21
3 Algoritmo di monitoring
3.1 Affidabilità
L’affidabilità è la probabilità che un qualsiasi dispositivo, sia esso un sistema o un componente, funzioni correttamente per un dato tempo e in certe condizioni operative. Il problema dell’affidabilità è stato affrontato seguendo diverse filosofie di progetto, assecondando il rapido sviluppo delle tecnologie informatiche e il loro sistematico uso nella fase di progettazione. In passato, l’unica attività affidabilistica era basata sull’osservazione del comportamento del velivolo durante la vita operativa, programma “Fly and Fix”. Successivamente si passò alle attività di sperimentazione prima dell’entrata in servizio “Test, Fly and Fix”, programma ancora usato nel campo industriale per sistemi con livelli di affidabilità non molto spinti. Fino ad arrivare a metodologie “Analyze, Test and Fix” dove la maggior parte delle modifiche vengono apportate in sede di progetto mediante un’attività di analisi statistica, parallela alla progettazione stessa, finalizzata ad eliminare potenziali inconvenienti prima di dover intervenire sul prodotto finito. Attualmente viene seguita la filosofia “Simulate and Fix”, basata sulla possibilità di sfruttare software di simulazione che permettono di testare il funzionamento del sistema e di ridurre notevolmente i costi riguardanti la produzione di componenti da testare fisicamente e le campagne di sperimentazione. Naturalmente l’attività di osservazione della vita operativa del velivolo è sempre un passaggio fondamentale perchè nelle condizioni reali si presentano situazioni che difficilmente possono essere riprodotte con i modelli matematici di simulazione [4].
22
3.2 Tolleranza ai guasti
Nei velivoli moderni è fondamentale riuscire a garantire l’operatività anche in presenza di guasti. E’ dunque necessario porre l’attenzione sull’affidabilità di tale sistema e su come migliorarla. La tolleranza ai guasti, fault tolerance, è la capacità di un sistema di non subire fallimenti (interruzioni di servizio) anche in presenza di guasti. È importante notare che la tolleranza ai guasti non garantisce l'immunità da tutti i guasti, ma solo per i guasti per cui è stata progettata. La tolleranza ai guasti può portare al peggioramento di altre prestazioni per cui nella progettazione di un sistema è necessario trovare adeguate ottimizzazioni e compromessi. Uno dei metodi più diffusi per aumentare il livello di affidabilità di un sistema è il ricorso alla ridondanza dei componenti che consiste nell’aggiungere più componenti dello stesso tipo per svolgere la medesima funzione, in modo che l’eventuale avaria di uno sia compensata dagli altri. I sistemi a molteplice ridondanza sono definiti Fail Operative, in quanto riescono a tollerare un certo numero di guasti prima che ne sia compromessa la funzionalità. Se il sistema può tollerare un solo guasto è definito 1-Fail Operative (1-FO), se può tollerarne due, allora è 2-Fail Operative (2-FO) e n-Fail Operative (n-FO) un sistema che è in grado di continuare a svolgere le sue funzioni a seguito di n guasti. Per garantire i requisiti imposti dalle normative, le tipiche architetture dei moderni velivoli da trasporto civile prevedono generalmente una triplice ridondanza idraulica e una quadruplice ridondanza elettrica, mentre nei velivoli militari si usa spesso una duplice ridondanza idraulica e una quadruplice ridondanza elettrica.
Nei sistemi n-FO è prevista la possibilità di operare in modalità Fail-Safe: al presentarsi dell’avaria il sotto-sistema che non è più operativo viene isolato mantenendo un livello minimo di affidabilità necessario al completamento della missione; un’ulteriore failure provocherebbe il guasto di sistema [4].
23
3.3 Algoritmi di monitoring
I controlli dei sistemi a molteplice ridondanza devono fare in modo che un eventuale guasto possa essere individuato, isolato e compensato. I Flight Control Computers (FCC) svolgono queste tre attività fondamentali attraverso algoritmi di monitoraggio (monitoring) dei segnali elettrici provenienti dai sensori. Gli FCC sono stati introdotti in combinazione con avanzate teorie di controllo dei sistemi per cercare di risolvere il problema della stabilità del velivolo e della sicurezza nel volo. Permettono di adottare una ridondanza ottimale per l’applicazione che si vuol realizzare garantendo il requisito di affidabilità (n-FO) richiesto con il minimo numero di componenti ridondanti.
Il monitoraggio avviene attraverso due metodi principali: in-lane monitoring e cross-lane monitoring. Entrambi si basano sull’ipotesi che si verifichi un guasto alla volta. Se il sistema deve soddisfare il requisito 2-FO, l’in-lane monitoring è il tipo di monitoraggio in cui i segnali vengono controllati direttamente uno per uno; di conseguenza la minima ridondanza necessaria per il requisito è triplice. I segnali provenienti dalle linee A, B, C entrano nel monitor, che ne rileva il funzionamento o l’eventuale avaria. La riconfigurazione del sistema ha luogo attraverso la compensazione dell’avaria: i segnali che hanno superato i test del monitor sono quelli deputati a continuare a svolgere i compiti del sistema, ridistribuendosi tra di loro quelle funzioni che inizialmente dovevano svolgere tutte le linee insieme. Il monitoraggio di tipo cross-lane è un processo di confronto tra i vari segnali che necessita, per il requisito 2-FO, di una quadruplice ridondanza. Il monitor acquisisce i quattro ingressi A, B, C, D sui quali calcola il valore di riferimento R. Se una linea si discosta dal riferimento per una quantità superiore ad una certa soglia T, allora tale ingresso viene dichiarato guasto e isolato. Per quanto riguarda la possibilità che si verifichino modalità comuni di guasto, cioè che componenti uguali subiscano la stessa avaria, questa può essere controllata utilizzando componenti dissimilari [4].
24
3.4 Algoritmo non convenzionale
La metodologia scelta per l’algoritmo di monitoring della sonda non è di tipo convenzionale e si ispira a quanto esposto in [2], dove viene illustrato un sistema di tipo FADS con un gran numero di prese di pressione. Ne vengono prese 4 come esempio. Di queste vengono considerate tutte le possibili combinazioni in modulo delle differenze di
pressione nella forma ∆pij = pi – pj con i ≠ j (nel caso di 4 misure si hanno 6 possibili
differenze di pressione). Le differenze vengono quindi confrontate con un valore di soglia εij. |∆p12| = |p1 – p2| < ε12 |∆p13|= |p1 – p3| < ε13 |∆p14|= |p1 – p4| < ε14 |∆p23| = |p2 – p3| < ε23 |∆p24|= |p2 – p4| < ε24 |∆p34|= |p3 – p4| < ε34
Tab. 3.1 Confronti di differenze semplici di pressione
A questo punto è introdotto il vettore d’errore: un vettore costituito da valori booleani, dove 0 significa che la corrispondente disuguaglianza tra quelle sopra riportate è verificata, mentre 1 il contrario. Per renderne più chiaro il funzionamento si
propone un esempio. Se la misura di pressione p2 fosse in avaria, una corretta scelta dei
valori εij darebbe i seguenti risultati:
Confronti Valore booleano del vettore d’errore
|∆p12| = |p1 – p2| > ε12 1 |∆p13|= |p1 – p3| < ε13 0 |∆p14|= |p1 – p4| < ε14 0 |∆p23| = |p2 – p3| > ε23 1 |∆p24|= |p2 – p4| > ε24 1 |∆p34|= |p3 – p4| < ε34 0
25 Tale risultato è associato ad un vettore d’errore [1 0 0 1 1 0], cioè, il vettore che identifica un’avaria al sensore 2. In modo analogo è possibile identificare i seguenti vettori d’errore:
[0 0 0 0 0 0] indica che nessun sensore è in avaria; [1 1 1 0 0 0] indica che il sensore 1 è in avaria; [1 0 0 1 1 0] indica che il sensore 2 è in avaria; [0 1 0 1 0 1] indica che il sensore 3 è in avaria; [0 0 1 0 1 1] indica che il sensore 4 è in avaria.
In [1] questa metodologia viene ulteriormente sviluppata proponendo delle
doppie differenze di pressione nella forma ∆pijkl = (pi – pj) – (pk – pl) che vengono
confrontate con un altro valore di riferimento εijkl. Dalle 6 differenze di pressione
semplici si possono ottenere 36 doppie differenze.
In questa tesi è stato effettuato uno studio della tecnica proposta in [2]. Sono state prese in esame cinque prese di pressione sull’arco longitudinale della sonda (0, 3, 4, 17, 18, visibili in figura 3.1) di cui, grazie all’analisi CFD compiuta in lavori precedenti [3], si conoscono i valori di pressione in tutto l’inviluppo di volo.
Fig. 3.1 Vista della calotta frontale con in evidenza i punti di controllo su cui è stato
26 Sostituendo i valori di pressione del database nelle espressioni delle differenze semplici e doppie sono stati trovati i valori di riferimento ε (ogni differenza possiede la sua ε specifica), notando la forte dipendenze di questi da α, β, V. La dipendenza media su tutto l’inviluppo di volo è però più marcata sulle misure di pressione che sulle differenze di pressione semplici e su quest’ultime rispetto alle differenze di pressione doppie. In figura 3.2 viene mostrato il rapporto percentuale tra le medie dei gradienti
delle differenze doppie, semplici e le misure di pressione. Per coprire l’intero inviluppo di volo l’intervallo di α, [-5, +15] gradi, è stato suddiviso in 5 punti di controllo con un intervallo di 5 gradi, quello di β, [-15, +15] gradi, è stato suddiviso in 7 punti di controllo con un intervallo di 5 gradi e quello di V, [20, 70] m/s, in 11 punti con un intervallo di 5 m/s. I gradienti sono stati calcolati tra questi 380 punti.
Fig. 3.2 Proporzione tra le medie dei gradienti delle differenze doppie, semplici e le misure di pressione su tutto l’inviluppo di volo (α, β, V)
Tutto ciò significa che al variare di α, β e V le variazioni delle differenze di pressione doppie saranno inferiori a quelle delle differenze semplici che a loro volta
27 saranno inferiori a quelle dei valori di pressione. Per tener conto degli errori di calcolo su α, β e V, l’intervallo di riferimento è stato ampliato al fine di evitare il rilevamento di avarie inesistenti. A causa della dipendenza inferiore delle differenze doppie ai parametri di volo, il loro intervallo di riferimento sarà inferiore a quello delle differenze semplici.
Da 5 prese di pressione si ottengono 10 differenze di pressione semplici (e non 20 perché si ha: |∆p12| = |p1 – p2| = |∆p21|= |p2 – p1| ) e 45 differenze doppie di pressione.
Analizzando i risultati, sia esatti sia introducendo in maniera sistematica degli valori di pressione errati, sono emersi dei difetti che hanno permesso la scelta delle doppie differenze: problemi di ripetizione e problemi con i valori assoluti. I problemi di ripetizione sono delle avarie non segnalate per quel sensore che si ripete. Facendo un esempio: si prenda ∆p1224 = (p1 – p2) – (p2 – p4), poiché può essere scritto come ∆p1224 =
(p1 – p2) – (p2 – p4) = (p1 – p4) è possibile perdere l’informazione su p2 che nel caso sia
in avaria non viene indicata. La soluzione alla questione sta nel non utilizzare le doppie differenze di pressione di questo tipo. I problemi con i valori assoluti sono legati al fatto che un sensore in avaria può indicare un qualsiasi valore erroneo di pressione. Nella simulazione degli errori questi sono stati dati sia in modalità “step”, moltiplicando la pressione esatta per un coefficiente che andava da 0.00 a 0.95 e da 1.05 a 2.00 con degli intervalli di 0.05 (questo per ognuno dei 5 sensori preso singolarmente) sia casuale, moltiplicando la pressione esatta per un coefficiente che assumeva un valore casuale da 0.90 a 0.99 e da 1.01 a 1.10. Si sono verificate delle avarie non segnalate. Facendo un esempio: si prenda ∆p1234 = (p1 – p2) – (p3 – p4). Per fare il confronto con l’intervallo si
utilizza il valore assoluto: |∆p1234|=||p1 – p2|–|p3 – p4||. Se p1 = 200, p2 = 180, p3 = 220, p4
= 250 (i valori sono verosimili ma non sono effettivamente provenienti dal database) si
troverà | ∆p1234 |=| |200– 180|–|220– 250| | = | 20 – 30 | = 10. Se dovesse verificarsi
un’avaria a p2 tale che il sensore indichi una pressione del 122% rispetto a quella reale
allora p2 = 180*122% = 220 che significa |∆p1234|=| |200– 220|–|220– 250| | = | 20 – 30
| = 10. In questo modo anche se l’avaria si è verificata non viene rilevata. Per eliminare il problema si è passato ad utilizzare le differenze di pressione con segno estendendo il numero dei possibili casi: da 5 misure di pressione si ottengono 20 differenze semplici di pressione (∆p12 = p1 – p2 e ∆p21 = p2 – p1 vengono considerate distinte perché hanno
segno opposto) e 380 differenze doppie di pressione (se ne ottengono 400 ma ∆pijij = (pi
– pj) – (pi – pj) = 0 vengono escluse a priori). Di queste 380 solo 120 sono senza
28 Le 5 differenze doppie di pressione, indicate nella tabella seguente, sono state scelte tra le 120 rimanenti perché in grado di rilevare l’avaria in tutte le condizioni d’errore sperimentate. Differenza doppia ∆p2345 = (p2 – p3) – (p4 – p5) ∆p1345 = (p1 – p3) – (p4 – p5) ∆p1254 = (p1 – p2) – (p5 – p4) ∆p1224 = (p1 – p2) – (p2 – p4) ∆p1224 = (p1 – p2) – (p2 – p4)
Tab. 3.3 Differenze doppie di pressione scelte per i confronti
Le 5 differenze doppie di pressione sono indipendenti dalle misure di pressione e sono utilizzabili con ogni gruppo di 5 misure. Nell’algoritmo di monitoring, infatti, il confronto avviene sempre mediante queste differenze cambiando le misure di pressione in base alla rete a cui sono destinate.
Il vettore degli errori assume i valori in colonna mostrati in tabella:
Confronto Avaria in p1 Avaria in p2 Avaria in p3 Avaria in p4 Avaria in p5 |∆p2345|= |(p2 – p3) – (p4 – p5)| < ε2345 0 1 1 1 1 |∆p1345|= |(p1 – p3) – (p4 – p5)| < ε1345 1 0 1 1 1 |∆p1254|= |(p1 – p2) – (p5 – p4)| < ε1254 1 1 0 1 1 |∆p1352|= |(p1 – p3) – (p5 – p2)| < ε1352 1 1 1 0 1 |∆p1342|= |(p1 – p3) – (p4 – p2)| < ε1342 1 1 1 1 0
Tab. 3.4 Vettori d’errore identificativi delle 5 possibili avarie
Le doppie differenze di pressione sono in grado di identificare la prima avaria, ma non la seconda (nel caso di due avarie il vettore degli errori è [1 1 1 1 1]). Per monitorare il sistema in presenza di un’avaria e individuarne un’eventuale seconda si sfruttano le differenze semplici.
29 Sono state scelte le prime dieci:
Differenza semplice ∆p12 = (p1 – p2) ∆p13 = (p1 – p3) ∆p14 = (p1 – p4) ∆p15 = (p1 – p5) ∆p23 = (p2 – p3) ∆p24 = (p2 – p4) ∆p25 = (p2 – p5) ∆p34 = (p3 – p4) ∆p35 = (p3 – p5) ∆p45 = (p4 – p5)
Tab. 3.5 Differenze semplici di pressione scelte per i confronti
Il vettore degli errori assume i valori in colonna mostrati in tabella:
Confronto Avaria in p1 Avaria in p2 Avaria in p3 Avaria in p4 Avaria in p5 |∆p12|= |(p1 – p2)| < ε12 1 1 0 0 0 |∆p13|= |(p1 – p3)| < ε13 1 0 1 0 0 |∆p14|= |(p1 – p4)| < ε14 1 0 0 1 0 |∆p15|= |(p1 – p5)| < ε15 1 0 0 0 1 |∆p23|= |(p2 – p3)| < ε23 0 1 1 0 0 |∆p24|= |(p2 – p4)| < ε24 0 1 0 1 0 |∆p25|= |(p2 – p5)| < ε25 0 1 0 0 1 |∆p34|= |(p3 – p4)| < ε34 0 0 1 1 0 |∆p35|= |(p3 – p5)| < ε35 0 0 1 0 1 |∆p45|= |(p4 – p5)| < ε45 0 0 0 1 1
30 Per i confronti delle differenze semplici con gli intervalli di riferimento è stato elaborato un sistema che utilizza 4 misure di pressione. Al verificarsi di un’avaria, questa viene individuata dal controllo a differenze doppie. Per effettuare il controllo a differenze semplici, si elimina, nella tabella 3.4, la colonna del sensore in failure e, sempre in base all’avaria individuata, si scelgono le differenze semplici di pressione. Si ottengono così le successive tabelle in cui i vettori d’errore, che identificano l’avaria tra le possibili rimanenti, sono gli stessi:
Con p1 in avaria:
Confronto Avaria in p2 Avaria in p3 Avaria in p4 Avaria in p5
|∆p23|= |(p2 – p3)| < ε23 1 1 0 0 |∆p24|= |(p2 – p4)| < ε24 1 0 1 0 |∆p25|= |(p2 – p5)| < ε25 1 0 0 1 |∆p34|= |(p3 – p4)| < ε34 0 1 1 0 |∆p35|= |(p3 – p5)| < ε35 0 1 0 1 |∆p45|= |(p4 – p5)| < ε45 0 0 1 1
Tab. 3.7 Vettori d’errore identificativi nel caso di p1 in avaria
Con p2 in avaria:
Confronto Avaria in p1 Avaria in p3 Avaria in p4 Avaria in p5
|∆p13|= |(p1 – p3)| < ε13 1 1 0 0 |∆p14|= |(p1 – p4)| < ε14 1 0 1 0 |∆p15|= |(p1 – p5)| < ε15 1 0 0 1 |∆p34|= |(p3 – p4)| < ε34 0 1 1 0 |∆p35|= |(p3 – p5)| < ε35 0 1 0 1 |∆p45|= |(p4 – p5)| < ε45 0 0 1 1
Tab. 3.8 Vettori d’errore identificativi nel caso di p2 in avaria
Con p3 in avaria:
Confronto Avaria in p1 Avaria in p2 Avaria in p4 Avaria in p5
|∆p12|= |(p1 – p2)| < ε12 1 1 0 0
31
|∆p15|= |(p1 – p5)| < ε15 1 0 0 1
|∆p24|= |(p2 – p4)| < ε24 0 1 1 0
|∆p25|= |(p2 – p5)| < ε25 0 1 0 1
|∆p45|= |(p4 – p5)| < ε45 0 0 1 1
Tab. 3.9 Vettori d’errore identificativi nel caso di p3 in avaria
Con p4 in avaria:
Confronto Avaria in p1 Avaria in p2 Avaria in p3 Avaria in p5
|∆p12|= |(p1 – p2)| < ε12 1 1 0 0 |∆p13|= |(p1 – p3)| < ε13 1 0 1 0 |∆p15|= |(p1 – p5)| < ε15 1 0 0 1 |∆p23|= |(p2 – p3)| < ε23 0 1 1 0 |∆p25|= |(p2 – p5)| < ε25 0 1 0 1 |∆p35|= |(p3 – p5)| < ε35 0 0 1 1
Tab. 3.10 Vettori d’errore identificativi nel caso di p4 in avaria
Con p5 in avaria:
Confronto Avaria in p1 Avaria in p2 Avaria in p3 Avaria in p4
|∆p12|= |(p1 – p2)| < ε12 1 1 0 0 |∆p13|= |(p1 – p3)| < ε13 1 0 1 0 |∆p14|= |(p1 – p4)| < ε14 1 0 0 1 |∆p23|= |(p2 – p3)| < ε23 0 1 1 0 |∆p24|= |(p2 – p4)| < ε24 0 1 0 1 |∆p34|= |(p3 – p4)| < ε34 0 0 1 1
Tab. 311 Vettori d’errore identificativi nel caso di p5 in avaria
Le ε delle differenze di pressione semplici e doppie sono fornite da Look-Up-Table tridimensionali in α, β, V. Vengono calcolate a partire da un valore di riferimento aggiungendo e sottraendo a questo una percentuale.
32 La percentuale che definisce l’intervallo di riferimento è impostata a ±5% sia per le doppie differenze di pressione che per le differenze semplici e dipende da:
• l’accuratezza dei valori contenuti nelle look-up-table; • la turbolenza;
• l’accuratezza con cui si vuole rilevare l’avaria: se non si considera in avaria un valore di pressione con una piccola percentuale in più rispetto al valore atteso non è utile fissare degli intervalli di riferimento troppo stretti;
• il campionamento delle pressioni: minore è l’intervallo tra un campionamento e l’altro e più simili saranno α, β, V del ciclo precedente a quelle del ciclo successivo.
3.5 Descrizione dell’algoritmo di monitoring
L’algoritmo di monitoring ha in ingresso le 21 misure delle pressioni correnti (di cui 13 verranno sono destinate all’algoritmo di calcolo e 8 al calcolo della misura centrale alternativa), i valori di riferimento dipendenti da (α, β, V) calcolati al passo precedente, i 3 vettori di status calcolati al passo precedente e in uscita i 3 vettori di status correnti.
Vettore di status:
k0 indica quale caso utilizzare tra quelli illustrati nel paragrafo 4.2.1 se
la misura di pressione 0 è in avaria;
k1 indica quanti e quali sensori sono in avaria;
k2 indica quale architettura di calcolo deve essere utilizzata.
Tab. 3.12 Descrizione dei vettori di status k0, k1, k2
Il funzionamento dell’algoritmo di monitoring è illustrato nella figura 3.3 della prossima pagina.
33
