Управление избыточностью технических систем. Супервизорный способ управления конфигурациями

Москва
ИНФРА-М
2023

УПРАВЛЕНИЕ 
ИЗБЫТОЧНОСТЬЮ 
ТЕХНИЧЕСКИХ СИСТЕМ

СУПЕРВИЗОРНЫЙ СПОСОБ 
УПРАВЛЕНИЯ КОНФИГУРАЦИЯМИ

В.Н. БУКОВ
А.М. АГЕЕВ
А.В. ЕВГЕНОВ
В.А. ШУРМАН

МОНОГРАФИЯ

УДК 007.3(075.4)
ББК 15.2 
 
Б90

А в т о р ы:

Буков В.Н., доктор технических наук, профессор, ведущий научный сотруд
ник Научно-исследовательского института авиационного оборудования;

Агеев А.М., кандидат технических наук, доцент, докторант Военного учебно
научного центра Военно-воздушных сил «Военно-воздушная академия имени 
профессора Н.Е. Жуковского и Ю.А. Гагарина»;

Евгенов А.В., директор филиала, заместитель директора по научно-исследо
вательским и опытно-конструкторским работам — главный конструктор Раменского приборостроительного конструкторского бюро;

Шурман В.А., главный специалист Раменского приборостроительного кон
структорского бюро
Р е ц е н з е н т ы:

Бронников А.М., доктор технических наук, доцент, профессор кафедры при
боров и систем ориентации, стабилизации и навигации Московского государственного технического университета имени Н.Э. Баумана; 

Каравай М.Ф., доктор технических наук, доцент, заведующий лабораторией 

технической диагностики и отказоустойчивости Института проблем управления имени В.А. Трапезникова Российской академии наук

ISBN 978-5-16-018286-5 (print)
ISBN 978-5-16-111301-1 (online)

© Буков В.Н., Агеев А.М., 

Е вгенов А.В., Шурман В.А., 2023

Буков В.Н.

Б90  
Управление избыточностью технических систем. Супервизор
ный способ управления конфигурациями : монография / В.Н. Буков, 
А.М. Агеев, А.В. Евгенов, В.А. Шурман. — Москва : ИНФРА-М, 2023. — 
332 с. — (Научная мысль). — DOI 10.12737/1959232.

ISBN 978-5-16-018286-5 (print)
ISBN 978-5-16-111301-1 (online)
Монография посвящена вопросу управления избыточностью техниче
ских систем в интересах придания им свойств живучести, отказоустойчивости, отказобезопасности, адаптации к изменению условий функционирования и рацио нального использования располагаемых ресурсов. 
Внимание сосредоточено на супервизорном подходе к управлению избыточностью технических систем, основанном на специально введенных программно-логических структурах — супервизорах конфигураций. Системно 
изложены идеи и решения по информационной структуре и алгоритмам 
управления реконфигурированием комплексов бортового оборудования 
с избыточностью неоднородных неуниверсальных компонентов.

Рассчитана на студентов и аспирантов технических вузов, а также на
учных сотрудников и конструкторов, специализирующихся в области 
разработки, исследования и испытания реконфигурируемых тех нических 
систем.

УДК 007.3(075.4) 

ББК 15.2

Введение

Исследование, проведенное Международной ассоциацией воз
душного транспорта (IATA) [1], показывает, что, несмотря на снижение показателей отрасли из-за кризиса в 2020 финансовом году, 
авиационные компании потратили 26 миллиардов долларов на техническое обслуживание и ремонт коммерческих самолетов. Ожидалось1, что эта цифра вырастет еще на 68% до 2022 года. Доля затрат 
на эксплуатацию составляет порядка 10% в общей структуре расходов и продолжает неуклонно расти.

Из-за возросшей автономности и связанной с этим сложности 

авиационных систем авиаперевозчики вынуждены вкладывать значительные средства в системы управления техническим состоянием 
авиационной техники (АТ) в поиске улучшения программ ее технического обслуживания в интересах снижения аварийности, повышения гарантированности выпуска самолетов в полет, снижения 
затрат на эксплуатацию, избежания незапланированных простоев 
и связанных с ними финансовых издержек. В целом эти преобразования идут по пути создания высоконадежной АТ, которая бы 
не требовала обслуживания по крайней мере до истечения заданного межрегламентного периода.

В целях повышения надежности авиационного бортового обо
рудования и обеспечения безопасности полета используются бортовые автоматизированные системы контроля (БАСК) и бортовые 
системы технического обслуживания (БСТО), представляющие 
собой совокупности аппаратных и программных средств и методов. Такие системы, независимо от места реализации (полностью 
на борту или частично на земле) и других особенностей (уровень 
автоматизации и др.), нацелены [2–4] на однозначный ответ: нуждается ли в настоящее время проверяемое оборудование в ремонте 
или техническом обслуживании с учетом прогнозируемого обеспечения безотказной работы до очередных плановых технических 
работ. Такое, по сути, положение вещей можно считать «традиционным» подходом к эксплуатации бортового оборудования.

Вместе с тем наблюдается возрастающее внимание ученых, 

разработчиков и производителей АТ к исследованиям в области 
безотказных (отказоустойчивых, самовосстанавливающихся) 

1 
Тот факт, что под действием глобальных процессов реальные объемы 
и структура затрат претерпели изменения, не меняет общей объективной 
тенденции.

бортовых систем [5–7]. По замыслу такие системы, в отличие 
от «традиционных», должны не ограничиваться обнаружением 
(установлением факта), диагностированием (указанием места) 
и, возможно, локализацией (предотвращением распространения 
опасности) отказов, а предпринимать активные действия по автоматическому восстановлению исходной функцио нальности 
(выполняемые функции, технические и эксплуатационные характеристики) комплексов бортового оборудования (КБО) в целом 
по предназначению. А если полное восстановление невозможно, 
то минимизировать неизбежную деградацию КБО по причине отказов его компонентов.

Безальтернативным путем создания таких систем является вве
дение преднамеренной избыточности их бортовых аппаратных 
и программных ресурсов с непременным использованием специальных средств, предназначенных для управления располагаемой 
избыточностью. Совокупность таких средств, алгоритмически 
взаимо связанная и пространственно распределенная, рассматривается далее как единая бортовая система управления избыточностью (СУИ).

Настоящая монография посвящена обоснованию и изложению 

одного из возможных и достаточно эффективных подходов к построению интегрированной СУИ сложных технических систем, 
каковыми являются бортовая интегрированная вычислительная 
среда (БИВС) и в целом интегрированный комплекс бортового 
оборудования (ИКБО) летательных аппаратов.

СУИ должна осуществлять оптимальное (рацио нальное) ис
пользование всех располагаемых (доступных) ресурсов для достижения целей использования КБО по предназначению. При этом 
в зависимости от обстоятельств цель может не только включать 
(или подразумевать) обеспечение высоких показателей отказоустойчивости в различных применениях КБО, но и преследовать 
одновре менное или выборочное улучшение, достижение нового 
уровня других эксплуатационно-технических характеристик создаваемых систем.

Например, это может относиться к точности и надежности ре
шения отдельных задач, удовлетворению специальных требований 
по экологичности, экономии расходования энергии или ресурса 
наиболее дорогих, специально сохраняемых компонентов и др.

Ранее были опубликованы результаты по аналитическому гене
рированию альтернативных конфигураций избыточного КБО [8]. 
Данная работа посвящена одной из возможных концепций организации управления избыточностью КБО с использованием так назы

ваемых супервизоров1 конфигураций (СК). Рис. В1 иллюстрирует 
общее соотношение областей применимости методов упомянутого 
генерирования альтернатив G, излагаемых в данной монографии 
супервизоров конфигураций S и практически реализуемых избыточных комплексов A.

Рис. В1. Области решений по управлению избыточностью:

A — доступные (accessible) инженерные; G — аналитически генерируемые 

(generated); S — реализуемые посредством супервизоров (supervisors) 

конфигураций

Аппарат аналитического генерирования конфигураций КБО 

(область G) явным образом ограничен системами, представляемыми линейными динамическими моделями и более того — передаточными матрицами. Статические в основном своем объеме, 
а также нелинейные системы могут существовать за пределами 
области G. Кроме того, могут существовать случаи, не допускающие формализации моделей объекта и (или) компонентов 
в виде передаточных матриц, к чему развиваемый подход [8, 10] 
не готов. Дискретность или непрерывность динамических моделей во времени со всей очевидностью не играют принципиальной роли.

В свою очередь, механизм супервизоров конфигураций предпо
лагает возможность сепарирования всех возможных конфигураций 
как в смысле разделения привлекаемых ресурсов между конфигурациями2, так и в смысле автономного прописывания (программи
1 
Супервизор (от англ. supervisor — руководитель, надсмотрщик) — часть 
управляющей программы, координирующая распределение ресурсов 
системы обработки информации [9].

2 
Допускается использование одних и тех же ресурсов в различных конфигурациях.

рования) процедур подготовки, отбора, инициализации и оперативного управления каждой из конфигураций. Могут и должны 
сочетаться централизованная цель (замысел: что и как достигается) 
и распределенное исполнение (какие действия и как предпринимаются) управления избыточностью. При этом за рамками концепции 
СК возможны другие подходы, реализующие, например, традиционно раздельное управление основными и резервными компонентами (датчиками, вычислителями, каналами передачи данных, 
актюаторами и пр.) или иные — на основе разработок других авторских коллективов [11–13].

В то же время доступные для практического применения ре
шения по управлению избыточностью выходят за пределы возможностей как аналитического генерирования альтернативных 
решений, так и механизма супервизоров конфигураций. Например, 
такие решения могут охватывать континуальные системы [5], реализующие плавную (гладкую по оценкам характеристик отказов) 
настройку реконфигурационных параметров и, таким образом, формально выпадающие из-под понятия конфигурации как таковой. 
Они также могут быть связаны с нелинейными динамическими 
моделями процессов либо с формальными моделями другого типа, 
что выводит их из-под разработанного аппарата аналитического генерирования конфигураций.

Положения границ указанных областей зависят от различных 

факторов (уровня развития теории, технологических возможностей 
и др.) и в общем не совпадают. При этом пересечения областей создают соответствующие подобласти:

AG — решения, подпадающие под возможности аппарата ана
литической генерации альтернативных конфигураций и доступные 
для практической реализации;

GS — решения, подпадающие под возможности аппарата ана
литической генерации альтернативных конфигураций и представимые механизмом супервизоров конфигураций;

AS — решения, представимые механизмом супервизоров конфи
гураций и доступные для практической реализации;

AGS — решения, одновременно получаемые путем аналити
ческой генерации альтернативных конфигураций, представимые 
механизмом супервизоров конфигураций и доступные для практической реализации.

Настоящая монография сосредоточена на области S решений 

для отказоустойчивых бортовых систем вместе со свойственными 
для нее пересечениями GS, AS и AGS. Доступные в научно-технической литературе наработки обсуждаются здесь в той мере, 

в которой они, по мнению авторов, связаны, могут быть связаны 
или сопоставимы с реконфигурированием избыточного КБО на основе супервизоров конфигураций.

Авторы выражают искреннюю благодарность коллегам по раз
рабатываемому научному направлению А.М. Бронникову, И.Ф. Гамаюнову, А.С. Попову и А.М. Мальцеву, а также руководству профильных организаций, сотрудничество и поддержка которых сыграли значительную роль в проведении исследований и подготовке 
материалов данной монографии.

Глава 1.  

ИЗБЫТОЧНОСТЬ КАК ТЕНДЕНЦИЯ  

РАЗВИТИЯ БОРТОВЫХ СИСТЕМ

Согласно общепринятому определению [14], избыточностью 

технической системы называется наличие в ней возможностей 
сверх тех, которые могли бы обеспечить ее нормальное функционирование. Различают «дикую» избыточность, возникающую как 
результат неоптимального или нерацио нального проектирования 
и подлежащую безусловной минимизации, и преднамеренную избыточность, целями которой являются обеспечение требуемых 
уровней надежности и отказобезопасности систем, увеличение 
их производительности или достижение иных полезных свойств 
за счет возможностей реконфигурирования ресурсов.

Так, в КБО самолетов транспортной категории преднамеренная 

избыточность компонентов оборудования разных видов (датчики, 
эффекторы, вычислители, каналы передачи сигналов или данных) 
наличествует естественным образом уже в силу требований отказобезопасности. Очевидна также тенденция к повышению уровня 
избыточности, происходящему в русле основных направлений развития авионики, — как вследствие предъявления качественно новых 
технико-эксплуатационных требований надежности, живучести, 
сертифицируемости, расширения функцио нальности, снижения эксплуатационных затрат, так и в связи с появлением новых технологических возможностей миниатюризации электронной аппаратуры.

В данной главе приведены результаты анализа технических 

и научных аспектов создания избыточных систем применительно, 
в основном, к авиаприборостроительной отрасли, хотя в ряде случаев эти результаты связаны с гораздо более широким кругом технических систем.

1.1. СОВРЕМЕННЫЕ ПОДХОДЫ К ПОСТРОЕНИЮ 

ИНТЕГРИРОВАННЫХ КБО

К настоящему времени в авионике сложились признанные под
ходы к обеспечению конкурентоспособности КБО, направленные 
на удовлетворение новых требований [15] прежде всего в рамках 
концепции интегрированной модульной авионики (ИМА), практически параллельно с которой развивается концепция авионики 
необслуживаемого авиационного оборудования (АНБО).

Интегрированная модульная авионика первого поколения

Концепция ИМА устанавливает принципы использования стан
дартизированных компонентов и интерфейсов аппаратуры и программного обеспечения (ПО) на самолете и базируется на открытой 
сетевой архитектуре и единой вычислительной платформе [16–18].

Для архитектуры ИМА характерно использование общих, 

прежде всего вычислительных, ресурсов несколькими различными функциями1 (в общем случае разных уровней критичности). 
Пространственное (по памяти) и временнóе (по процессам) разделение доступа функций к ресурсам позволяет исключить конфликты между ними и предотвратить распространение ошибок. 
Указанный принцип распространяется также на открытые сетевые 
интерфейсы, т.е. на коммуникационные ресурсы, обеспечивающие 
информационное взаимодействие структурных компонентов комплекса. В случае, например, применения протокола ARINC 664 
совокупный трафик сети разделен между независимыми виртуальными каналами.

Таким образом, логико-временна`я структура вычислительной 

среды ИМА позволяет организовать адаптацию последней к выполнению определенной функции КБО (с подключением к необходимым информационным каналам комплекса) на время выполнения этой функции, т.е. динамическую настройку конфигурации 
в процессе функционирования.

Важной особенностью КБО, построенного на основе архитек
туры ИМА, является использование общих коммуникационных 
ресурсов при соответствующем сокращении доли «жестких» связей 
между датчиками и эффекторами бортового оборудования (или их 
информационными каналами), с одной стороны, и вычислительными средствами, с другой.

Открытая архитектура ИМА, наличие общих (разделяемых) 

вычислительных и коммуникационных ресурсов в сочетании с модульностью и унификацией аппаратного и программного обеспечения не только упрощают процесс разработки и сертификации 
ПО, но и создают объективные предпосылки для масштабирования авионики, создания и использования аппаратно-программной избыточности за счет введения в структуру дополнительных 
резервных модулей. Целью является как увеличение общей надежности функций комплекса (за счет возможности динамического 

1 
Распространенное название содержательно и логически объединенных действий, направ ленных на решение определенной самостоятельной задачи 
КБО (навигация, связь, управление полетом и пр.).

реконфигурирования избыточной структуры КБО с перераспределением ресурсов при отказах в процессе функционирования), так 
и удовлетворение ряда новых требований, достижимых благодаря 
возможности вариантного конфигурирования комплекса.

Различные по назначению и устройству узлы объединяются 

бортовой локальной сетью. В базовых проектах [19] в этом качестве 
используется сеть AFDX по ARINC 664, в которой роль «общей 
шины» играют интеллектуальные коммутаторы (switch). При этом 
в необходимых случаях узлы могут дополнительно обладать каналами приема/передачи данных, минующими указанную шину.

Упрощенная архитектура платформы ИМА первого поколения 

(ИМА1), соответствующая основным принципам документа [16], 
показана на рис. 1.1.

Вычислительная среда ИМА включает набор вычислительных 

узлов, объединенных бортовой сетью Aircraft Data Network (ADN), 
в данном случае AFDX по ARINC 664, на базе ряда унифицированных модулей: вычислительного (Computing Processing Module — 
CPM), ввода/вывода (Input/Output Module — IOM), графического 
(Graphic Processing Module — GPМ) и др. Модулями IOM обеспечивается необходимый минимум «жестких» связей по стандартным 
авиационным интерфейсам, прежде всего по каналам ARINC 429.

Программное обеспечение ИМА реализовано в форме систем
ного ПО (СПО) вычислительных модулей на основе операционной 
системы реального времени, а также набора бортовых функциональных приложений, распределенных между вычислительными 
узлами и ответственных за реализацию функций комплекса оборудования, — модулей функцио нального программного обеспечения 
(МФПО) F1, …, Fn.

Аппаратные и программные модули ИМА снабжаются сред
ствами глубокого мониторинга технического состояния (тестового и функцио нального контроля) и инструментальной поддержки. Модули ИМА могут входить в состав крейтов в качестве 
конструктивно-функцио нальных узлов. В этом случае может 
использоваться межмодульный интерфейс с более высокой пропускной способностью по сравнению с шиной сети ADN, например 
PCI-express.

Характерным для такой архитектуры является дублирование 

(минимальная однородная избыточность) устройств в сегментах 
центральной вычислительной системы, сетевой коммутации и концентрации данных и сигналов.

Сетевая топология реального комплекса может быть достаточно 

сложной, требует в ряде случаев применения разветвления и каска