Способ определения аномалии в киберфизической системе Российский патент 2023 года по МПК G06F21/50 

Описание патента на изобретение RU2790331C1

Область техники

Изобретение относится к области промышленной безопасности, а более конкретно к способам определения аномалий в киберфизической системе.

Уровень техники

Одной из актуальных проблем промышленной безопасности является проблема безопасного функционирования технологических процессов (ТП). К основным угрозам для ТП можно отнести износ и отказ оборудования и агрегатов, непреднамеренные ошибки или злонамеренные действия в операционном управлении, компьютерные атаки на системы управления и информационную систему (ИС) и другие.

Для противодействия упомянутым угрозам традиционно используются системы безопасности киберфизических систем (КФС), к которым можно отнести системы противоаварийной защиты (ПАЗ), системы обнаружения аномалий на базе автоматизированной системы управления технологическим процессом (АСУ ТП) и специально выстроенные «внешние» системы мониторинга того или иного оборудования и агрегатов, при этом такие «внешние» системы, как правило, не интегрированы с АСУ ТП. Следует отметить, что вышеуказанные «внешние» системы в силу тех или иных особенностей КФС и ТП, протекающих в них, могут быть развернуты далеко не всегда. Однако даже в случае, если такая установка возможна, ее развертывание проводится лишь на критически важных узлах и агрегатах предприятия по причине дороговизны и сложности в обслуживании таких систем.

В отличие от «внешних» систем, система ПАЗ, напротив, выстраивается при проектировании предприятия, затем интегрируется с системой АСУ ТП и служит для предотвращения развития заранее известных аварийных процессов. Очевидным достоинством системы ПАЗ является ее простота, ориентированность на производственные процессы конкретного предприятия и учет всех конструкционных и технологических решений, используемых на этом предприятии. К недостаткам системы ПАЗ можно отнести достаточную инертность принятия решений в системе и присутствие человеческого фактора в принятии таких решений. Кроме того, ПАЗ функционирует в предположении корректного функционировании контрольно-измерительных приборов (КИП). Обеспечить выполнение безотказного функционирования КИП в полном объеме на практике не представляется возможным, поскольку КИП периодически выходят из строя, имеют тенденцию к временным сбоям, а дублирование всех КИП крайне затратное и не всегда технически возможно.

Системы обнаружения аномалий на базе телеметрии АСУ ТП в силу полноты таких данных располагают возможностями одновременно «видеть» все ТП предприятия, взаимодействия различных ТП предприятия между собой, что позволяет даже при наличии отказов КИП уверенно детектировать аномалии. Богатство данных, представленных в АСУ ТП, позволяет проводить мониторинг всего предприятия — как физических (химических или других) процессов предприятия, так и корректности работы всех систем контроля этих процессов, включая корректность действий операторов производства. Применение в таких системах методов машинного обучения позволяет строить высокоэффективные статистические модели корректной работы предприятия с огромным числом анализируемых параметров, что позволяет находить даже незначительные отклонения в работе оборудования, причем уже на ранней стадии развития аномалии (см. патенты RU2724716, RU2724075, RU2749252). Специальная архитектура и интерфейс таких систем позволяет им работать параллельно с системой АСУ ТП, не используя ее ресурсы, находить аномалии (англ. fault detection — обнаружение неисправности), отображать и локализовать (англ. fault isolation — локализация отказов) найденные аномалии, а также информировать операторов производства о найденных аномалиях с указанием тех или иных технологических параметров, по которым данная аномалия была определена.

Однако существующие системы определения и локализации аномалий по данным телеметрии АСУ ТП оперируют лишь данными, циркулирующими в конкретной АСУ ТП и включающими данные КИП, данные систем управления, данные команд актуаторов и другие, при этом не рассматривают производные от таких данных, а именно некоторые функции от таких данных и их комбинаций, их оконные усреднения, скользящие статистические характеристики и интегральные преобразования и так далее. В дальнейшем такие производные данные будут называться искусственными данными в отличии от реальных данных, собранных непосредственно с систем АСУ ТП. В то же время именно такие искусственные данные зачастую несут гораздо больше полезной информации о состоянии того или иного агрегата или оборудования предприятия, чем исходные данные. Например, хорошо известно, что данные КИП, как правило, зашумлены, и анализ таких данных на предмет наличия аномалий должен проводиться от некоторых сглаженных значений (чтобы нивелировать вклад шума), а не от мгновенных. Еще одним примером может служить КФС, содержащая датчики виброперемещения и виброускорения, в которой анализ данных с датчиков традиционно включает использование оконного преобразования Фурье с последующим поиском паразитных колебательных мод. Более общим примером могут служить те КФС, где технологами производства или нормативными актами вводится целый перечень диагностических правил для расчета искусственных, напрямую не измеряемых величин, которые подлежат контролю и анализу.

Таким образом, возникает техническая проблема, состоящая в создании системы определения аномалий в КФС, оперирующей, в дополнении к параметрам КФС, также и данными производных от них вспомогательных параметров КФС.

Раскрытие сущности изобретения

Технический результат заключается в повышении точности обнаружения аномалий в КФС.

Согласно варианту реализации используется реализуемый компьютером способ определения аномалии в киберфизической системе (КФС), в котором: формируют по меньшей мере одно диагностическое правило, предназначенное для вычисления по меньшей мере одного вспомогательного параметра КФС, путем задания: набора параметров КФС, используемых в диагностическом правиле; способа вычисления значений по меньшей мере одного вспомогательного параметра КФС по данным значений набора параметров КФС; по меньшей мере одного входного окна — интервала времени для значений набора параметров КФС, а также выходного окна — интервала времени для вычисления значений вспомогательного параметра КФС; вычисляют значения по меньшей мере одного вспомогательного параметра КФС за выходное окно используя значения набора параметров КФС за входное окно в соответствии со сформированным диагностическим правилом; определяют аномалию в КФС на основании значений всех параметров КФС.

Согласно одному из частных вариантов реализации задают по меньшей мере один из следующих способов вычисления значений вспомогательных параметров КФС: по предварительно заданной формуле от значений набора параметров КФС; путем сглаживания значений набора параметров КФС; путем вычисления долгосрочных трендов от значений набора параметров КФС, полиномиальных и других аппроксимаций значений набора параметров КФС, статистических оконных моментов набора параметров КФС; используют предварительно обученную нейросетевую модель машинного обучения для вычисления значений вспомогательных параметров КФС, где входными данными упомянутой модели машинного обучения являются значения набора параметров КФС.

Согласно другому частному варианту реализации значения параметров КФС включают по меньшей мере одно из следующих значений: измерение датчика; значение управляемого параметра исполнительного механизма; уставку исполнительного механизма; значения входных сигналов пропорционально-интегрально-дифференцирующего регулятора (ПИД-регулятора); значение выходного сигнала ПИД-регулятора.

Согласно еще одному частному варианту реализации используют рекурсивные диагностические правила, которые в качестве входного параметра КФС используют по меньшей мере один ранее вычисленный вспомогательный параметр КФС.

Согласно одному из частных вариантов реализации все параметры КФС, как и их значения, являются совокупностью по меньшей мере одного подмножества параметров КФС и их значений.

Согласно другому частному варианту реализации определяют аномалию в КФС по меньшей мере одним из представленных ниже способов, при этом каждый способ в качестве входных данных получает значения параметров по меньшей мере одного подмножества параметров КФС: в случае превышения общей ошибкой прогноза порогового значения, при этом предварительно выполняют прогнозирование значений подмножества параметров КФС и последующее определение общей ошибки прогноза для подмножества параметров КФС; путем применения обученной базовой модели машинного обучения по значениям подмножества параметров КФС; при выполнении правила определения аномалий; в случае выхода значения по меньшей мере одного параметра КФС из подмножества параметров КФС за пределы предварительно заданного диапазона значений для указанного параметра КФС; путем использования ансамбля из двух или более перечисленных выше способов.

Согласно еще одному частному варианту реализации для каждого подмножества параметров выбирают свой способ определения аномалий, после чего оценивают уровень критичности аномалий, определяемых по параметрам КФС каждого подмножества и, в итоге, вычисляют общий уровень критичности каждой аномалии, в частности путем усреднения уровней критичности по всем способам, определившим соответствующую аномалию, при этом подтверждают аномалию, если общий уровень критичности превышает заданный порог, причем уровень критичности аномалий задают, в частности посредством оператора КФС, с использованием предварительно обученной модели машинного обучения, с использованием данных статистики по ранее определенным аномалиям.

Согласно одному из частных вариантов реализации подмножества параметров КФС выбирают с учетом по меньшей мере одной из характеристик подмножества: значимости параметров КФС для ТП; принадлежности параметров КФС к тому или иному типу оборудования; физического или химического процесса; однотипности физических параметров КФС в подмножестве.

Согласно другому частному варианту реализации выбирают параметры КФС, как и их значения, из числа всех параметров КФС, для формирования подмножеств параметров КФС в соответствии с по меньшей мере одним из: характеристиками подмножеств, характеристиками КФС, параметрами КФС.

Согласно еще одному частному варианту реализации для способов определения аномалий рассчитывают, в частности, следующие характеристики: ранжированный, по убыванию вклада в определение аномалии, набор параметров КФС; величины отклонений прогнозных значений параметров КФС от их истинных значений, среднеквадратичные точности прогнозов по меньшей мере части параметров КФС, используемых в данном способе обнаружения аномалий; максимальные либо средние величины отклонений наблюдаемых значений параметров КФС от определенных заранее заданных пределов, длительности и частоты таких отклонений; производительность данного способа определения аномалий.

Согласно одному из частных вариантов реализации для данного подмножества КФС способ определения аномалии выбирают, в частности из следующих соображений: точности и полноты определения аномалий данным способом по данному подмножеству, производительности способа на этом подмножестве, экспертных знаний о подмножестве параметров КФС.

Согласно другому частному варианту реализации выбирают способ для каждого из подмножеств параметров КФС с учетом характеристик способа и характеристик подмножества.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

На Фиг. 1а изображен пример технологической системы.

На Фиг.1б изображен частный пример имплементации технологической системы.

На Фиг. 1в представлен возможный вариант организации интернета вещей на примере носимых устройств.

На Фиг. 1г представлен возможный набор датчиков устройств.

На Фиг. 2 представлена система определения аномалии в киберфизической системе.

На Фиг. 3 представлены варианты реализации средств определения аномалий.

На Фиг 4 представлен вариант способа определения аномалии в киберфизической системе.

Фиг. 5 представляет пример компьютерной системы общего назначения, с помощью которой может быть реализовано настоящее изобретение.

Осуществление изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.

Глоссарий

Объект управления — технологический объект, на который направляются внешние воздействия (управляющие и/или возмущающие) с целью изменения его состояния, в частном случае такими объектами являются устройство (например, электродвигатель) или технологический процесс (или его часть).

Технологический процесс (ТП) — процесс материального производства, заключающийся в последовательной смене состояний материальной сущности (предмета труда).

Контур управления (англ. control loop) — состоит из материальных сущностей и управляющих функций, необходимых для автоматизированной регулировки значений измеренных технологических параметров к значениям желаемых уставок. Контур управления содержит датчики и сенсоры, контроллеры и исполнительные механизмы.

Технологический параметр (англ. Process Variable, PV) — текущее измеренное значение определенной части ТП, который наблюдается или контролируется. Технологическим параметром может быть, например, измерение датчика.

Уставка (англ. setpoint) — поддерживаемое значение технологического параметра.

Управляемый параметр (англ. Manipulated Variable, MV) — параметр, который регулируется для того, чтобы значение технологического параметра поддерживалось на уровне уставки.

Внешнее воздействие — способ изменения состояния элемента, на которое направлено воздействие (например, элемента технологической системы (ТС)) в определенном направлении, воздействие от элемента ТС к другому элементу ТС передается в виде сигнала.

Состояние объекта управления — совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий, в том числе и управляющих воздействий со стороны подсистемы управления. Параметр состояния — одно или несколько числовых значений, характеризующих существенное свойство объекта, в частном случае параметр состояния является числовым значением физической величины.

Формальное состояние объекта управления — состояние объекта управления, соответствующее технологической карте и другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве).

Управляющее воздействие — целенаправленное (цель воздействия — воздействие на состояние объекта) легитимное (предусмотренное ТП) внешнее воздействие со стороны субъектов управления подсистемы управления на объект управления, приводящее к изменению состояния объекта управления или удержанию состояния объекта управления.

Субъект управления — устройство, которое направляет управляющее воздействие на объект управления или передает управляющее воздействие другому субъекту управления для преобразования перед непосредственным направлением на объект.

Состояние субъекта управления — совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий. Параметр состояния — одно или несколько числовых значений, характеризующих существенное свойство субъекта, в частном случае параметр состояния является числовым значением физической величины.

Существенными свойствами (соответственно и существенными параметрами состояния) субъекта управления являются свойства, оказывающие непосредственное влияние на состояние объекта управления. При этом существенными свойствами объекта управления являются свойства, оказывающие непосредственное влияние на контролируемые факторы (точность, безопасность, эффективность) функционирования ТС. Например, соответствие режимов резания формально заданным режимам, движение поезда в соответствии с расписанием, удержание температуры реактора в допустимых границах. В зависимости от контролируемых факторов выбираются параметры состояния объекта управления и соответственно связанные с ними параметры состояний субъектов управления, оказывающие управляющее воздействие на объект управления.

Многоуровневая подсистема управления — включающая несколько уровней совокупность субъектов управления.

Киберфизическая система (англ. cyber-physical system) — информационно-технологическая концепция, подразумевающая интеграцию вычислительных ресурсов в физические процессы. В такой системе датчики, оборудование и информационные системы соединены на протяжении всей цепочки создания стоимости, выходящей за рамки одного предприятия или бизнеса. Эти системы взаимодействуют друг с другом с помощью стандартных интернет-протоколов для прогнозирования, самонастройки и адаптации к изменениям. Примерами киберфизической системы является технологическая система, интернет вещей (в том числе носимые устройства), промышленный интернет вещей.

Интернет вещей (англ. Internet of Things, IoT) — вычислительная сеть физических предметов («вещей»), оснащённых встроенными сетевыми технологиями для взаимодействия друг с другом или с внешней средой. Интернет вещей включает такие технологии, как носимые устройства, электронные системы транспортных средств, умные автомобили, умные города, промышленные системы и пр.

Промышленный Интернет вещей (англ. Industrial Internet of Things, IIoT) — состоит из подключенного к Интернету оборудования и платформ расширенной аналитики, которые выполняют обработку данных, получаемых от подключенных устройств. Устройства IIoT могут быть самыми разными — от небольших датчиков погоды до сложных промышленных роботов. Несмотря на то, что слово «промышленный» вызывает такие ассоциации, как склады, судоверфи и производственные цеха, технологии IIoT имеют большой потенциал использования в самых различных отраслях, включая сельское хозяйство, здравоохранение, финансовые услуги, розничную торговлю и рекламу. Промышленный Интернет вещей является подкатегорией Интернета вещей (https://www.hpe.com/ru/ru/what-is/industrial-iot.html).

Технологическая система (ТС) — функционально взаимосвязанная совокупность субъектов управления многоуровневой подсистемы управления и объекта управления (ТП или устройство), реализующая через изменение состояний субъектов управления изменение состояния объекта управления. Структуру технологической системы образуют основные элементы технологической системы (взаимосвязанные субъекты управления многоуровневой подсистемы управления и объект управления), а также связи между этими элементами. В том случае, когда объектом управления в технологической системе является технологический процесс, конечной целью управления является изменение состояния предмета труда (сырья, заготовки и т.д.) через изменение состояния объекта управления. В том случае, когда объектом управления в технологической системе является устройство, конечной целью управления является изменение состояния устройства (транспортное средство, космический объект и т.д.). Функциональная взаимосвязь элементов ТС подразумевает взаимосвязь состояний этих элементов. При этом непосредственной физической связи между элементами может и не быть, в частности физическая связь между исполнительными механизмами и технологической операцией отсутствует. К примеру, скорость резания функционально связана с частотой вращения шпинделя, несмотря на то, что физически эти параметры состояний не связаны.

Компьютерная атака (также кибератака, от англ. cyber attack) — целенаправленное воздействие на информационные системы и информационно-телекоммуникационные сети программно-техническими средствами, осуществляемое в целях нарушения безопасности информации в этих системах и сетях (см. «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 N 803).

На Фиг. 1а схематично изображен пример технологической системы 100, которая включает в себя элементы 110а и 110б, где элементы ТС: объект управления 110а; субъекты управления 110б, образующие многоуровневую подсистему управления 120; горизонтальные связи 130а и вертикальные связи 130б. Субъекты управления 110б сгруппированы по уровням 140.

На Фиг. 1б схематично изображен частный пример имплементации технологической системы 100’. Объектом управления 110а’ является ТП или устройство, на объект управления 110а’ направляются управляющие воздействия, которые вырабатываются и реализуются автоматизированной системой управления (АСУ) 120’, в АСУ 120’ различают три уровня 140’, состоящих из субъектов управления 110б’, взаимосвязанных между собой как по горизонтали горизонтальными связями (связи внутри уровня, на фигуре не указаны), так и по вертикали вертикальными связями 130б’ (связи между уровнями). Взаимосвязи являются функциональными, т.е. в общем случае изменение состояния субъекта управления 110б’ на одном уровне вызывает изменение состояний связанных с ним субъектов управления 110б’ на этом уровне и других уровнях. Информация об изменении состояния субъекта управления 110б’ передается в виде сигнала по горизонтальным и вертикальным связям, установленным между субъектами управления 110б’, т.е. информация об изменении состояния рассматриваемого субъекта управления 110б’ является внешним воздействием по отношению к другим субъектам управления 110б’. Уровни 140’ в АСУ 120’ выделяют в соответствии с назначением субъектов управления 110б’. Количество уровней может варьироваться в зависимости от сложности АСУ 120’. Простые системы могут содержать в себе один или несколько нижних уровней. Для физической связи элементов ТС (110а, 110б) и подсистем ТС 100 используются проводные сети, беспроводные сети, интегральные микросхемы, для логической связи между элементами ТС (110а, 110б) и подсистемами ТС 100 используются Ethernet, промышленный Ethernet, промышленные сети. При этом промышленные сети и протоколы используются различных типов и стандартов: Profibus, FIP, ControlNet, Interbus-S, DeviceNet, P-NET, WorldFIP, LongWork, Modbus и др.

Верхний уровень (уровень supervisory control and data acquisition, SCADA) — это уровень диспетчерско-операторского управления, включает в себя, по меньшей мере, следующие субъекты управления 110б’: контроллеры, управляющие компьютеры, человеко-машинные интерфейсы (англ. human-machine interface, HMI) (на Фиг. 1б изображены в рамках одного субъекта управления SCADA). Уровень предназначен для отслеживания состояний элементов ТС (110а’, 110б’), получения и накопления информации о состоянии элементов ТС (110а’, 110б’) и при необходимости их корректировки.

Средний уровень (уровень control) — это уровень контроллеров, включает, по меньшей мере, следующие субъекты управления 110б’: программируемые логические контроллеры (англ. Programmable Logic Controller, PLC), счетчики, реле, регуляторы. Субъекты управления 110б’ типа «PLC» получают информацию с субъектов управления 110б’ типа «контрольно-измерительное оборудование» и субъектов управления 110б’ типа «датчики» о состоянии объекта управления 110а’. Субъекты управления 110б’ типа «PLC» вырабатывают (формируют) управляющее воздействие в соответствии с запрограммированным алгоритмом управления на субъекты управления 110б’ типа «исполнительные механизмы». Исполнительные механизмы непосредственно реализуют указанное управляющее воздействие (применяют к объекту управления) на нижнем уровне. Исполнительный механизм (англ. actuator) — часть исполнительного устройства (оборудования). Регуляторы, например, ПИД-регуляторы (пропорционально-интегрально-дифференцирующий регулятор, англ. proportional–integral–derivative controller — PID controller) являются устройствами в контуре управления с обратной связью.

Нижний уровень (уровень Input/Output) — это уровень таких субъектов управления 110б’, как датчики и сенсоры (англ. sensors), контрольно-измерительные приборы (КИП), контролирующие состояние объекта управления 110а’, а также исполнительные механизмы (actuators). Исполнительные механизмы непосредственно воздействуют на состояние объекта управления 110а’ для приведения его в соответствие с формальным состоянием, т.е. состоянием, соответствующим технологическому заданию, технологической карте или другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве). На этом уровне осуществляется согласование сигналов от субъектов управления 110б’ типа «датчики» с входами субъектов управления 110б’ среднего уровня и согласование вырабатываемых субъектами управления 110б’ типа «PLC» управляющих воздействий с субъектами управления 110б’ типа «исполнительные механизмы», которые их реализуют. Исполнительный механизм — это часть исполнительного устройства. Исполнительное устройство осуществляет перемещение регулирующего органа в соответствии с сигналами, поступающими от регулятора или управляющего устройства. Исполнительные устройства являются последним звеном цепи автоматического управления и в общем случае состоят из блоков:

• устройства усиления (контактор, частотный преобразователь, усилитель, и т.п.);

• исполнительного механизма (электро-, пневмо-, гидропривод) с элементами обратной связи (датчики положения выходного вала, сигнализации конечных положений, ручного привода и тому подобное);

• регулирующего органа (вентили, клапаны, заслонки, шиберы и т.п.).

В зависимости от условий применения исполнительные устройства конструктивно могут различаться между собой. К основным блокам исполнительных устройств обычно относят исполнительные механизмы и регулирующие органы.

В частном примере исполнительное устройство в целом называют исполнительным механизмом.

Стоит отметить, что для решения задач планирования и управления предприятием используется АСУП 120а’ (автоматическая система управления предприятием), которая является частью АСУ 120’.

На Фиг. 1в представлен возможный вариант организации интернета вещей на примере носимых устройств. Система содержит множество различных компьютерных устройств 151 пользователя. Среди устройств пользователя 151 могут быть, например, смартфон 152, планшет 153, ноутбук 154, носимые устройства, такие, как очки дополненной реальности 155, «умные» часы 156 (англ. smart watch) и др. Устройства пользователя 151 содержат множество различных датчиков 157а-157n, например, монитор сердечного ритма 2001 и шагомер 2003.

Стоит отметить, что датчики 157а-157n могут находиться как на одном устройстве пользователя 151, так и на нескольких. Более того, некоторые датчики 157а-157n могут находиться на нескольких устройствах пользователя 151 одновременно. Часть датчиков 157а-157n может быть представлена в нескольких экземплярах. Например, модуль Bluetooth может находиться на всех устройствах пользователя 151, а смартфон 152 может содержать два и более микрофона, необходимых для шумоподавления и определения расстояния до источника звука.

На Фиг. 1г представлен возможный набор датчиков устройств 151. Среди датчиков 157а-157n могут быть, например, следующие:

• монитор сердечного ритма (датчик сердцебиения) 2001 для определения частоты пульса пользователя. В одном примере реализации монитор сердечного ритма 2001 может содержать электроды и измерять электрокардиограмму;

• датчик насыщения крови кислородом (сатурации) 2002;

• шагомер 2003;

• датчик сканирования отпечатков пальцев 2004;

• датчик распознавания жестов 2005;

• камеры 2006, например камера, направленная на глаза пользователя, служащая для определения движения глаз пользователя, а также аутентификации личности пользователя по радужной оболочке или сетчатке глаза, а также камера, направленная на окружающую устройство пользователя среду;

• датчик температуры тела 2007 пользователя (например, имеющий непосредственный контакт с телом пользователя или бесконтактный);

• микрофон 2008;

• датчик ультрафиолетового излучения 2009;

• приемник системы геолокации 2010, например, приемник GPS, ГЛОНАСС, BeiDou, Galileo, DORIS, IRNSS, QZSS и др.;

• Один или несколько модулей беспроводной связи (например, GSM, LTE, NFC, Bluetooth, Wi-Fi и другие) 2011;

• датчик температуры окружающей среды 2012;

• барометр 2013;

• геомагнитный датчик 2014 (электронный компас);

• датчик влажности 2015;

• датчик освещения 2016;

• датчик приближения 2017;

• датчик глубины изображения 2018;

• акселерометр 2019;

• гироскоп 2020;

• датчик Холла 2021 (датчик магнитного поля);

• дозиметр-радиометр 2022.

На Фиг. 2 представлен пример киберфизической системы (КФС) 200, обладающей определенными характеристиками, а также системы определения аномалии в киберфизической системе (КФС) 201. КФС 200 представлена в упрощенном варианте. Примерами КФС 200 являются описанные ранее технологическая система (ТС) 100 (см. Фиг. 1а-1б), интернет вещей (см. Фиг. 1в-1г), промышленный интернет вещей. Для определенности далее в заявке в качестве основного примера КФС 200 будет рассматриваться ТС. Как уже упоминалось ранее при описании Фиг. 1а-1б, КФС 200 содержит множество субъектов управления, таких как датчики, исполнительные механизмы, ПИД-регуляторы. Данные упомянутых субъектов управления в необработанном виде передают на PLC. При этом может использоваться аналоговый сигнал для передачи данных. Затем PLC выполняет обработку данных и преобразование данных в цифровой вид — в значения параметров КФС, включающих технологические параметры КФС (то есть в данные телеметрии КФС 200). Значения параметров КФС затем передают системе SCADA 110б' и рассматриваемой системе 201.

Система 201 содержит средство формирования 210, средства определения аномалий 260, базу параметров 220, базу правил 250, а также интерфейс обратной связи 230 для взаимодействия с оператором КФС 240.

В частном варианте реализации киберфизическая система 200 описывается по меньшей мере одной из следующих характеристик:

• отраслью производства, в которой функционирует КФС;

• типами процессов, которые описывают параметры КФС, в частности, один из: непрерывный, конвейерный, циклический;

• наличием сезонности и/или трендов в признаках КФС;

• инертностью процессов КФС;

• временем реакции КФС на изменения, происходящие в КФС и во внешней среде;

• уровнем опасности производства для персонала и экологии;

• стоимостью простоя технологический процессов из-за нештатных ситуаций;

• типом управления, в частности, выполненным с использованием ПИД-регуляторов, конечных автоматов или комбинированным способом;

• типом субъекта управления, который характеризуется по меньшей мере одним признаком, при этом тип субъекта управления является по меньшей мере датчиком, исполнительный механизмом или ПИД-регулятором;

• данными самодиагностики КФС;

• статусом исправности субъекта управления;

• взаимосвязью субъектов управления в рамках технологического процесса.

Параметры КФС являются численными (или категориальными) характеристиками субъектов управления — датчиков, исполнительных механизмов, ПИД-регуляторов. Значения параметров КФС включают соответственно: измерение (показание) датчика, значение управляемого параметра исполнительного механизма, уставку исполнительного механизма; значения входных сигналов пропорционально-интегрально-дифференцирующего регулятора (ПИД-регулятора), значение выходного сигнала ПИД-регулятора и другие технологические параметры КФС.

В частном варианте реализации значения параметров КФС могут быть представлены в виде следующего набора значений: [идентификатор (наименование параметра), время, значение]. Например, параметром КФС является датчик температуры, и значение параметра КФС может быть представлено в следующем виде: [датчик температуры, 01.01.2022 10:00:00, 99 °C].

Значения параметров КФС используют средства определения аномалий 260, которые предназначены для определения аномалий в КФС 200. Аномалия в КФС 200 — событие, характеризующее отклонение одного или нескольких параметров КФС от нормального диапазона значений. Аномалия в КФС 200 может возникнуть, например, из-за компьютерной атаки, из-за некорректного или нелегитимного вмешательства человека в работу ТС или ТП, из-за сбоя или отклонения технологического процесса, в том числе связанного с периодами смены его режимов, из-за перевода контуров управления в ручной режим или из-за некорректных показаний датчиков, а также по другим причинам, известным из уровня техники. Информацию об определенных аномалиях в КФС 200 затем передают оператору КФС 240 посредством интерфейса обратной связи 230. Стоит отметить, что указанный интерфейс обратной связи 230 может быть использован для передачи данных системой 201 оператору КФС 240 как в одностороннем направлении (от системы 201 оператору КФС 240 или наоборот, от оператора КФС 240 системе 201), так и в двухстороннем направлении.

Описание средства формирования 210

Средство формирования 210 получает исходную выборку, содержащую значения параметров КФС за исторический период наблюдения за КФС 200 (то есть данные телеметрии КФС 200). В частном варианте реализации исходная выборка может содержать данные об известных аномалиях, при этом доля аномалий в выборке не превышает заданное значение (например, не более 1%).

Средство формирования 210 предназначено для формирования по меньшей мере одного диагностического правила. Диагностическое правило — правило, которое определяет способ формирования и вычисления значений по меньшей мере одного вспомогательного параметра КФС по данным значений заданного набора параметров КФС. Вспомогательный параметр КФС — численный (или категориальный) параметр, отсутствующий в исходной выборке, полученный путем применения различных преобразований от параметров КФС из исходной выборки. Частные варианты реализации, описывающие вспомогательные параметры КФС, представлены далее. Сформированные правила сохраняют в базу правил 250. Средство формирования 210 также предназначено для создания (формирования) и вычисления значений по меньшей мере одного вспомогательного параметра КФС в соответствии с по меньшей мере одним сформированным диагностическим правилом. Значения вспомогательных параметров КФС сохраняют в базу параметров 220 с отметкой (дополнительной информацией), содержащей набор параметров КФС, используемых при формировании вспомогательного параметра КФС.

Описание диагностических правил

Диагностическое правило формируют следующим образом. Вначале задают набор параметров КФС, используемых для вычисления значений по меньшей мере одного вспомогательного параметра КФС. Набор параметров КФС может быть задан автоматически в соответствии с характеристиками КФС 200. Кроме того, набор параметров КФС может быть задан путем получения обратной связи от оператора КФС 240 посредством интерфейса обратной связи 230. При этом значения параметров КФС из данного набора могут семплировать на неравномерных по времени и несинхронизированных временных сетках. Например, значения одного параметра КФС могут семплировать с периодичностью раз в секунду, другого — раз в минуту, третьего — по мере наступления событий в КФС 200 и так далее.

Далее задают способ применения диагностического правила, то есть способ формирования и вычисления значений по меньшей мере одного вспомогательного параметра КФС по данным значений заданного набора параметров КФС.

Затем задают входное окно применения правила, то есть интервал времени [t –Δt, t], ориентированный назад во времени, где t > 0 — текущий момент времени, а Δt > 0 — размер входного окна. При этом диагностическое правило использует значения набора параметров КФС, заданные во входном окне, то есть в моменты времени внутри входного окна. Таким образом, входное окно является интервалом времени для значений набора параметров КФС. Входное окно может быть скользящим интервалом времени. В частном варианте реализации в указанном входном окне задают (выбирают) временную сетку Σt, зависящую от момента времени t и покрывающую интервал [t – Δt, t]. После чего параметры КФС из набора параметров для данного правила интерполируются на заданную временную сетку.

В частном варианте реализации при отсутствии значений какого-либо параметра КФС в некотором входном окне в качестве его значений берут самое последнее его значение, а при его отсутствии — значение по умолчанию. При этом для параметров КФС может быть предварительно сохранен список значений по умолчанию. Следует отметить, что временная сетка Σt может быть выбрана как индивидуально для каждого момента времени t, так и определенным унифицированным способом для всех входных окон (например, в каждом входном окне строят равномерную сетку с некоторым шагом 0 < δt ≤ Δt). Также стоит отметить, что временная сетка входного окна и размер входного окна Δt могут быть определены индивидуально для каждого диагностического правила и выбраны исходя из характеристик и поведения того или иного ТП и соответственно КФС 200, представленного параметрами КФС и диагностическим правилом.

Далее в соответствии со способом применения диагностического правила определяют выходное окно, то есть интервал времени [t – τt, t] и выходную временную сетку Гt диагностического правила. При этом 0 < τt ≤ Δt — заданный временной размер выходного окна диагностического правила, зависящий от момента времени t. В итоге вычисляют значения по меньшей мере одного вспомогательного параметра КФС в выходном окне [t – τt, t] на временной сетке Гt путем применения диагностического правила к значениям параметров КФС из соответствующего набора в входном окне [t – Δt, t] на сетке Σt. После этого входное окно сдвигают на шаг, равный размеру выходного окна τt (соответствующим образом сдвигают и выходное окно), и повторяют процесс вычисления вспомогательного параметра КФС, соответствующего данному диагностическому правилу. В итоге вспомогательный параметр КФС вычисляют на объединенной временной сетке UГt, где символ U обозначает объединение множеств по времени t. Таким образом, выходное окно является интервалом времени для вычисления значений вспомогательного параметра КФС.

Также стоит отметить, что временная сетка выходного окна и размер выходного окна τt могут быть определены индивидуально для каждого диагностического правила и выбраны исходя из характеристик и поведения того или иного ТП и соответственно КФС 200, представленного параметрами КФС и диагностическим правилом.

Итак, способ применения диагностического правила заключается в формировании и вычислении значений по меньшей мере одного вспомогательного параметра КФС. Стоит отметить, что применение диагностического правила может быть реализовано потоковым способом в режиме реального времени или как вычисление на наборе исторических данных параметров КФС.

В частном варианте реализации вычисляют значения вспомогательных параметров КФС по предварительно заданной формуле от мгновенных (т.е. при τt=Δt и Σtt={t}) значений набора параметров КФС. В другом частном варианте реализации вычисляют вспомогательные параметры КФС путем сглаживания параметров КФС, например, если значения параметров КФС зашумлены. Еще в одном частном варианте реализации вычисляют значения вспомогательных параметров КФС на основании сверток либо интегральных преобразований от значений параметров КФС, сглаженных или не сглаженных производных от значений параметров КФС, спектров преобразования Фурье либо вейвлет-преобразований от значений параметров КФС. В еще одном частном варианте реализации вычисляют значения вспомогательных параметров КФС путем вычисления долгосрочных трендов (регрессий) от значений набора параметров КФС, полиномиальных и других аппроксимаций значений набора параметров КФС, статистических оконных моментов набора параметров КФС. В еще одном варианте реализации используют предварительно обученную нейросетевую модель машинного обучения для вычисления значений вспомогательных параметров КФС, где входными данными упомянутой модели служат значения набора параметров КФС.

В частном варианте реализации база правил 250 содержит набор предварительно сформированных шаблонных диагностических правил. Например, один шаблон может содержать все диагностические правила, вычисляющие сверточные значения того или иного параметра КФС с различными ядрами, включая сглаживающие ядра, дифференцирующие ядра и т.д. В другом частном варианте реализации шаблоном правил может быть вычисление оконного спектра преобразования Фурье от того или иного параметра КФС, взятие определенных дифференциальных операторов от параметров КФС, применение к параметрам КФС предварительно обученных моделей машинного обучения.

В этом случае средство формирования 210 предназначено для формирования диагностического правила на основе указанных шаблонных диагностических правил и с учетом характеристик КФС 200. Например, если КФС 200 содержит ПИД-регуляторы, используют шаблон построения диагностического правила, использующий в качестве входных параметров уставку и измерение ПИД-регулятора и вычисляющий переходную функцию ПИД-регулятора с целью моделирования управляющего выхода ПИД-регулятора для его дальнейшего сравнения с наблюдаемым значением. Аналогичные шаблоны могут быть сформированы для каскадного ПИД-контроллера и его выходов. Кроме того, при наличии информации о ТП предприятия могут быть использованы шаблоны, реализующие предварительно заданные формулы, отвечающие физическим, химическим и другим процессам, происходящим на данном предприятии.

В еще одном частном варианте реализации используют рекурсивные диагностические правила, а именно такие диагностические правила, которые в качестве входного параметра КФС используют по меньшей мере один ранее вычисленный вспомогательный параметр КФС. Например, для целей детальной вибродиагностики ротационного оборудования по данным виброконтроля (датчиками виброскоростей и виброускорений) в качестве вспомогательных параметров КФС первого уровня используют спектр оконного преобразования Фурье, который может быть представлен графически в виде набора амплитуд определенных мод. Анализ каждой из мод по отдельности или совместно может быть реализован на следующем уровне путем использования рекурсивных правил, использующих данные амплитуды как входы для расчета превышения этими амплитудами определенных пределов, обнаружения линейных восходящих трендов в амплитудах мод и т.д. Таким образом достигаются цели как визуального мониторинга состояния вибрационных мод (правилами первого уровня), так и цели детального численного анализа их амплитуд (правилами второго уровня).

В еще одном частном варианте реализации диагностические правила получают через интерфейс обратной связи 230 от оператора КФС 240. При этом ассоциированные с диагностическими правилами вспомогательные параметры КФС будут доступны оператору КФС 240 через интерфейс обратной связи 230. В частном варианте реализации интерфейс обратной связи 230 включает графический интерфейс системы 201.

Следует также отметить, что посредством диагностических правил могут быть обогащены как набор исторических данных, так и потоковые данные в системе обнаружения аномалий 201.

Таким образом, значения всех параметров КФС, то есть значения параметров КФС (исходных параметров) и значения вспомогательных параметров КФС, используются далее средствами определения аномалий 260 и служат для определения аномалий в КФС 200.

Примеры средств определения аномалий 260, в частности средств 301-305, представлены на Фиг. 3, описание вариантов их реализации представлено ниже. Каждый способ определения аномалий, реализуемый средствами определения аномалий 260, в качестве входных данных получает значения параметров КФС по меньшей мере одного подмножества из числа всех параметров КФС (далее — подмножество параметров КФС), при этом все подмножества в совокупности образуют множество всех параметров КФС. Стоит отметить, что указанные подмножества могут совпадать, пересекаться и не пересекаться.

Описание средств определения аномалий 260

В качестве средств определения аномалии 260 могут быть использованы система и способ определения аномалии в КФС 301, описанные ранее в патентах RU2724716, RU2724075, RU2749252, которые осуществляют определение аномалии путем прогнозирования значений подмножества параметров КФС (в упомянутых патентах использовался термин «признаки КФС», соответствующий термину «параметры КФС» в заявленном изобретении) и последующего определения общей ошибки прогноза для подмножества параметров КФС, при этом определяют аномалию в КФС 200 в случае превышения общей ошибкой прогноза порогового значения, кроме того определяют вклад подмножества параметров КФС в общую ошибку прогноза как вклад ошибки прогноза соответствующего параметра КФС в общую ошибку прогноза.

Средства определения аномалий 260 могут включать модуль базовой модели 302, предназначенный для применения обученной модели машинного обучения для выявления аномалий по значениям подмножества параметров КФС (далее — базовая модель). При этом базовая модель выявления аномалий может быть обучена на данных обучающей выборки, включающей или не включающей известные аномалии в КФС 200 и значения подмножества параметров КФС за определенный период времени — то есть используется модель машинного обучения с учителем. Кроме того, в качестве базовой модели может быть использована модель машинного обучения без учителя. Для повышения качества базовой модели могут выполнять тестирование и валидацию обученной базовой модели на тестовой и валидационной выборках соответственно. При этом тестовая и валидационная выборки могут включать известные аномалии и значения подмножества параметров КФС за определенный период времени, предшествующий известной аномалии в КФС 200, но отличаются от обучающей выборки.

В еще одном варианте реализации средства определения аномалий 260 включают модуль определения на основе правил 303, с использованием которого применяют правила определения аномалий. Такие правила могут быть предварительно сформированы и получены от оператора КФС 240 посредством интерфейса обратной связи 230 и содержат условия, применяемые к значениям подмножества параметров КФС, при выполнении которых определяют аномалию.

В еще одном частном варианте реализации средства определения аномалий 260 включают модуль определения на основе предельных значений 304, с использованием которого определяют аномалию, когда значение по меньшей мере одного параметра КФС из подмножества параметров КФС вышло за пределы предварительно заданного диапазона значений для указанного параметра КФС. При этом указанные диапазоны значений могут быть рассчитаны из значений характеристик или документации для КФС 200 или быть получены от оператора КФС 240 посредством интерфейса обратной связи 230.

В другом частном варианте реализации средства определения аномалии 260 включают модуль определения на основе ансамбля способов 305, при использовании которого используют ансамбль из двух или более перечисленных выше способов, реализуемых модулями и средствами 301-304, при этом определяют аномалию в КФС 200 путем усреднения результатов работы способов упомянутого ансамбля 305 (например, применяют операцию конъюнкции к результатам работы различных способов).

В еще одном частном варианте реализации, при использовании ансамбля из двух или более перечисленных выше способов, реализуемых модулями и средствами 301-304, разные упомянутые способы могут принимать в качестве входных данных разные подмножества значений из числа всех параметров КФС, в том числе пересекающиеся и совпадающие подмножества. В частном варианте реализации в совокупности все такие подмножества содержат значения всех параметров КФС.

В частном варианте реализации подмножества параметров КФС выбирают с учетом по меньшей мере одной из характеристик подмножества:

• значимости параметров КФС для ТП;

• принадлежности параметров КФС к тому или иному типу оборудования;

• физического (химического или другого) процесса;

• однотипности физических параметров КФС в подмножестве (температуры, давления и так далее).

В частном варианте реализации подмножества параметров КФС выделяют из общего набора параметров КФС в соответствии с по меньшей мере одним из: характеристиками таких подмножеств, характеристиками КФС, параметрами КФС.

В частном варианте реализации для некоторых из способов определения аномалий (реализуемых одним из модулей и средств 301-304) могут быть рассчитаны, в частности, следующие характеристики:

• ранжированный, по убыванию вклада в определение аномалии, набор параметров КФС;

• величины отклонений прогнозных значений параметров КФС от их истинных значений, среднеквадратичные точности прогнозов как отдельных параметров КФС, так и всей совокупности параметров КФС, используемых в данном способе обнаружения аномалий;

• максимальные либо средние величины отклонений наблюдаемых значений параметров КФС от определенных заранее заданных пределов, длительности и частоты таких отклонений;

• производительность данного способа определения аномалий (например, объем памяти, процессорное временя, количество ядер процессора компьютера, количество компьютеров, связанных по сети и участвующих в реализации способа и другими).

Отметим, что для данного подмножества КФС способ определения аномалии может быть выбран, в частности из следующих соображений: точности и полноты определения аномалий данным способом по данному подмножеству, производительности способа на этом подмножестве, экспертных знаний о подмножестве параметров КФС (если параметры КФС подмножества относятся к определенному ТП, типу оборудования и т.д.) и другими.

Таким образом, для каждого из подмножеств параметров КФС выбор способа определения аномалии проводится с учетом характеристик такого способа и характеристик подмножества параметров КФС, используемых для определения аномалий данным способом.

Далее рассматривается пример, в котором использование модуля определения на основе предельных значений 304 может быть применено к тем параметрам КФС, которые имеют критически важное значение для того или иного ТП с целью выделения критически важных аномалий (первое подмножество). При этом остальные параметры КФС (второе подмножество) будут проанализированы другим способом, например средством 301. В этом случае при обнаружении аномалии только модулем 304 оператору КФС 240 передают сообщение о наличии аномалии с некоторым значением вероятности (например, 80%), тогда как при обнаружении аномалии средством 301 или обоими модулями одновременно передают сообщение о наличии аномалии с большим значением вероятности (например, 90-100%). Другим примером может служить ситуация, когда исходные параметры КФС и вспомогательные параметры КФС разделяют на подмножества параметров КФС по определенному принципу (в зависимости от характеристик подмножеств — по принадлежности к тому или иному типу оборудования, по физическому смыслу — принадлежностью к одному физическому процессу, однотипным физическим параметрам КФС, например, температура или давление, по опасности для ТП и т.д.). При этом для каждого подмножества параметров КФС выбирают свой способ определения аномалий (реализуемый одним из модулей и средств 301-304), после чего оценивают уровень критичности аномалий, определяемых по параметрам КФС каждого подмножества параметров КФС и, в итоге, вычисляют общий уровень критичности каждой аномалии, в частности путем усреднения уровней критичности по всем способам, определившим соответствующую аномалию. При этом если общий уровень критичности аномалии превышает заданный порог (например, более 0.5) — аномалия подтверждается, в противном случае — не подтверждается. Стоит отметить, что уровень критичности аномалий, определяемых по параметрам КФС каждого подмножества параметров КФС может быть задан, например, оператором КФС 240 посредством интерфейса обратной связи 230, с использованием предварительно обученной модели машинного обучения для оценки уровня критичности, с использованием данных статистики по ранее определенным аномалиям.

В еще одном частном варианте реализации средства определения аномалии 260 включают систему графического интерфейса для определения аномалии оператором КФС 240 вручную (см. патент RU2724716), информация о которой может быть передана через интерфейс обратной связи 230.

В частном варианте реализации информация об аномалиях в КФС 200 дополнительно включает следующие такие сведения об аномалии, как временной интервал наблюдения аномалии, вклад каждого параметра КФС в аномалию, информацию о способе выявления указанной аномалии, значения параметров КФС в каждый момент временного интервала. В еще одном частном варианте реализации информация об аномалиях в КФС 200 дополнительно включает для каждого параметра КФС по меньшей мере один из: временной ряд значений, текущую величину отклонения спрогнозированного значения от фактического значения, сглаженную величину отклонения спрогнозированного значения от фактического значения. В другом частном случае информация об аномалиях в КФС 200 включает информацию о средстве (способе), с использованием которого была выявлена аномалия.

На Фиг. 4 представлен вариант способа определения аномалии в киберфизической системе.

На шаге 401 формируют по меньшей мере одно диагностическое правило, предназначенное для вычисления по меньшей мере одного вспомогательного параметра КФС, путем задания набора параметров КФС, используемых в диагностическом правиле, последующего задания способа вычисления значений по меньшей мере одного вспомогательного параметра КФС по данным значений набора параметров КФС. Затем задают входное окно применения правила, являющееся интервалом времени [t – Δt, t], ориентированным назад во времени, где t > 0 — текущий момент времени, а Δt > 0 — размер входного окна. При этом диагностическое правило использует значения набора параметров КФС, заданные во входном окне, то есть в моменты времени внутри входного окна. На шаге 402 вычисляют значения по меньшей мере одного вспомогательного параметра КФС за выходное окно используя значения набора параметров КФС за входное окно в соответствии со сформированным диагностическим правилом. В итоге, на шаге 403 определяют аномалию в КФС 200 путем анализа значений всех параметров КФС, включая по меньшей мере один вспомогательный параметр КФС.

Другие варианты реализации, описанные ранее к Фиг. 1а-Фиг. 3 также применимы и к способу по Фиг. 4.

Таким образом, заявленное изобретение позволяет решить сформулированную техническую проблему и достичь заявленного технического результата, а именно повысить точность обнаружения аномалий в КФС 200 за счет вычисления вспомогательных параметров КФС, используемых при определении аномалии в КФС 200.

Фиг. 5 представляет пример компьютерной системы общего назначения, с помощью которой может быть реализовано настоящее изобретение, в частности система 201 и средства 210-260. Персональный компьютер или сервер 20, содержит центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь (оператор) имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях (также — информационных системах), внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Похожие патенты RU2790331C1

название год авторы номер документа
Система и способ выявления аномалий в киберфизической системе 2022
  • Лаврентьев Андрей Борисович
  • Воронцов Артем Михайлович
  • Нечипорук Артем Михайлович
  • Шкулев Вячеслав Игоревич
  • Травов Александр Викторович
  • Иванов Дмитрий Александрович
  • Демидов Николай Николаевич
  • Мамаев Максим Александрович
RU2800740C1
Способ диагностики и мониторинга аномалий в кибер-физической системе 2021
  • Лаврентьев Андрей Борисович
  • Шкулев Вячеслав Игоревич
  • Травов Александр Викторович
  • Воронцов Артем Михайлович
  • Нечипорук Артем Михайлович
  • Мамаев Максим Александрович
  • Иванов Дмитрий Александрович
  • Демидов Николай Николаевич
RU2784981C1
Способ определения источников аномалии в кибер-физической системе 2020
  • Лаврентьев Андрей Борисович
  • Воронцов Артем Михайлович
  • Филонов Павел Владимирович
  • Шалыга Дмитрий Константинович
  • Шкулев Вячеслав Игоревич
  • Демидов Николай Николаевич
  • Иванов Дмитрий Александрович
RU2749252C1
Система и способ определения источника аномалии в кибер-физической системе, обладающей определенными характеристиками 2018
  • Лаврентьев Андрей Борисович
  • Воронцов Артем Михайлович
  • Филонов Павел Владимирович
  • Шалыга Дмитрий Константинович
  • Шкулев Вячеслав Игоревич
  • Демидов Николай Николаевич
  • Иванов Дмитрий Александрович
RU2724075C1
Система и способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя 2018
  • Лаврентьев Андрей Борисович
  • Воронцов Артем Михайлович
  • Филонов Павел Владимирович
  • Шалыга Дмитрий Константинович
  • Шкулев Вячеслав Игоревич
  • Демидов Николай Николаевич
  • Иванов Дмитрий Александрович
RU2724716C1
Система и способ определения устройств компьютерной сети с использованием правил инвентаризации 2019
  • Чистяков Александр Сергеевич
  • Романенко Алексей Михайлович
RU2746101C2
Способ приведения потока наблюдений параметров киберфизической системы, поступающих в реальном времени, к равно-интервальной временной сетке 2023
  • Мамаев Максим Александрович
  • Травов Александр Викторович
  • Лаврентьев Андрей Борисович
RU2825558C1
Способ выявления аномалий в киберфизической системе в реальном времени 2023
  • Мамаев Максим Александрович
  • Травов Александр Викторович
  • Лаврентьев Андрей Борисович
RU2824318C1
Система и способ корреляции событий для выявления инцидента информационной безопасности 2019
  • Люкшин Иван Станиславович
  • Кирюхин Андрей Александрович
  • Лукиян Дмитрий Сергеевич
  • Филонов Павел Владимирович
RU2739864C1
Система и способ контроля доступа к кибер-физической системе 2019
  • Зорин Сергей Геннадиевич
  • Шадрин Александр Викторович
RU2726884C1

Иллюстрации к изобретению RU 2 790 331 C1

Реферат патента 2023 года Способ определения аномалии в киберфизической системе

Изобретение относится к области промышленной безопасности, а более конкретно к способам определения аномалий в киберфизической системе. Технический результат заключается в повышении точности обнаружения аномалий в КФС. Согласно варианту реализации используется реализуемый компьютером способ определения аномалии в киберфизической системе (КФС), в котором: формируют по меньшей мере одно диагностическое правило, предназначенное для вычисления по меньшей мере одного вспомогательного параметра КФС, путем задания: набора параметров КФС, используемых в диагностическом правиле; способа вычисления значений по меньшей мере одного вспомогательного параметра КФС по данным значений набора параметров КФС; по меньшей мере одного входного окна – интервала времени для значений набора параметров КФС, а также выходного окна – интервала времени для вычисления значений вспомогательного параметра КФС; вычисляют значения по меньшей мере одного вспомогательного параметра КФС за выходное окно, используя значения набора параметров КФС за входное окно в соответствии со сформированным диагностическим правилом; определяют аномалию в КФС на основании значений всех параметров КФС. 11 з.п. ф-лы, 8 ил.

Формула изобретения RU 2 790 331 C1

1. Реализуемый компьютером способ определения аномалии в киберфизической системе (КФС), в котором:

а) формируют по меньшей мере одно диагностическое правило, предназначенное для вычисления по меньшей мере одного вспомогательного параметра КФС, путем задания:

набора параметров КФС, используемых в диагностическом правиле;

способа вычисления значений по меньшей мере одного вспомогательного параметра КФС по данным значений набора параметров КФС;

по меньшей мере одного входного окна — интервала времени для значений набора параметров КФС, а также выходного окна — интервала времени для вычисления значений вспомогательного параметра КФС;

б) вычисляют значения по меньшей мере одного вспомогательного параметра КФС за выходное окно, используя значения набора параметров КФС за входное окно в соответствии со сформированным диагностическим правилом;

в) определяют аномалию в КФС на основании значений всех параметров КФС.

2. Способ по п. 1, в котором задают по меньшей мере один из следующих способов вычисления значений вспомогательных параметров КФС:

по предварительно заданной формуле от значений набора параметров КФС;

путем сглаживания значений набора параметров КФС;

путем вычисления долгосрочных трендов от значений набора параметров КФС, аппроксимаций значений набора параметров КФС, статистических оконных моментов набора параметров КФС;

используют предварительно обученную нейросетевую модель машинного обучения для вычисления значений вспомогательных параметров КФС, где входными данными упомянутой модели машинного обучения являются значения набора параметров КФС.

3. Способ по п. 1, в котором значения параметров КФС включают по меньшей мере одно из следующих значений:

измерение датчика;

значение управляемого параметра исполнительного механизма;

уставку исполнительного механизма;

значения входных сигналов пропорционально-интегрально-дифференцирующего регулятора (ПИД-регулятора);

значение выходного сигнала ПИД-регулятора.

4. Способ по п. 1, в котором используют рекурсивные диагностические правила, которые в качестве входного параметра КФС используют по меньшей мере один ранее вычисленный вспомогательный параметр КФС.

5. Способ по п. 1, в котором все параметры КФС, как и их значения, являются совокупностью по меньшей мере одного подмножества параметров КФС и их значений.

6. Способ по п. 5, в котором определяют аномалию в КФС по меньшей мере одним из представленных ниже способов, при этом каждый способ в качестве входных данных получает значения параметров по меньшей мере одного подмножества параметров КФС:

в случае превышения общей ошибкой прогноза порогового значения, при этом предварительно выполняют прогнозирование значений подмножества параметров КФС и последующее определение общей ошибки прогноза для подмножества параметров КФС;

путем применения обученной базовой модели машинного обучения по значениям подмножества параметров КФС;

при выполнении правила определения аномалий;

в случае выхода значения по меньшей мере одного параметра КФС из подмножества параметров КФС за пределы предварительно заданного диапазона значений для указанного параметра КФС;

путем использования ансамбля из двух или более перечисленных выше способов.

7. Способ по п. 6, в котором для каждого подмножества параметров выбирают свой способ определения аномалий, после чего оценивают уровень критичности аномалий, определяемых по параметрам КФС каждого подмножества и, в итоге, вычисляют общий уровень критичности каждой аномалии, в частности путем усреднения уровней критичности по всем способам, определившим соответствующую аномалию, при этом подтверждают аномалию, если общий уровень критичности превышает заданный порог, причем уровень критичности аномалий задают, в частности, посредством оператора КФС, с использованием предварительно обученной модели машинного обучения, с использованием данных статистики по ранее определенным аномалиям.

8. Способ по п. 6, в котором подмножества параметров КФС выбирают с учетом по меньшей мере одной из характеристик подмножества:

значимости параметров КФС для ТП;

принадлежности параметров КФС к тому или иному типу оборудования;

физического или химического процесса;

однотипности физических параметров КФС в подмножестве.

9. Способ по п. 8, в котором выбирают параметры КФС, как и их значения, из числа всех параметров КФС, для формирования подмножеств параметров КФС в соответствии с по меньшей мере одним из: характеристиками подмножеств, характеристиками КФС, параметрами КФС.

10. Способ по п. 8, в котором для способов определения аномалий рассчитывают, в частности, следующие характеристики:

ранжированный, по убыванию вклада в определение аномалии, набор параметров КФС;

величины отклонений прогнозных значений параметров КФС от их истинных значений, среднеквадратичные точности прогнозов по меньшей мере части параметров КФС, используемых в данном способе обнаружения аномалий;

максимальные либо средние величины отклонений наблюдаемых значений параметров КФС от определенных заранее заданных пределов, длительности и частоты таких отклонений;

производительность данного способа определения аномалий.

11. Способ по п. 10, в котором для данного подмножества КФС способ определения аномалии выбирают, в частности, из следующих соображений: точности и полноты определения аномалий данным способом по данному подмножеству, производительности способа на этом подмножестве, экспертных знаний о подмножестве параметров КФС.

12. Способ по п. 10, в котором выбирают способ для каждого из подмножеств параметров КФС с учетом характеристик способа и характеристик подмножества.

Документы, цитированные в отчете о поиске Патент 2023 года RU2790331C1

Система и способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя 2018
  • Лаврентьев Андрей Борисович
  • Воронцов Артем Михайлович
  • Филонов Павел Владимирович
  • Шалыга Дмитрий Константинович
  • Шкулев Вячеслав Игоревич
  • Демидов Николай Николаевич
  • Иванов Дмитрий Александрович
RU2724716C1
Система и способ определения источника аномалии в кибер-физической системе, обладающей определенными характеристиками 2018
  • Лаврентьев Андрей Борисович
  • Воронцов Артем Михайлович
  • Филонов Павел Владимирович
  • Шалыга Дмитрий Константинович
  • Шкулев Вячеслав Игоревич
  • Демидов Николай Николаевич
  • Иванов Дмитрий Александрович
RU2724075C1
Способ определения источников аномалии в кибер-физической системе 2020
  • Лаврентьев Андрей Борисович
  • Воронцов Артем Михайлович
  • Филонов Павел Владимирович
  • Шалыга Дмитрий Константинович
  • Шкулев Вячеслав Игоревич
  • Демидов Николай Николаевич
  • Иванов Дмитрий Александрович
RU2749252C1
Способ выявления аномалий в работе сети автоматизированной системы 2020
  • Антипинский Андрей Сергеевич
  • Домуховский Николай Анатольевич
  • Комаров Денис Евгеньевич
  • Синадский Алексей Николаевич
RU2738460C1
Способ регенерирования сульфо-кислот, употребленных при гидролизе жиров 1924
  • Петров Г.С.
SU2021A1
Способ регенерирования сульфо-кислот, употребленных при гидролизе жиров 1924
  • Петров Г.С.
SU2021A1

RU 2 790 331 C1

Авторы

Лаврентьев Андрей Борисович

Мамаев Максим Александрович

Воронцов Артем Михайлович

Нечипорук Артем Михайлович

Травов Александр Викторович

Шкулев Вячеслав Игоревич

Иванов Дмитрий Александрович

Демидов Николай Николаевич

Даты

2023-02-16Публикация

2022-03-16Подача