2008
НАУЧНЫЙ ВЕСТНИК МГТУ ГА серия Навигация и УВД
№ 136
УДК 629.735.015:681.3
КОМПЬЮТЕРНАЯ ТЕХНОЛОГИЯ НЕЙТРАЛИЗАЦИИ РАССОГЛАСОВАНИЙ ПОЛЕТНОЙ ИНФОРМАЦИИ
С.В. ПЕРЕБЕЙНОС, М.А. ЧЕРНИКОВА Статья представлена доктором технических наук, профессором Рудельсоном Л.Е.
Рациональная избыточность необходима информационной системе для поддержания целостности, однако она повышает риск рассогласования данных. В статье предложена технология нейтрализации нарастающих искажений информации, основанная на самоконтроле и регулировании данных. Найдена оптимальная стратегия, гарантирующая минимальные затраты ресурсов при заданной вероятности поддержания достоверности.
Введение
Схема компьютерной обработки полетной информации в современных автоматизированных системах управления воздушным движением (АС УВД) заключает в себе риск потери целостности данных. Согласно замыслу, решение общей задачи - поддержания интегрированной технологии работы диспетчерского персонала - делится на два направления. Во-первых, это сопровождение обновляемых данных о среде, в которой развивается процесс УВД - о состоянии атмосферы, пропускной способности элементов структуры воздушного пространства (ВП), техническом состоянии радиометрических средств и аппаратуры связи. Во-вторых, это сопровождение данных об объектах управления - воздушных судах (ВС), совершающих полеты. Соответственно структура программного обеспечения (ПО) строится на принципах разделения функций его элементов. На комплекс программ (КП) контроля периферийных источников возложено тестирование и управление локаторами, пеленгаторами, линиями передачи данных. КП обработки метеорологической информации обобщает информацию о погоде в зоне ответственности системы. Специальные программы рассылают по рабочим местам диспетчеров данные о режимных ограничениях. В результате о каждом аэродроме, о каждом источнике радиометрической и плановой информации, о ситуации в секторах в базе данных (БД) системы создаются автономно обновляемые и дополняющие друг друга описания. Частично они совпадают друг с другом (например, координаты аэродрома, его наименование, код взлетно-посадочной полосы -ВПП), частично различаются (состояние облачности, температура воздуха, коэффициент сцепления ВПП для метеоподсистемы или нарезка секторов подхода и круга, описание коридоров связи с трассами - для плановой).
Аналогично, каждый объект управления ВС сопровождается в раздельных описаниях КП обработки плановой и измеренной (радиолокационной и спутниковой) информацией. В соответствии с задачами подсистем, каждая из них использует различные математические схемы расчета траектории одного и того же ВС. «Плановики» работают с точностью плановых сообщений, в которых время указывается в часах и минутах, расстояния считываются из описаний аэродромов, районов УВД и воздушных трасс, а высота задается с точностью до эшелона. Они не учитывают при расчетах ни маневров разворота в точках излома трасс, ни других нюансов траектории полета. В противоположность этому, КП обработки радиолокационной информации в процессе прокладки траектории отслеживает параметры движения ВС с точностью радарных измерений и использует мощный математический аппарат теории оптимальных статистических решений. Наконец, КП обработки данных автоматического зависимого наблюдения (АЗН) получает с бортов ВС результаты радионавигационных измерений в совокупности с расчетами отклонений фактического пути от заданного. Доклады АЗН содержат и расчеты маневров ВС для устранения этих отклонений.
Как следствие, описания каждого структурного элемента системы и каждого ВС, сопровождаемые различными КП ПО АС УВД, не являются идентичными. С течением времени рассогласования становятся все существеннее, и риск потери целостности данных нарастает. Заметную роль в этой тенденции играют вводы диспетчеров, корректирующие информацию в БД. Каждый акт приема-передачи управления, смены позывного ВС, уточнения параметров движения, последовательно выполняемые различными диспетчерами, фиксируются в каждой копии как в компьютерах рабочих мест, так и в БД сервера системы. Моменты фиксации разнесены во времени и подчинены установленной в локальной сети дисциплине обмена и доступа. В таких условиях становятся вероятными различия не только в данных взаимодействующих функциональных КП, но и в их копиях на сервере и на рабочих местах.
Примеры последствий нарушения целостности компьютерных данных приведены на рис. 1 (двоение метки ВС на экране диспетчера при отсутствии в формуляре сопровождения измеренных значений скорости и высоты полета) и на рис. 2 (скопление в центре сектора непогашенных отображений по предыдущим запросам, наложенных друг на друга, не связанный с меткой формуляр сопровождения в левом нижнем углу, два формуляра без позывного ВС).
Рис. 1. Двоение метки ВС 1112 на экране
Рис. 2. Искажения картины воздушной обстановки
Традиционный путь преодоления нарушений целостности основан на организационных мероприятиях [1]. Неоднозначность копий приводит к выдаче на экран противоречивой информации, к ошибкам в расчетах и другим последствиям, совпадающим по характеру проявлений с результатами недостаточной отладки ПО. Так они и классифицируются, а нейтрализация рассогласования информационных копий производится, как правило, перезапуском ПО. Все копии формируются заново и становятся непротиворечивыми. Однако при этом теряется часть информации, которая вследствие недостаточной синхронизации привела к нарушению целостности.
Ниже рассматривается альтернативная схема согласования данных, сопровождаемых различными КП и рассредоточенных в копиях рабочих мест и сервера вычислительной сети. Логика ее работы состоит в том, чтобы в процессе нарастания отклонений не дожидаться момента потери целостности, приводящего к информационному отказу, но своевременно обнаруживать неизбежно возникающие отклонения и оперативно разрешать их. Для выполнения этой функции необходимо определить критерии обнаружения рассогласования данных и построить стратегию их применения, гарантирующую минимальные затраты вычислительных ресурсов при заданной вероятности поддержания достоверности информации.
1. Постановка задачи
Классифицируем причины рассогласования данных о ВС в описаниях различных КП:
• использование различных математических схем прокладки траектории ВС;
• нарушение синхронизации обновления копий в различных узлах сети;
• непредсказуемые искажения информации (сбои программ и аппаратуры).
Радикальным средством устранения причин первой группы явилось бы объединение описаний различных КП в одно, сопровождаемое совместно. Однако устранение избыточности этого типа лишь смещает проблему обеспечения достоверности в другую сферу. Опыт показывает, что несколько пользователей одной записи в процессе ее сопровождения вступают друг с другом в информационные конфликты как на общем поле памяти, так и по нарушению отношений предшествования. В результате объединения на первый план выдвигаются причины второй группы. В любом случае применение единой расчетной схемы предъявляет требования к выравниванию погрешности входной информации в процессе УВД. Сведения из планов полетов (например, курс движения в каждой точке траектории) должны использоваться на этапе экстраполяции радиолокационной траектории или расчета профиля полета на борту ВС, оснащенного аппаратурой АЗН. Пространственное положение и скорость движения наиболее точно вычисляются на бортах и должны служить эталоном для других элементов ПО. Например, КП обработки планов полетов может снизить по ним погрешность своей информации до необходимого для задач УВД уровня. К ряду проектируемых систем уже выдвинуто требование автоматической корректировки плановой информации по результатам радиолокационных измерений и спутниковой навигации.
Причины второй группы обусловлены стохастическим характером изменения информации о движущихся ВС. Корректировки копий, хранящихся на сервере, рассылаются по рабочим местам диспетчеров секторов, управляющих этими ВС. Отправленные сервером кодограммы достигают адресатов не одновременно. На этот нерегулярный поток накладывается встречный, складывающийся из реакций ПО на вводы функций с рабочих мест диспетчеров. С известной вероятностью встречные сообщения могут содержать противоречивую информацию о навигационных и других параметрах ВС. Такие ситуации должны анализироваться ПО, и результирующие изменения данных всех участников процесса взаимодействия должны фиксироваться одинаково. Для достижения однозначности организуются дисциплины квитирования обмена и выставления пауз выравнивания копий.
Нейтрализация причин третьей группы, в силу непредсказуемости искажения данных в результате их воздействия, основывается на статистическом наблюдении. Обнаружить нарушение информационной целостности можно таким простым способом, как последовательными вычислениями контрольных сумм значений всех полей записи об объекте и сопоставлениями со значениями, вычисленными в момент предыдущего включения процедуры. Эти же контрольные суммы используются для выравнивания содержимого копий, хранящихся на других рабочих местах сети. При каждом санкционированном изменении записи, суммы пересчитываются заново, и рассогласование данных обнаруживается только в случаях, если изменения вызваны нарушениями вычислительного процесса.
Сказанного достаточно, чтобы сформулировать задачу поддержания информационной целостности ПО АС УВД. Должна быть разработана трехступенчатая схема нейтрализации рассогласования информационных копий управляемых объектов, обеспечивающая:
• целостность описания навигационных параметров ВС в копиях взаимодействующих КП за счет ранжирования данных по приоритетности источника (первая ступень);
• синхронизацию санкционированных изменений данных во всех сопровождаемых копиях каждого описания ВС (в различных узлах локальной вычислительной сети и в различных КП) за счет квитирования обмена (вторая ступень);
• защиту данных от несанкционированного доступа и от непредсказуемых искажений вследствие аппаратных и программных сбоев в процессе обработки информации.
Упрощенная блок-схема процедуры поддержания целостности представлена на рис. 3. Первая ступень включается функциональными КП по событиям завершения обработки кодограмм,
поступивших от источников информации о движении ВС (плановые сообщения, доклады АЗН,
данные пеленгаторов и радаров), а также с рабочих мест. Рассчитанные разными КП текущие параметры движения сопоставляются и при необходимости выравниваются по данным приоритетного КП. Наименьшей погрешностью отличаются данные АЗН, наибольшей - телеграммы плановой подсистемы. Изменения фиксируются в кодограммах сетевого обмена и рассылаются для согласования копий. По каждому факту обмена выставляется пауза ожидания квитанции, подтверждающей прием кодограммы.
Вторая ступень тактируется прерываниями от таймера системы. При каждом подключении анализируется, поступила ли квитанция о завершении обмена. В случае успешного исхода выставленная пауза аннулируется. Если же по истечении паузы квитанция так и не по-
Третья ступень также включается периодически. По каждой записи о ВС формируются кодограммы, содержащие ключевые параметры (контрольные суммы полей записи) и значение момента времени последнего обновления соответствующей копии. Сформированные кодограммы рассылаются по сети и фиксируются в файле сопоставления. При обнаружении расхождения значений ключевых параметров, вычисленных в разных узлах сети, производится выравнивание информации. Приоритетной считается запись с более поздним временем обновления данных.
2. Формализация задачи
Модель процесса анализируется в векторном информационном пространстве БД. Каждая запись интерпретируется как вектор X, координаты которого х\, х2,..., х]-,..., х3, представляют собой численные значения длины пути доступа к записи по каждому из входящих в нее атрибутов, ] = 1, / - порядковый номер атрибута, / - количество атрибутов записей. Таких векторов, отображающих достижимость данных, насчитывается N по числу записей, хранящихся в системе. Эффективность управления характеризуется в каждый момент I длительностью доступа (длиной или временем прохождения пути поиска) к запрошенным записям. Количество / путей
доступа к любой записи, равное количеству атрибутов, определяет размерность вектора X N3 (^) состояния системы: Хш (^) = {хш(^),..., xNJ■ ^),..., хш (¿)|. Установив предельно допустимую
ступила отправителю, процедура повторяет рассылку.
длину Ь00 для любого пути доступа или задав последовательность {Ь0у} для каждого пути, мож-
XNJ ^) £1
но в качестве оценки состояния системы принять: шах--------< 1.
' Ьоу _
Если в некоторый дискретный момент значение хотя бы одной координаты XNj (ti) превысит соответствующий ей порог Ь0 у, то процесс управления данными требует оперативного вмешательства, восстанавливающего нарушенную меру состояния. При этом вмешательство (регулирование) можно осуществлять либо по событию ввода новой записи и установления путей доступа к составляющим ее атрибутам, либо периодической процедурой анализа текущих значений Ь0у. Первый способ экономичнее, второй более универсален и может применяться на всех трех ступенях поддержания целостности данных. Каждый акт регулирования состоит в перераспределении запросов очередей в ступенях процедуры, позволяющем не допускать превышения XNj ^) над Ь0у. Преобразование фрагментов очередей выполняется тем быстрее, чем
короче существующие пути доступа. Если наряду с последовательностью пороговых значений {Ь0у} задать последовательность критических уровней Ьс у, Ьсу < Ь0у, то профилактическое регулирование очереди следует производить уже при нарушении условия XNJ ^) < ЬС].
Обозначим затраты времени на оперативное вмешательство как Т0, на профилактическое -Тр (То > Тр), на вычисление длины пути доступа — То. Пуст ь за время t набл^эдения было выполнено оперативных и qp профилактических корректировок, а количество измерений длины
XNJ пути доступа составило qm (для стратегии периодического анализа очередей qm = t / Лt, Лt - период измерений длины). Тогда суммарные затраты времени Те на динамическую оптимизацию управления данными составят Те = qoTo + qpTp + qmTm . Если в дискретный момент времени
qm Дt хотя бы для одного у координата XNj (qm ■ & )> Ьсу, но для всех у соблюдается XNJ (qm ■ &)< Ь0у, то производится профилактическое регулирование у-го фрагмента очереди. Решение состоит в выборе либо шага Лt вычисления параметров XNj и значений Ьс у, либо разности пороговых значений ЛЬ = Ь0у — Ьсу, при которых средние (по интервалу наблюдения)
затраты Те времени будут минимальными, т.е. Те = ш|п {Те (Л^,Ьсу)} :
ТоЧо (t) + Tpqp ^) + Tmqm ^)
ТЕ= Те(Л~, 4,..., 4 ) = 1®Ш
I‘ t
Для отыскания оптимальной стратегии выбора Те введем допущения на параметры процессов наблюдения и измерений, процедур профилактического и оперативного регулирования, и покажем их справедливость в приложении к исследуемой модели. Отправным пунктом формализации становится аппроксимация дискретного описания области определения функции Те .
Нужно сопоставить каждой координате {Ху (^)} вектора X/ квазинепрерывный случайный процесс Ху (t) [2], сглаживающий измеренные значения по линейной схеме с учетом последовательного применения воздействий. Пусть х° (t0) = х® есть значениеу-й координаты до первой регулировки. Пусть, кроме того, первое вмешательство (оперативное или профилактическое) произведено в момент ql Дt. Обозначим через х1 (т) значение у-й координаты, достигнутое в результате первой корректировки для всех т < q2 • Лt, где q2 • Лt - момент второго регулирования (вообще qi • Лt - момент i-го регулирования) и т.д. Определим:
Первое ограничение на предлагаемую модель случайного процесса изменения векторов
усредняемой по времени при t ® ¥ , к выбору стратегии Те (усреднение по множеству £ ком-
т> 0 , имеет стационарные приращения, представимые эргодическими составляющими (процессами). В приложении к измерениям пути доступа к элементам очереди правомерность данного ограничения следует из анализа модели образования и удаления записей.
Второе ограничение говорит о свойстве ординарности процесса образования очереди. Вероятность одновременного нарушения (при Лt — 0) более чем одной меры ху ^) < Ьсу состояния пренебрежимо мала: Р {ху ^) < Ьс,, хк ^) < Ьск, х, (t + Лt) > Ьсу, хк ^ + Лt) > Ьск} — 0,
Лt——¥ I ^ ^ ^ ^ J
у Ф к; у, к =1, / . Заметим, что для описания модели поддержания целостности в векторном информационном пространстве данное ограничение несущественно, так как не затрагивает свойства эргодичности приращений процессов Ху (t). Однако без его введения возникают затруднения при расчете значений параметров q0(t), qp(t) и qm(t) для всех непериодических компонент затрат ресурсов времени на сопровождение данных.
Третье ограничение вводится как обоснование достаточности перехода от дискретной совокупности измеренных координат вектора XNj к квазинепрерывному описанию процесса наблюдений. Пусть на каждом шаге наблюдений {к -Л^ (к + 1)-Л^ каждый процесс Ху (t) с исчезающее малой ошибкой аппроксимируется сплайном третьего порядка, т. е. с привлечением соседних наблюдений (к — 1) •Лt, (к +1)^. Тогда, если результаты измерений s-й компоненты ресурса времени (вычисление пути доступа, сопоставление ключевых параметров) представимы как совокупность DXs ={Ху (к•Лt);к = 0,1,...;у = 1,3;э = 1,£}, то после сглаживания сплайнами
они преобразуются к виду: Dxэ = {Ху (т); у = 1,3; э = 1, , где Хр (т) - значения процесса Ху (т)
для s-й компоненты затрат ресурсов системы.
Четвертое ограничение обосновывает правомерность автономного рассмотрения £ компонент ресурсов времени, затрачиваемого на измерение координат ху- ^) процесса управления
данными. Пусть как измеренные DXs, так и сглаженные Dxs данные, независимо от э, распределены одинаково и при любом э Ф к; к, э = 1, £ не коррелированны друг с другом. В приложении к вычислению длины путей доступа и сопоставлению ключевых параметров справедливость ограничения очевидна: первое отображает процесс образования и удаления записей, второе - воздействие на информацию потока сбоев и отказов.
Пятое ограничение - отсутствие последействия - говорит о том, что регулирование координат процесса не сказывается на природе их дальнейшего изменения. Правомерность допущения нетрудно показать, так как интенсивности поступления записей или потока событий искажения их содержимого определяются внешними причинами. Тем не менее, введение последних допущений, в силу их очевидности, позволяет строго утверждать, что наблюдаемые фрагменты
вводится для обоснования допустимости использования оценочной функции,
понент затрат ресурсов |Т^}). Пусть векторный процесс
х'у ■At) и результаты их аппроксимации процессами X (у) имеют идентичные распределе-
ния. Это означает, что оптимальность выбранной стратегии становится инвариантной относительно количества произведенных вмешательств.
При введенных допущениях результаты Т регулирования, полученные при оптимальном
*
(без учета регулирующих воздействий) значении Ах (или АЬС), можно пересчитывать в Тъ
С
* *
полученные при новых значениях параметров Ах (АЬС ) и других критических уровнях
С
(
ЬСу , 7 = 1, У . При этом отыскивается Т^ (Х) = Т^0 (Х) + Т^р (Х) + Ттцт (Х) (для регулярных компо-
* *
нент qm = ts / Ах , где ts - время наблюдения за s-й компонентой затрат ресурсов системы). В силу эргодичности приращений найденные значения можно усреднить по £ компонентам
, ---ч * 1 ~ 1 ~
(s =1 °): Г2(0 = - 2 Ть (0. Если Т^) < Т (0 = - 2 ТSs (t), то новая стратегия
О s=1 0 s=1
* * * \
Ах ,Ь с1,...,Ь ■ ) лучше исходной по критерию суммарных затрат времени на процедуры управления данными, независимо от количества произведенных вмешательств.
3. Коэффициенты оптимальной стратегии
Полученный результат позволяет не только выбрать оптимальную последовательность вмешательств, но и реализовать ее в виде несложных алгоритмических процедур. Необходимые расчетные соотношения ограничены следующим списком.
Затраты Т0 на оперативное вмешательство, т.е. на полное преобразование всех очередей у у у у у Ар
обмена: Т0 = 2То =21,-Жо = 1,2 = („2(2Ь+3М) = 3М„ + 2(„210 7 ,
7=1 7=1 7=1 7=1 ,=1
где Х, - время исполнения операции на ЭВМ; Ж - количество операций, необходимых для реализации 7-й ступени поддержания целостности; Аpj - десятичный диапазон представления (разрядность) у-го атрибута; N - количество записей, У - атрибутов БД. Приведенная оценка является верхней. Необходимое количество Ь дискретов индекса поиска элементов очереди обычно
бывает меньше 10Ар. Например, для представления суточного интервала изменения атрибута достаточно двадцати четырех часовых дискретов и (Ь=24) < 102, хотя Ар = 2.
Затраты Тр времени на профилактическое регулирование, т.е. на преобразование одного7-го
( Ар Л
фрагмента очереди: Тр = X
2-10 7 + 3N
V У
Затраты Тт времени на вычисление длины пути доступа к записи при введенных допущениях, позволяющих рассматривать процесс их образования и удаления как эрланговский, опреде-
У
ляются выражением: Тт = 2(1 + $= (1 + $)- р^,-У, где Т- среднее время пребыва-
7 =1
ния записи в системе, X - интенсивность потока вводов записей в систему, р = Х Т - загрузка системы сохраняемыми записями, $- коэффициент вариации, равный отношению среднеквадратического отклонения а времени «жизни» записи к его среднему значению.
Вероятность qp профилактического вмешательства при введенных допущениях определяется произведением р интенсивности Х поступления записей в систему на среднее значение Т времени их пребывания в ней и установленным критическим уровнем Ь . пути доступа к записям,
У ь°]
усредненным по всем У атрибутам: qp = — 2 Р—(Ь Р). Аналогично, вероятность qо опера-
У 7=1 1 -рС
тивного вмешательства при введенных допущениях определяется произведением р интенсивности Х поступления записей в систему на среднее значение Т времени их пребывания в ней и установленным пороговым уровнем Ь07 пути доступа к записям, усредненным по всем У атрибут ь ■
1 у Г0 (1-Р) Н й
там: qo = — 2 ------Ь +1 . Наконец, частота qm вычислений длины пути доступа к записи по
У7=1 1 -р 07
каждому атрибуту совпадает с интенсивностью Х потока поступления записей в систему. В случае использования дисциплины периодических проверок qm = ( / Ах , где ( - интервал наблюдения, Ах - выбранное значение шага вычислений.
4. Заключение
Рассмотрена схема согласования данных, сопровождаемых различными КП и рассредоточенных в копиях рабочих мест и сервера вычислительной сети. Логика ее работы состоит в том, чтобы в процессе нарастания отклонений не дожидаться момента потери целостности, приводящего к информационному отказу, но своевременно обнаруживать и оперативно разрешать их. Для выполнения этой функции определены критерии обнаружения рассогласования данных и построена стратегия, гарантирующая минимальные затраты вычислительных ресурсов при заданной вероятности поддержания достоверности информации
ЛИТЕРАТУРА
1. Амато В. Основы организации сетей ^со.: пер. с англ. М.: - ИД «Вильямс», 2004.
2. Барзилович Е.Ю. и др. Метод предупреждения отказов в сложных авиационных радиоэлектронных системах. // Научный Вестник МГТУ ГА, серия Эксплуатация воздушного транспорта и ремонт авиационной техники. Безопасность полетов, № 63, 2003, с. 13-20.
TECHNOLOGY FOR NEUTRALIZING ACCELERATING INFORMATION DISTORTIONS
Perebeynos S.A., Chernikova M.A.
A redundant dimensioning that is rational is essential for an information system in order to maintain its integrity. However, at the same time it increases the risk for data mismatch during the computation process. The article offers a Technology for Neutralizing Accelerating Information Distortions that is based on data autosurveillance and regulation. The optimal strategy is put forward that provides minimal resource expenditure at any given probability of maintaining accuracy.
Сведения об авторах
Перебейнос Сергей Александрович, 1985 г.р., окончил МГТУ ГА (2007), аспирант МГТУ ГА, автор 3 научных работ, область научных интересов - программное обеспечение планирования полетов воздушных судов.
Черникова Марина Александровна, окончила МГТУ ГА (2004), аспирант кафедры ВМКСС МГТУ ГА, автор 17 научных работ, область научных интересов - программное обеспечение планирования полетов воздушных судов.