea automată pentru înlocuirea (evitarea) componentei defecte.

În general se disting trei tipuri de strategii [Rennels, 1978; Bacivarof, 1980; Cătuneanu şi col.,1989] ce pot fi urmate pentru implementarea toleranţei la defectări:

S1 - Strategii bazate pe mascarea defectărilor; cazul sistemelor proiectate şi realizate cu toleranţe (coeficienţi de siguranţă) mari. S2 - Strategii bazate pe detecţia şi localizarea defectelor (failure detection and identification - FDI) şi înlocuirea componentelor (structurilor) cu defecte. S3 - Strategii hibride, ce îmbină ambele modalităţi de acţiune.

De menţionat că în toate situaţiile intervine redundanţa: fie la nivelul componentelor (hardware) fie la nivelul funcţiilor sistemului. În cazul strategiilor bazate pe mascarea defectărilor (S1) se utilizează o structură redundantă masivă, de tip static. Din acest motiv, simtomele defectelor prezente în modulele sistemului nu apar la ieşirile acestuia atât timp cât modulele de rezervă nu sunt afectate în totalitate sau în majoritate. Nu există implementat un proces de detecţie a defectelor urmat de reconfigurarea sistemului; din acest motiv tehnicile de mascare sunt numite tehnici cu redundanţă statică [Rennels, 1978; Popovici,1989]. Modulele de rezervă sunt permanent conectate, mascarea disfuncţionalităţilor realizându-se instantaneu pe baza votului majoritar. Utilizarea unei tehnici de mascare a defectărilor se bazează pe ipoteza, nu întotdeauna valabilă, că defectele ce pot afecta modulele de rezervă sunt evenimente independente. În ceea ce priveşte implementarea strategiilor de tip S2, două aspecte sunt esenţiale: - Detecţia prezenţei şi localizarea defectului (DLD). - Reconfigurarea sistemului, în sensul eliminării defectului. Primul aspect poate fi soluţionat prin metode hardware şi/sau software (filtre pentru detecţia şi localizarea defectelor - FDLD) şi presupune [Chang şi col.,1971; Rennels, 1978]:

Testarea "off line" (iniţială), ce se realizează înainte ca sistemul să devină efectiv operant. Metoda presupune simularea condiţiilor de lucru, verificarea făcându-se conform unor programe complexe ce permit controlul funcţional intrare-ieşire pentru toate subansamblele. Este cazul verificărilor tehnice la care sunt supuse aeronavele înaintea zborului. Această testare este facilitată de o proiectare adecvată a sistemului (asigurarea condiţiilor de testabilitate) precum şi de existenţa unor analizoare specializate pentru semnalele din sistem (FDLD) pentru detecţia şi localizarea defectelor.

Testarea "on line", are loc simultan cu funcţionarea normală a sistemului. Metoda face apel la echipamente de monitorizare a căror funcţionare este distinctă de cea a sistemului şi are ca principal avantaj faptul că permite diagnosticarea înainte ca eventualele defecte să altereze iremediabil evoluţia sistemului.

Autotestarea, este executată de către sistem în pauzele de operare, pe durate scurte de timp şi are în vedere unele funcţii de importanţă specială.

Testarea modulelor de rezervă, se face în scopul verificării capacităţii de preluare de către rezerve a sarcinilor modulelor operaţionale în cazul defectării acestora. Se poate realiza on-line sau off-line.

Toate rezultatele testărilor sunt depuse în baza de date a echipamentului ce gestionează, în caz de defect, reconfigurarea sistemului. Al doilea aspect este soluţionat în funcţie de gradul de toleranţă alocat sistemului. Astfel, pentru reconfigurare poate fi adoptată una din următoarele variante [Chang şi col.,1971; Rennels, 1978; Popovici, 1988]:

Reconfigurarea totală a sistemului, atunci când modulele defecte sunt înlocuite automat de rezerve iar sistemul îşi redobândeşte performanţele iniţiale.

Reconfigurarea parţială a sistemului, (graceful degradation sau fail soft operation), caz în care sistemul este adus la o stare de funcţionare corectă dar cu performanţe diminuate. Aceasta înseamnă că acolo unde a fost posibil modulele defecte au fost înlocuite (au existat rezerve asigurate), în timp ce restul modulelor defecte au fost doar decuplate (izolate). În acest caz are loc o diminuare a securităţii sistemului.

Oprirea sistemului. Este un caz limită, adoptat atunci când implementarea primelor două variante nu este posibilă. Prin deconectarea sistemului (fail safe) se încetează interacţiunea acestuia cu alte sisteme pentru evitarea propagării defectelor şi apariţiei unor avarii majore, cu efect catastrofal.

În absolut toate situaţiile se transmit operatorilor umani, mesaje de diagnosticare şi indicaţii cu privire la evoluţia viitoare a sistemului reconfigurat.

2. NOŢIUNI GENERALE PRIVIND CALITATEA ŞI FIABILITATEA Organism/standard international de certificare a sistemului calitatii, recunoscut in

inreaga lume, cu aplicabilitate din 1987 (echivalent cu vechea versiune a standardului BS 5750) si care a fost revizuit in 1994; veritabil etalon de masurare a calitatii, fondat pe principiul recunoasterii oficiale de catre un organism tert, independent, a indeplinirii cerintelorprevazute.

Familia ISO include seria ISO 9000, standardele ISO 10000 si ISO 8402. Din 1995 dateaza ISO 14001, care garanteaza faptul ca intreprinderea gestioneaza cu maiestrie resursele de mediu. Seria ISO 9000 cuprinde normele ISO 9001 (proiectare, dezvoltare, fabricatie, inspectie, testari, montaj si service), ISO 9002 (identic cu 9001, mai putin proiectarea, care nu este inclusa), ISO 9003 si ISO 9004 (asigurarea managementului calitatii).

In Romania, seria ISO 9000 a fost adoptata in1991 sub denumirea SR EN ISO 9000 (simbolizarea arata faptul ca standardul romanesc este identic cu norma europeana si standardul international); aceasta evolueaza pe masura adoptarii acestor norme de Institutul Roman pentru Standardizare - IRS si Societatea Romana pentru Asigurarea Calitatii - SRAC. Popularizarea de catre o organizatie a certificatului ISO 9000 se poate face pe scara larga, insa acesta nu poate fi transferat nemijlocit produselor si serviciilor firmei prin mesajele publicitare, intrucat norma vizeaza calitatea activitatii organizatiei si nu a produsului.