Система и способ выявления аномалий в киберфизической системе Российский патент 2023 года по МПК G06F21/00 

Область техники

Изобретение относится к области промышленной безопасности, а более конкретно к системам и способам выявления аномалий в киберфизической системе.

Уровень техники

Одной из актуальных проблем промышленной безопасности является проблема безопасного функционирования технологических процессов (ТП). К основным угрозам для ТП можно отнести износ и отказ оборудования и агрегатов, непреднамеренные ошибки или злонамеренные действия в операционном управлении, компьютерные атаки на системы управления и информационную систему (ИС) и другие.

Для противодействия упомянутым угрозам традиционно используются системы безопасности киберфизических систем (КФС), к которым можно отнести системы противоаварийной защиты (ПАЗ), системы выявления аномалий на базе автоматизированной системы управления технологическим процессом (АСУ ТП) и специально выстроенные «внешние» системы мониторинга того или иного оборудования и агрегатов, при этом такие «внешние» системы как правило не интегрированы с АСУ ТП. Следует отметить, что вышеуказанные «внешние» системы в силу тех или иных особенностей КФС и ТП, протекающих в них, могут быть развернуты далеко не всегда. Однако даже в случае, если такая установка возможна, ее развертывание проводится лишь на критически важных узлах и агрегатах предприятия по причине дороговизны и сложности в обслуживании таких систем.

В отличие от «внешних» систем, система ПАЗ, напротив, выстраивается при проектировании предприятия, затем интегрируется с системой АСУ ТП и служит для предотвращения развития заранее известных аварийных процессов. Очевидным достоинством системы ПАЗ является ее простота, ориентированность на производственные процессы конкретного предприятия и учет всех конструкционных и технологических решений, используемых на этом предприятии. К недостаткам системы ПАЗ можно отнести достаточную инертность принятия решений в системе и присутствие человеческого фактора в принятии таких решений. Кроме того, ПАЗ функционирует в предположении корректного функционировании контрольно-измерительных приборов (КИП). Обеспечить выполнение безотказного функционирования КИП в полном объеме на практике не представляется возможным, поскольку КИП периодически выходят из строя, имеют тенденцию к временным сбоям, а дублирование всех КИП крайне затратное и не всегда технически возможно.

Системы выявления аномалий на базе телеметрии АСУ ТП в силу полноты таких данных располагают возможностями одновременно наблюдать за всеми ТП предприятия, за взаимодействиями различных ТП предприятия между собой, что позволяет даже при наличии отказов КИП уверенно детектировать аномалии, представляющие собой отклонения в поведении объекта мониторинга - КФС или ИС. Богатство данных, представленных в АСУ ТП, позволяет проводить мониторинг несколькими моделями всего предприятия - как физических (химических или других) процессов предприятия, так и корректности работы всех систем контроля этих процессов, включая корректность действий операторов производства.

Данные мониторинга включают:

• телеметрию физических и химических процессов, например показания сенсоров, значения уставок, уровни управляющих воздействий;

• события в КФС или ИС (далее - события), например отдельные команды, действия персонала, срабатывания сигналов тревоги и другие изменения в состоянии объекта мониторинга.

Для выявления аномалий в данных телеметрии могут применяться методы машинного обучения, с помощью которых могут быть построены высокоэффективные статистические модели корректной работы предприятия с огромным числом анализируемых параметров. Это позволяет находить даже незначительные отклонения в работе оборудования, причем уже на ранней стадии развития аномалии (см. патенты RU 2724716, RU 2724075, RU 2749252). Специальная архитектура и интерфейс таких систем позволяет им работать параллельно с системой АСУ ТП, не используя ее ресурсы, находить аномалии (англ. fault detection - обнаружение неисправности), отображать и локализовать (англ. fault isolation - локализация отказов) найденные аномалии, а также информировать операторов производства о найденных аномалиях с указанием тех или иных технологических параметров, по которым данная аномалия была определена.

Разнообразие методов выявления аномалий позволяет охватить весь спектр отклонений в ТП, однако, использование одного и того же или пересекающегося набора данных несколькими моделями определения аномалий одновременно приводит к необходимости объединения информации о найденных аномалий (англ. data fusion - слияние данных) для предоставления операторам производства уже всесторонней итоговой информации о наличии аномалии и ее характеристиках. Ярким примером такого подхода является внутритрубная диагностика магистральных трубопроводов методами неразрушающего контроля. Комбинированный внутритрубный дефектоскоп, как правило, состоит из нескольких отдельных диагностических модулей включающих ультразвуковой (УЗ) толщиномер WM, модуль(и) магнитного контроля MFL, УЗ детектор параллельных трещин и трещин сварных швов CD и другие. Прогон комбинированного дефектоскопа по промышленному нефтепроводу или продуктопроводу осуществляется путем последовательного соединения всех его составляющих в единый снаряд с последующим его движением в потоке продукта перекачки. Таким образом, вся диагностируемая трубопроводная система будет равномерно покрыта данными нескольких типов контроля, которые далее направляются в модули автоматического определения технологических параметров трубопровода и дефектов его стенки. Модули определения (детекторы) вышеуказанных дефектов (являющихся аномалиями) различаются в зависимости от физических принципов контроля так, что в результате каждый из модулей выдает свой собственный набор дефектов и их характеристик. Совершенно очевидно, что некоторые из типов дефектов будут наблюдаться и найдены несколькими из рассматриваемых модулей. Поэтому вполне естественно встает задача об объединении информации от разных модулей в понятие единого дефекта (комбинированной аномалии). Кроме того, в результате такого объединения представляется возможным произвести пересчет и уточнение важнейших характеристик дефекта, таких как его тип и размеры, что было бы невозможно в случае наличия только одного типа контроля.

Итак, возникает техническая проблема, заключающаяся в создании системы выявления аномалий в киберфизической системе, оперирующей несколькими модулями выявления аномалий с последующим объединением (ансамблированием) полученной информации от каждого из модулей в понятие комбинированной аномалии в КФС.

Раскрытие сущности изобретения

Первый технический результат заключается в масштабировании системы выявления аномалий в КФС за счет использования множества детекторов аномалий в КФС и ансамблирования результатов применения указанных детекторов для выявления аномалий в КФС.

Второй технический результат заключается в повышении точности выявления аномалий в КФС за счет использования множества детекторов аномалий в КФС с последующим объединением результатов всех указанных детекторов.

Согласно варианту реализации используется реализуемый компьютером способ выявления аномалий в киберфизической системе (КФС), в котором: собирают значения параметров КФС; формируют по меньшей мере два подмножества параметров КФС из числа параметров КФС; выбирают по меньшей мере два детектора аномалий из перечня детекторов и по меньшей мере одно сформированное подмножество параметров КФС для каждого выбранного детектора; осуществляют предобработку каждого подмножества параметров КФС перед передачей соответствующему детектору; выявляют по меньшей мере одну аномалию каждым выбранным детектором в данных соответствующего детектору подмножества параметров КФС; выявляют комбинированную аномалию в КФС путем ансамблирования результатов, полученных от выбранных детекторов.

В одном из частных вариантов реализации осуществляют постобработку выявленных аномалий от каждого выбранного детектора, причем осуществляют ансамблирование результатов, прошедших постобработку.

В другом частном варианте реализации при выборе детектора и соответствующего ему подмножества параметров КФС учитывают по меньшей мере одно из следующего: характеристики КФС; перечень параметров КФС и их значения из подмножества параметров КФС; тип и объем данных.

В еще одном частном варианте реализации при выборе детектора и соответствующего ему подмножества параметров КФС учитывают по меньшей мере одну из следующих характеристик, связанных с детектором: метрику качества; результаты анализа ROC-кривой; время выполнения; объем используемых компьютером ресурсов.

В одном из частных вариантов реализации предобработка подмножества параметров КФС включает по меньшей мере один из следующих этапов: буферизацию данных с временным буфером длины Δt; фильтрацию невалидных данных либо данных, пришедших с опозданием большим чем Δt; переупорядочение на основе моментов времени получения значений параметров КФС; заполнение пробелов в значения параметров КФС; интерполяцию на равномерную сетку; нормализацию значений параметров КФС; переупаковку значений параметров КФС для обработки детектором.

В другом частном варианте реализации детекторы из перечня детекторов реализуют по меньшей мере один из следующих способов выявления аномалий: способ, согласно которому выявляют аномалию в случае превышения общей ошибкой прогноза порогового значения, при этом предварительно выполняют прогнозирование значений параметров КФС и последующее определение общей ошибки прогноза для параметров КФС; способ, согласно которому выявляют аномалию путем применения модели машинного обучения по значениям параметров КФС; способ, согласно которому выявляют аномалию при выполнении правила выявления аномалий; способ, согласно которому выявляют аномалию на основании сравнения полученных значений параметров КФС с предельными значениями установленных диапазонов значений для параметров КФС.

В еще одном частном варианте реализации параметры КФС принимают по меньшей мере одно из следующих значений: измерение датчика; значение управляемого параметра исполнительного механизма; уставку исполнительного механизма; значение по меньшей мере одного входного сигнала пропорционально-интегрально-дифференцирующего регулятора (ПИД-регулятора); значение выходного сигнала ПИД-регулятора.

В одном из частных вариантов реализации значения параметров КФС собирают одновременно от всего КФС с указанием параметров КФС или от отдельных частей КФС в виде нескольких отдельных потоков значений параметров КФС с указанием параметров КФС, содержащихся в каждом потоке.

В другом частном варианте реализации проводят ансамблирование результатов, полученных от выбранных детекторов по меньшей мере одним из следующих способов: путем комбинирования областей локализации аномалий от отдельных детекторов с целью локализации общих аномалий, причем упомянутые области определяют аномалии в пространстве и/или времени; путем анализа вклада того или иного детектора в комбинированную аномалию; путем расчета заранее определенных характеристик комбинированной аномалии, используя характеристики аномалий, полученные от каждого из детекторов, и информации об его вкладе.

В еще одном частном варианте реализации для комбинирования областей или времен аномалий от отдельных детекторов используют по меньшей мере одно следующее условие: если пространственное или временное пересечение вышеуказанных областей превышает определенный процент от объединенной области; если центры соответствующих областей лежат в определенном пространственном или временном диапазоне; если специально предобученная нейронная сеть помечает данные области, как относящиеся к одной комбинированной аномалии.

В одном из частных вариантов реализации анализируют вклад того или иного детектора в аномалию путем задания вектора признаков, соответствующего общему числу детекторов, и последующего выполнения по меньшей мере одного из следующих действий: вклад детектора в аномалию приравнивают числу, рассчитанному по вкладу пространственной или временной области аномалии, полученной этим детектором, в комбинированную аномалию; определяют вклад по степени близости к центру этой комбинированной аномалии; определяют вклад путем применения предобученной нейронной сети, оценивающей такой вклад; при отсутствии в образовании комбинированной аномалии того или иного детектора, его вклад устанавливают равным нулю; при наличии информации о степени достоверности или критичности того или иного детектора для технологического процесса (ТП) в КФС, в котором упомянутый детектор выявляет аномалию, вклад этого детектора изменяют.

В другом частном варианте после выявления по меньшей мере одной аномалии каждым выбранным детектором, дополнительно выполняют постобработку выходных данных, в частности, рассчитывают расширенный набор характеристик аномалии, включающий оценку опасности аномалий, типизацию и определение размеров таких аномалий, нормализацию и унификацию выходной информации об аномалиях, причем выявляют комбинированную аномалию в КФС путем ансамблирования результатов, полученных от выбранных детекторов и прошедших упомянутую постобработку.

В еще одном частном варианте реализации при невозможности расчета характеристики аномалии в детекторе, устанавливают заранее выбранное значение для указанной характеристики аномалии.

В одном из частных вариантов реализации рассчитывают по меньшей мере одну из следующих характеристик аномалии, связанных с выявившем её детектором: класс опасности аномалии, выявленной детектором, ее тип и размеры; вероятности определения аномалии детектором; величины отклонений прогнозных значений параметров КФС от их истинных значений или значений по умолчанию, величины указанных отклонений от уставок, среднеквадратичные величины меры отклонений отдельных или всех параметров КФС, используемых в детекторе; максимальные или средние величины отклонений наблюдаемых значений параметров КФС от определенных заранее заданных пределов, длительности во времени и частоты указанных отклонений; производительность детектора при выявлении аномалии.

В другом частном варианте реализации для подмножества параметров КФС выбирают тот детектор, который обеспечивает нужную точность и полноту определения аномалий данным детектором по данному подмножеству параметров КФС, или заданную производительность детектора на этом подмножестве параметров КФС, или в соответствии с экспертными знаниями о подмножестве параметров КФС.

В еще одном частном варианте реализации подмножества параметров КФС выбирают с учетом по меньшей мере одной из следующих характеристик подмножества КФС: значимости параметров КФС для ТП; принадлежности параметров КФС к тому или иному типу оборудования; принадлежности к одному ТП; однотипности физических параметров КФС в подмножестве.

Согласно варианту реализации используется система выявления аномалий в киберфизической системе (КФС), содержащая: средство сбора данных, предназначенное для сбора значений параметров КФС; средство формирования, предназначенное для: формирования по меньшей мере двух подмножеств параметров КФС из числа параметров КФС; выбора по меньшей мере двух детекторов из перечня детекторов и по меньшей мере одного сформированного подмножества параметров КФС для каждого выбранного детектора; по меньшей мере один блок предобработки, предназначенный для обработки каждого подмножества параметров КФС перед передачей соответствующему детектору, причем каждому детектору соответствует свой набор блоков предобработки; упомянутые по меньшей мере два детектора, предназначенные для выявления по меньшей мере одной аномалии в данных соответствующего детектору подмножества параметров КФС; средство ансамблирования, предназначенное для выявления комбинированной аномалии в КФС путем ансамблирования результатов, полученных от выбранных детекторов.

В одном из частных вариантов реализации блоки предобработки выполняют по меньшей мере один из следующих этапов: буферизацию данных с временным буфером длины Δt; фильтрацию невалидных данных либо данных, пришедших с опозданием большим чем Δt; переупорядочение на основе моментов времени получения значений параметров КФС; заполнение пробелов в значения параметров КФС; интерполяцию на равномерную сетку; нормализацию значений параметров КФС; переупаковку значений параметров КФС для обработки детектором.

В другом частном варианте реализации используется система, дополнительно содержащая по меньшей мере один блок постобработки, предназначенный для обработки выходных данных соответствующего ему детектора перед передачей средству ансамблирования, причем каждому детектору соответствует свой набор блоков постобработки.

В еще одном частном варианте реализации блоки постобработки выполняют по меньшей мере один из следующих этапов: оценку опасности аномалий; типизацию и определение размеров таких аномалий; нормализацию и унификацию выходной информации об аномалиях.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

На Фиг. 1а изображен пример технологической системы.

На Фиг. 1б изображен частный пример имплементации технологической системы.

На Фиг. 1в представлен возможный вариант организации интернета вещей на примере носимых устройств.

На Фиг. 1г представлен возможный набор датчиков устройств.

На Фиг. 2 представлен пример КФС, обладающей определенными характеристиками, а также системы выявления аномалий в КФС.

На Фиг. 3 представлены примеры средств выявления аномалий.

На Фиг. 4 представлена система выявления аномалий в КФС.

На Фиг. 5 представлен пример конвейера обработки данных.

На Фиг. 6 представлен способ выявления аномалий в КФС.

Фиг. 7 представляет пример компьютерной системы общего назначения, с помощью которой может быть реализовано настоящее изобретение.

Осуществление изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.

Глоссарий

Объект управления - технологический объект, на который направляются внешние воздействия (управляющие и/или возмущающие) с целью изменения его состояния, в частном случае такими объектами являются устройство (например, электродвигатель) или технологический процесс (или его часть).

Технологический процесс (ТП) - процесс материального производства, заключающийся в последовательной смене состояний материальной сущности (предмета труда).

Контур управления (англ. control loop) - состоит из материальных сущностей и управляющих функций, необходимых для автоматизированной регулировки значений измеренных технологических параметров к значениям желаемых уставок. Контур управления содержит датчики и сенсоры, контроллеры и исполнительные механизмы.

Технологический параметр (англ. Process Variable, PV) - текущее измеренное значение определенной части ТП, который наблюдается или контролируется. Технологическим параметром может быть, например, измерение датчика.

Уставка (англ. setpoint) - поддерживаемое значение технологического параметра.

Управляемый параметр (англ. Manipulated Variable, MV) - параметр, который регулируется для того, чтобы значение технологического параметра поддерживалось на уровне уставки.

Внешнее воздействие - способ изменения состояния элемента, на которое направлено воздействие (например, элемента технологической системы (ТС)) в определенном направлении, воздействие от элемента ТС к другому элементу ТС передается в виде сигнала.

Состояние объекта управления - совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий, в том числе и управляющих воздействий со стороны подсистемы управления. Параметр состояния - одно или несколько числовых значений, характеризующих существенное свойство объекта, в частном случае параметр состояния является числовым значением физической величины.

Формальное состояние объекта управления - состояние объекта управления, соответствующее технологической карте и другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве).

Управляющее воздействие - целенаправленное (цель воздействия - воздействие на состояние объекта) легитимное (предусмотренное ТП) внешнее воздействие со стороны субъектов управления подсистемы управления на объект управления, приводящее к изменению состояния объекта управления или удержанию состояния объекта управления.

Субъект управления - устройство, которое направляет управляющее воздействие на объект управления или передает управляющее воздействие другому субъекту управления для преобразования перед непосредственным направлением на объект.

Состояние субъекта управления - совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий. Параметр состояния - одно или несколько числовых значений, характеризующих существенное свойство субъекта, в частном случае параметр состояния является числовым значением физической величины.

Существенными свойствами (соответственно и существенными параметрами состояния) субъекта управления являются свойства, оказывающие непосредственное влияние на состояние объекта управления. При этом существенными свойствами объекта управления являются свойства, оказывающие непосредственное влияние на контролируемые факторы (точность, безопасность, эффективность) функционирования ТС. Например, соответствие режимов резания формально заданным режимам, движение поезда в соответствии с расписанием, удержание температуры реактора в допустимых границах. В зависимости от контролируемых факторов выбираются параметры состояния объекта управления и соответственно связанные с ними параметры состояний субъектов управления, оказывающие управляющее воздействие на объект управления.

Многоуровневая подсистема управления - включающая несколько уровней совокупность субъектов управления.

Информационная система (англ. information system) - совокупность вычислительных устройств и используемых для их связи коммуникаций,

Киберфизическая система (англ. cyber-physical system) - информационно-технологическая концепция, подразумевающая интеграцию вычислительных ресурсов в физические процессы. В такой системе датчики, оборудование и информационные системы соединены на протяжении всей цепочки создания стоимости, выходящей за рамки одного предприятия или бизнеса. Эти системы взаимодействуют друг с другом с помощью стандартных интернет-протоколов для прогнозирования, самонастройки и адаптации к изменениям. Примерами киберфизической системы является технологическая система, интернет вещей (в том числе носимые устройства), промышленный интернет вещей.

Интернет вещей (англ. Internet of Things, IoT) - вычислительная сеть физических предметов («вещей»), оснащённых встроенными сетевыми технологиями для взаимодействия друг с другом или с внешней средой. Интернет вещей включает такие технологии, как носимые устройства, электронные системы транспортных средств, умные автомобили, умные города, промышленные системы и пр.

Промышленный Интернет вещей (англ. Industrial Internet of Things, IIoT) - состоит из подключенного к Интернету оборудования и платформ расширенной аналитики, которые выполняют обработку данных, получаемых от подключенных устройств. Устройства IIoT могут быть самыми разными - от небольших датчиков погоды до сложных промышленных роботов. Несмотря на то, что слово «промышленный» вызывает такие ассоциации, как склады, судоверфи и производственные цеха, технологии IIoT имеют большой потенциал использования в самых различных отраслях, включая сельское хозяйство, здравоохранение, финансовые услуги, розничную торговлю и рекламу. Промышленный Интернет вещей является подкатегорией Интернета вещей¹ (¹https://www.hpe.com/ru/ru/what-is/industrial-iot.html).

Объект - объект мониторинга, в частности ИС или КФС.

Технологическая система (ТС) - функционально взаимосвязанная совокупность субъектов управления многоуровневой подсистемы управления и объекта управления (ТП или устройство), реализующая через изменение состояний субъектов управления изменение состояния объекта управления. Структуру технологической системы образуют основные элементы технологической системы (взаимосвязанные субъекты управления многоуровневой подсистемы управления и объект управления), а также связи между этими элементами. В том случае, когда объектом управления в технологической системе является технологический процесс, конечной целью управления является изменение состояния предмета труда (сырья, заготовки и т.д.) через изменение состояния объекта управления. В том случае, когда объектом управления в технологической системе является устройство, конечной целью управления является изменение состояния устройства (транспортное средство, космический объект и т.д.). Функциональная взаимосвязь элементов ТС подразумевает взаимосвязь состояний этих элементов. При этом непосредственной физической связи между элементами может и не быть, в частности, физическая связь между исполнительными механизмами и технологической операцией отсутствует. К примеру, скорость резания функционально связана с частотой вращения шпинделя несмотря на то, что физически эти параметры состояний не связаны.

Компьютерная атака (также кибератака, от англ. cyber attack) - целенаправленное воздействие на информационные системы и информационно-телекоммуникационные сети программно-техническими средствами, осуществляемое в целях нарушения безопасности информации в этих системах и сетях (см. «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 N 803).

Аномалия в КФС или ИС, аномалия - отклонение от техпроцесса в КФС или ИС. Аномалия может возникнуть, например, из-за компьютерной атаки, из-за некорректного или нелегитимного вмешательства человека в работу ТС или ТП, из-за сбоя или отклонения технологического процесса, в том числе связанного с периодами смены его режимов, из-за перевода контуров управления в ручной режим или из-за некорректных показаний датчиков, а также по другим причинам, известным из уровня техники. Аномалия может характеризоваться отклонением параметров КФС.

Область аномалии, область локализации аномалии - диапазон времени наблюдения аномалии (временная область) и/или место возникновения аномалии - то есть указание на элемент или часть КФС, где возникла аномалия (пространственная область), например, указание на датчик или его координаты, в котором возникла аномалия. Для каждой аномалии определена область локализации аномалии - временная и/или пространственная. Для определения пространственных областей КФС может быть разделена на различные части в соответствии с принадлежностью к разным ТП или его частям, в соответствии с принадлежностью к разным физическим или логическим областям КФС и согласно другим критериям, в том числе задаваемым оператором КФС.

На Фиг. 1а схематично изображен пример технологической системы 100, которая включает в себя элементы 110а и 110б, где элементы ТС: объект управления 110а; субъекты управления 110б, образующие многоуровневую подсистему управления 120; горизонтальные связи 130а и вертикальные связи 130б. Субъекты управления 110б сгруппированы по уровням 140.

На Фиг. 1б схематично изображен частный пример имплементации технологической системы 100'. Объектом управления 110а' является ТП или устройство, на объект управления 110а' направляются управляющие воздействия, которые вырабатываются и реализуются автоматизированной системой управления (АСУ) 120', в АСУ 120' различают три уровня 140', состоящих из субъектов управления 110б', взаимосвязанных между собой как по горизонтали горизонтальными связями (связи внутри уровня, на фигуре не указаны), так и по вертикали вертикальными связями 130б' (связи между уровнями). Взаимосвязи являются функциональными, т.е. в общем случае изменение состояния субъекта управления 110б' на одном уровне вызывает изменение состояний связанных с ним субъектов управления 110б' на этом уровне и других уровнях. Информация об изменении состояния субъекта управления 110б' передается в виде сигнала по горизонтальным и вертикальным связям, установленным между субъектами управления 110б', т.е. информация об изменении состояния рассматриваемого субъекта управления 110б' является внешним воздействием по отношению к другим субъектам управления 110б'. Уровни 140' в АСУ 120' выделяют в соответствии с назначением субъектов управления 110б'. Количество уровней может варьироваться в зависимости от сложности АСУ 120'. Простые системы могут содержать в себе один или несколько нижних уровней. Для физической связи элементов ТС (110а, 110б) и подсистем ТС 100 используются проводные сети, беспроводные сети, интегральные микросхемы, для логической связи между элементами ТС (110а, 110б) и подсистемами ТС 100 используются Ethernet, промышленный Ethernet, промышленные сети. При этом промышленные сети и протоколы используются различных типов и стандартов: Profibus, FIP, ControlNet, Interbus-S, DeviceNet, P-NET, WorldFIP, LongWork, Modbus и др.

Верхний уровень (уровень supervisory control and data acquisition, SCADA) - это уровень диспетчерско-операторского управления, включает в себя, по меньшей мере, следующие субъекты управления 110б': контроллеры, управляющие компьютеры, человеко-машинные интерфейсы (англ. human-machine interface, HMI) (на Фиг. 1б, Фиг. 2 изображены в рамках одного субъекта управления SCADA). Уровень предназначен для отслеживания состояний элементов ТС (110а', 110б'), получения и накопления информации о состоянии элементов ТС (110а', 110б') и при необходимости их корректировки.

Средний уровень (уровень control) - это уровень контроллеров, включает, по меньшей мере, следующие субъекты управления 110б': программируемые логические контроллеры (англ. Programmable Logic Controller, PLC), счетчики, реле, регуляторы. Субъекты управления 110б' типа «PLC» получают информацию с субъектов управления 110б' типа «контрольно-измерительное оборудование» и субъектов управления 110б' типа «датчики» о состоянии объекта управления 110а'. Субъекты управления 110б' типа «PLC» вырабатывают (формируют) управляющее воздействие в соответствии с запрограммированным алгоритмом управления на субъекты управления 110б' типа «исполнительные механизмы». Исполнительные механизмы непосредственно реализуют указанное управляющее воздействие (применяют к объекту управления) на нижнем уровне. Исполнительный механизм (англ. actuator) - часть исполнительного устройства (оборудования). Регуляторы, например, ПИД-регуляторы (пропорционально-интегрально-дифференцирующий регулятор, англ. proportional-integral-derivative controller - PID controller) являются устройствами в контуре управления с обратной связью.

Нижний уровень (уровень Input/Output) - это уровень таких субъектов управления 110б’, как датчики и сенсоры (англ. sensors), контрольно-измерительные приборы (КИП), контролирующие состояние объекта управления 110а', а также исполнительные механизмы (actuators). Исполнительные механизмы непосредственно воздействуют на состояние объекта управления 110а' для приведения его в соответствие с формальным состоянием, т.е. состоянием, соответствующим технологическому заданию, технологической карте или другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве). На этом уровне осуществляется согласование сигналов от субъектов управления 110б' типа «датчики» с входами субъектов управления 110б' среднего уровня и согласование вырабатываемых субъектами управления 110б' типа «PLC» управляющих воздействий с субъектами управления 110б' типа «исполнительные механизмы», которые их реализуют. Исполнительный механизм - это часть исполнительного устройства. Исполнительное устройство осуществляет перемещение регулирующего органа в соответствии с сигналами, поступающими от регулятора или управляющего устройства. Исполнительные устройства являются последним звеном цепи автоматического управления и в общем случае состоят из следующих элементов (вспомогательных устройств):

• устройства усиления (контактор, частотный преобразователь, усилитель, и т.п.);

• исполнительного механизма (электро-, пневмо-, гидропривод) с элементами обратной связи (датчики положения выходного вала, сигнализации конечных положений, ручного привода и тому подобное);

• регулирующего органа (вентили, клапаны, заслонки, шиберы и т.п.).

В зависимости от условий применения исполнительные устройства конструктивно могут различаться между собой. К основным элементам исполнительных устройств обычно относят исполнительные механизмы и регулирующие органы.

В частном примере исполнительное устройство в целом называют исполнительным механизмом.

Стоит отметить, что для решения задач планирования и управления предприятием используется АСУП 120а' (автоматическая система управления предприятием), которая является частью АСУ 120'.

На Фиг. 1в представлен возможный вариант организации интернета вещей на примере носимых устройств. Система содержит множество различных компьютерных устройств 151 пользователя. Среди устройств пользователя 151 могут быть, например, смартфон 152, планшет 153, ноутбук 154, носимые устройства, такие, как очки дополненной реальности 155, «умные» часы 156 (англ. smart watch) и др. Устройства пользователя 151 содержат множество различных датчиков 157а-157n, например, монитор сердечного ритма 2001 и шагомер 2003.

Стоит отметить, что датчики 157а-157n могут находиться как на одном устройстве пользователя 151, так и на нескольких. Более того, некоторые датчики 157а-157n могут находиться на нескольких устройствах пользователя 151 одновременно. Часть датчиков 157а-157n может быть представлена в нескольких экземплярах. Например, модуль Bluetooth может находиться на всех устройствах пользователя 151, а смартфон 152 может содержать два и более микрофона, необходимых для шумоподавления и определения расстояния до источника звука.

На Фиг. 1г представлен возможный набор датчиков устройств 151. Среди датчиков 157а-157n могут быть, например, следующие:

• монитор сердечного ритма (датчик сердцебиения) 2001 для определения частоты пульса пользователя. В одном примере реализации монитор сердечного ритма 2001 может содержать электроды и измерять электрокардиограмму;

• датчик насыщения крови кислородом (сатурации) 2002;

• шагомер 2003;

• датчик сканирования отпечатков пальцев 2004;

• датчик распознавания жестов 2005;

• камеры 2006, например, камера, направленная на глаза пользователя, служащая для определения движения глаз пользователя, а также аутентификации личности пользователя по радужной оболочке или сетчатке глаза, а также камера, направленная на окружающую устройство пользователя среду;

• датчик температуры тела 2007 пользователя (например, имеющий непосредственный контакт с телом пользователя или бесконтактный);

• микрофон 2008;

• датчик ультрафиолетового излучения 2009;

• приемник системы геолокации 2010, например, приемник GPS, ГЛОНАСС, BeiDou, Galileo, DORIS, IRNSS, QZSS и др.;

• Один или несколько модулей беспроводной связи (например, GSM, LTE, NFC, Bluetooth, Wi-Fi и другие) 2011;

•датчик температуры окружающей среды 2012;

• барометр 2013;

• геомагнитный датчик 2014 (электронный компас);

• датчик влажности 2015;

• датчик освещения 2016;

• датчик приближения 2017;

• датчик глубины изображения 2018;

• акселерометр 2019;

• гироскоп 2020;

• датчик Холла 2021 (датчик магнитного поля);

• дозиметр-радиометр 2022.

На Фиг. 2 представлен пример киберфизической системы 200, обладающей определенными характеристиками, а также система выявления аномалий в КФС (также - конвейер обработки данных, англ. pipeline - конвейер) 500. КФС 200 представлена в упрощенном варианте. Примерами КФС 200 являются описанные ранее технологическая система (ТС) 100 (см. Фиг. 1а-1б), интернет вещей (см. Фиг. 1в-1г), промышленный интернет вещей, ИС. Для определенности далее в заявке в качестве основного примера КФС 200 будет рассматриваться ТС. Как уже упоминалось ранее при описании Фиг. 1а-1б, КФС 200 содержит множество субъектов управления, таких как датчики, исполнительные механизмы, ПИД-регуляторы. Данные упомянутых субъектов управления в необработанном виде передают на PLC. При этом может использоваться аналоговый сигнал для передачи данных. Затем PLC выполняет обработку данных и преобразование данных в цифровой вид - в значения параметров КФС, включающих технологические параметры КФС (то есть в данные телеметрии КФС 200), а также в события (например, включение того или иного датчика, срабатывание сигналов тревоги датчиков, отдельные команды и другие). Значения параметров КФС затем передают системе SCADA 110б' и системе выявления аномалий в КФС 500.

Система выявления аномалий в КФС 500 содержит детекторы аномалий 300 (также модули выявления аномалий, далее - детекторы). Примеры детекторов 300, в частности средств 301-305, представлены на Фиг. 3, описание вариантов их реализации представлено ниже.

Описание детекторов аномалий 300

Детекторы 300 служат для выявления аномалий в КФС 200, а также сопутствующей информации о выявленных аномалиях. В частном варианте реализации информация об аномалиях в КФС 200 включает такие сведения об аномалии, как область локализации аномалии, значения параметров КФС в каждый момент диапазона времени наблюдения аномалии, вклад каждого параметра КФС в аномалию, информацию о способе выявления указанной аномалии (то есть о детекторе 300, выявившем аномалию). В еще одном частном варианте реализации информация об аномалиях в КФС 200 дополнительно включает для каждого параметра КФС по меньшей мере одно из: временной ряд значений, текущую величину отклонения спрогнозированного значения от фактического значения, сглаженную величину отклонения спрогнозированного значения от фактического значения. В другом частном случае информация об аномалиях в КФС 200 дополнительно включает информацию о максимальных, минимальных и средних значениях параметров КФС, взятых за период аномалии, других статистических и детерминированных характеристиках, включая выборочные дисперсии и квантили, спектр Фурье и вейвлет преобразований, сверточные операторы от параметров КФС.

В качестве детекторов 300 могут быть использованы система и способ определения аномалии в КФС 301, описанные ранее в патентах RU2724716, RU2724075, RU2749252, которые осуществляют определение аномалии путем прогнозирования значений подмножества параметров КФС (в упомянутых патентах использовался термин «признаки КФС», соответствующий термину «параметры КФС» в заявленном изобретении) и последующего определения общей ошибки прогноза для подмножества параметров КФС, при этом определяют аномалию в КФС 200 в случае превышения общей ошибкой прогноза порогового значения, кроме того, определяют вклад подмножества параметров КФС в общую ошибку прогноза как вклад ошибки прогноза соответствующего параметра КФС в общую ошибку прогноза.

Детекторы 300 могут включать модуль базовой модели 302, предназначенный для применения обученной модели машинного обучения для выявления аномалий по значениям подмножества параметров КФС (далее - базовая модель). При этом базовая модель может быть обучена на данных обучающей выборки, включающей или не включающей известные аномалии в КФС 200 и значения подмножества параметров КФС за определенный период времени - то есть используется модель машинного обучения с учителем. Кроме того, в качестве базовой модели может быть использована модель машинного обучения без учителя. Для повышения качества базовой модели могут выполнять тестирование и валидацию обученной базовой модели на тестовой и валидационной выборках соответственно. При этом тестовая и валидационная выборки могут включать известные аномалии и значения подмножества параметров КФС за определенный период времени, предшествующий известной аномалии в КФС 200, но отличаются от обучающей выборки.

В еще одном варианте реализации детекторы 300 включают модуль определения на основе правил 303, с использованием которого применяют правила определения аномалий. Такие правила могут быть предварительно сформированы и получены от оператора КФС посредством интерфейса обратной связи и содержат условия, применяемые к значениям подмножества параметров КФС, при выполнении которых определяют аномалию.

В еще одном частном варианте реализации детекторы 300 включают модуль определения на основе предельных значений 304, с использованием которого определяют аномалию, когда значение по меньшей мере одного параметра КФС из подмножества параметров КФС вышло за пределы предварительно заданного диапазона значений для указанного параметра КФС. При этом указанные диапазоны значений могут быть рассчитаны из значений характеристик или документации для КФС 200 или быть получены от оператора КФС посредством интерфейса обратной связи.

В еще одном частном варианте реализации детекторы 300 включают модуль диагностических правил 305, с использованием которого формируют диагностические правила путем задания набора параметров КФС, используемых в диагностическом правиле, и способа вычисления значений вспомогательного параметра КФС с последующим вычислением значений вспомогательных параметров КФС с использованием заданного набора параметров КФС и в соответствии со сформированным диагностическим правилом. В итоге модуль диагностических правил 305 определяет аномалию в КФС 200 на основании значений всех параметров КФС.

В еще одном частном варианте реализации детекторы 300 включают систему графического интерфейса для определения аномалии оператором КФС вручную (см. патент RU2724716), информация о которой может быть передана через интерфейс обратной связи.

На Фиг. 4 представлена система выявления аномалий в КФС (конвейер обработки данных) 500. Данные КФС 200 собирают либо в режиме реального времени, либо эти данные могут быть считаны из файлов (например, формата «csv»), баз данных или получены от сторонних приложений. Данные могут быть представлены в виде перечня параметров КФС 401а и измеренных значений упомянутых параметров КФС 401 в формате «временная метка - значение параметра КФС» и сохранены в хранилище данных 410. Временная метка может соответствовать фактическому времени измерения, времени сохранения значения или времени семплирования этого параметра КФС. При этом фактическое время получения данных средством сбора данных 402 может отличаться от времени, указанном во временной метке, по причине задержек при передаче данных, связанных, например, с большой нагрузкой по передаче данных или по другим причинам. Кроме того, временная метка может соответствовать времени получения значения параметра КФС. В другом частном варианте реализации временная метка является временем записи значения параметра КФС в хранилище данных 410.

В частном варианте реализации значения параметров КФС 401 включают по меньшей мере одно из следующих значений:

• измерение датчика;

• значение управляемого параметра исполнительного механизма;

• уставку исполнительного механизма;

• значения входных сигналов пропорционально-интегрально-дифференцирующего регулятора (ПИД-регулятора);

• значение выходного сигнала ПИД-регулятора.

В частном варианте реализации данные КФС 200 (то есть значения параметров КФС 401) собирают одним из возможных способов:

• одновременно от всего КФС 200 с указанием параметров КФС 401а;

• в виде нескольких отдельных потоков данных от отдельных частей КФС 200 с указанием параметров КФС 401а, содержащихся в каждом потоке данных.

После получения значений параметров КФС 401 средством сбора данных 402 создают реестр параметров КФС, представленных в этих данных, после чего эта информация поступает в средство формирования 403, которое предназначено для:

а) формирования подмножеств параметров КФС 411 из числа параметров КФС 401а, при этом указанные подмножества 411 сохраняют в хранилище данных 410;

б) выбора детектора из перечня детекторов 412 для каждого из подмножеств параметров КФС 411, где перечень детекторов 412 включает часть или все детекторы 300, представленные на Фиг. 3, и содержится в хранилище данных 410;

в) выбора блоков предобработки и постобработки для выбранных детекторов 300.

Стоит отметить, что все подмножества 411 в совокупности образуют множество всех параметров КФС. Стоит также отметить, что указанные подмножества 411 могут совпадать, пересекаться и не пересекаться. В частном варианте реализации некоторые параметры КФС могут быть не включены ни в одно из подмножеств 411. В этом случае все подмножества 411 в совокупности образуют множество всех параметров КФС за исключением тех параметров КФС, не включенных ни в одно из подмножеств 411.

Стоит отметить, что упомянутое хранилище данных 410 предназначено как для хранения данных, так и для предоставления доступа к данным, включающим полученные значения параметров КФС 401, сформированные подмножества параметров КФС 411 и перечень детекторов 412. Причем перечень детекторов 412 может быть задан заранее.

Блоки предобработки 501 предназначены для обработки каждого подмножества параметров КФС 411 перед передачей соответствующему детектору 300 (например, блок комбинированной обработки, включающий блоки предобработки на Фиг. 5). Каждому детектору 300 соответствует свой набор блоков предобработки 501 из одного или более блоков. Каждый из блоков постобработки 502 предназначен для обработки выходных данных соответствующего ему детектора 300 перед передачей средству ансамблирования 404 (см. подробнее на Фиг. 5). Каждому детектору 300 соответствует свой набор блоков постобработки 502 из одного или более блоков. Параметры КФС 401а разделяют на подмножества параметров КФС 411 согласно определенному принципу, например, в зависимости от характеристик подмножеств (по принадлежности к тому или иному типу оборудования), по физическому смыслу (по принадлежности к одному физическому процессу, однотипным физическим параметрам КФС, например, температура или давление, по опасности для ТП и т.д.).

В частном варианте реализации подмножества параметров КФС 411 выбирают с учетом по меньшей мере одной из характеристик подмножества:

• значимости параметров КФС для ТП;

• принадлежности параметров КФС к тому или иному типу оборудования;

• принадлежности к одному физическому (химическому или другому) ТП;

• однотипности физических параметров КФС в подмножестве (температуры, давления и так далее).

Выбор детектора 300 для подмножеств параметров КФС 411

Для каждого из подмножеств параметров КФС 411 выбор детектора 300 проводится с учетом характеристик такого детектора 300 и характеристик подмножества параметров КФС 411, используемых для определения аномалий данным детектором 300. Так, для данного подмножества параметров КФС 411 детектор 300 может быть выбран на основании по меньшей мере одного из следующих соображений: точности и полноты определения аномалий данным детектором 300 по данному подмножеству параметров КФС 411, производительности детектора 300 на этом подмножестве параметров КФС 411, экспертных знаний о подмножестве параметров КФС 411 (если параметры КФС подмножества относятся к определенному ТП, типу оборудования и т.д.) и другими.

В частном варианте реализации выбирают детектор 300 и соответствующее ему подмножество параметров КФС 411 с учетом, в частности, по меньшей мере одного из следующего:

• характеристик КФС 200;

• перечня параметров КФС 401а из подмножества параметров КФС 411;

• типа и объема данных.

В еще одном частном варианте реализации дополнительно учитывают значения параметров КФС при выборе детектора 300 и соответствующего ему подмножества параметров КФС 411.

Так, для КФС 200, оперирующих с быстрыми временными процессами (порядка 1-10 мс), характерными, например, для электротехнического оборудования, критически важным становится своевременное обнаружение аномалии, что, в свою очередь, накладывает серьезные ограничения как на количество обрабатываемых детектором параметров из подмножества параметров КФС 411, так и на выбор самого детектора - здесь предпочтение отдается пороговым детекторам или детекторам, основанных на простых диагностических правилах. Наоборот, для медленнотекущих, инертных процессов, характерных для нефтехимической промышленности с их огромным числом параметров (от 1000-10000) и временами реакции порядка 1-10 минут, выбирают подмножества 411, состоящие из параметров КФС, покрывающих те или иные установки КФС, например, атмосферные или вакуумные колонны, и содержащие сотни таких параметров КФС. В качестве же детектора аномалий для таких подмножеств 411, как правило, берут обучаемые статистические или нейросетевые модели, учитывающие всю сложность протекающих процессов в таких установках или КФС.

В другом частном варианте реализации выбирают детектор 300 и соответствующее ему подмножество параметров КФС 411 с учетом, в частности, по меньшей мере одной из следующих характеристик, связанных с детектором 300:

• метрики качества;

• результатов анализа ROC-кривой;

• времени выполнения;

• объема используемых компьютером ресурсов.

В еще одном частном варианте реализации характеристики, связанные с детектором 300 включают производительность данного детектора 300, например, объем памяти, процессорное временя, количество ядер процессора компьютера, количество компьютеров, связанных по сети и участвующих в реализации способа и другими).

Выбор блоков конвейера обработки данных

На Фиг. 5 представлен пример конвейера обработки данных 500 - в рамках настоящего изобретения это набор блоков предобработки 501, детекторов 300 и блоков постобработки 502.

Блоки конвейера 500, в частности блоки предобработки 501 и постобработки 502 - это функциональные модули, реализованные на процессоре компьютера (см. пример на Фиг. 7) с возможностью выполнения заданного функционала. Каждому выбранному детектору 300 соответствует свой набор блоков предобработки 501 и блоков постобработки 502 - эта информация может содержаться, например, в перечне детекторов 412 или в отдельном списке в хранилище данных 410. Блоки предобработки 501 служат для обработки данных подмножества параметров КФС 411, выбранного для детектора 300 и полученных от средства формирования 403, либо для обработки данных, полученных от других блоков предобработки 501. Данные последнего блока предобработки 501 передают блоку детектора 300. Блоки постобработки 502 служат для обработки выходных данных соответствующего ему детектора аномалий 300 (то есть информации о выявленных аномалиях). Последний из блоков постобработки передает обработанные данные средству ансамблирования 404.

Для обработки входного потока данных могут применяться следующие блоки предобработки 501: блок выравнивания и блок выстраивания данных по времени, блок фильтрация данных, блок интерполяции данных на равномерную сетку, блок нормализации и переупаковки данных и другие блоки, тогда как для блоков постобработки 502 типично приведение информации о найденных аномалиях в некоторый заранее утвержденный унифицированный вид для облегчения их дальнейшего ансамблирования.

Выбор блоков предобработки 501 и постобработки 502 зависит от выбора детектора 300 и требуемой выходной информации о найденных аномалиях.

В одном частном варианте реализации перед передачей выбранным детекторам 300 данных дополнительно выполняют обработку этих данных блоком предобработки 501, включающую по меньшей мере один из следующих этапов:

• буферизацию данных с некоторым временным буфером длины Δt;

• фильтрацию (удаление) невалидных данных либо данных, пришедших с опозданием большим чем Δt;

• переупорядочение на основе моментов времени получения значений параметров КФС 401;

• заполнение пробелов в значения параметров КФС 401;

• интерполяцию на равномерную сетку;

• нормализацию значений параметров КФС 401;

• переупаковку значений параметров КФС для обработки детектором 300.

После отработки детектором 300 вне зависимости от его типа в информацию об аномалиях в КФС 200 могут включать такие сведения об аномалии (также - характеристики аномалии), как временной интервал наблюдения аномалии, вклад каждого параметра КФС в аномалию, информацию о детекторе 300, выявившем указанную аномалии, значения параметров КФС 401 в каждый момент временного интервала аномалии и другие. Кроме того, может быть рассчитан и расширенный набор характеристик аномалии, при этом такой расчет производится в блоках постобработки 502, которые могут включать блоки оценки опасности аномалий, в частности дефектов, блоки типизации и определения размеров таких аномалий, блоки нормализации и унификации выходной информации об аномалиях и другие блоки. Следует отметить, что при невозможности расчета какой-либо характеристики аномалии в том или ином детекторе 300, блок нормализации выходной информации принудительно устанавливает эту характеристику некоторым заранее выбранным значением.

В частном варианте реализации могут быть рассчитаны другие характеристики аномалии, связанные с выявившем её детектором 300, например, следующие:

• класс опасности аномалии, выявленной детектором 300, ее тип, размеры и другие аналогичные характеристики аномалии;

• вероятности определения аномалии детектором 300;

• величины отклонений прогнозных значений параметров КФС от их истинных значений или значений по умолчанию, величины отклонений от уставок, среднеквадратичные величины меры таких отклонений как отдельных параметров КФС, так и всей совокупности параметров КФС, используемых в данном детекторе 300;

• максимальные либо средние величины отклонений наблюдаемых значений параметров КФС от определенных заранее заданных пределов, длительности и частоты таких отклонений;

• производительность данного детектора 300 при выявлении аномалии, например, объем памяти, процессорное временя, количество ядер процессора компьютера, количество компьютеров, связанных по сети и участвующих в реализации способа и другими).

Конвейер обработки данных 500

После формирования подмножеств параметров КФС 411, перечня детекторов 412 и блоков предобработки 501 и постобработки 502, работа системы определения аномалий строится следующим образом. Данные от средства сбора данных 402 разделяют на параллельные потоки (без их дублирования) в соответствии с разделением параметров КФС 401а на подмножества параметров КФС 411 и затем каждое подмножество 411 направляют в соответствующий ему один или более блок предобработки 501 для подготовки данных к обработке соответствующим детектором 300. Затем подготовленные данные обрабатывают указанным детектором 300, что в результате приводит к появлению потока аномалий и другой сопутствующей информации, например, вероятность аномалии, ее класс опасности, пространственные и временные размеры, метод или способ обнаружения и другие, определенной детектором 300. Поток аномалий и другую сопутствующую информацию обрабатывают блоками постобработки 502 для приведения этого потока в унифицированный вид, единый для всех детекторов 300. Таким образом, фактически имеется набор параллельных веток обработки подмножеств данных (англ. branch) конвейера 500, каждая отдельная ветка которого обрабатывает свое подмножество данных и обладает своим инструментарием по подготовке этих данных, определению аномалий и их приведению в единообразный вид. Ветка конвейера - группа (совокупность) модулей, предназначенных для обработки одного потока данных, и состоящая из детектора 300 и соответствующих ему блоков предобработки 501 и блоков постобработки 502.

Стоит отметить, что обработка входящего набора параметров КФС различными ветвями конвейера 500, как правило, осуществляется неравномерно по времени, поэтому данные об аномалиях от некоторых веток могут приходить с большим опозданием относительно других веток. Для исключения ситуаций, при которых средство ансамблирования 404 будет работать в отсутствии информации от каких-либо веток конвейера 500, может использоваться буферизация входящего в средство ансамблирования 404 потока аномалий по аналогии с буферизацией данных параметров КФС, поступающих в отдельные его ветви.

В примере на Фиг. 5 данные получают от источника данных, например, от КФС 200, после чего с помощью средств 402-403 (см. Фиг. 4) обрабатывают и формируют подмножества параметров КФС 411 и выбирают детекторы 300 из перечня детекторов 412 для каждого подмножества 411. Обработанные данные далее разветвляют на p веток конвейера 500, каждой ветке передают соответствующее ей подмножество 411. Так, ветка №1 конвейера 500 получает подмножество №1 и обрабатывает его блоками предобработки №(1,1)-(1,n₁), далее детектором №1 и блоками постобработки №(1,1)-(1,m₁). Обработанные данные от всех веток №1-p конвейера 500 передают средству ансамблирования 404 для дальнейшей обработки аномалий.

Ансамблирование результатов

Средство ансамблирования 404 служит для выявления комбинированной аномалии (также - составной/итоговой аномалии) в КФС 200 путем ансамблирования результатов (англ. data fusion, также - слияние данных), полученных от выбранных детекторов 300. Средство ансамблирования 404 собирает все выявленные аномалии от всех веток конвейера 500, представленных в некотором универсальном и заранее определенном виде. Такой вид может быть продиктован особенностью ТП и выявляемых в нем аномалий, особенностями располагаемых средств определения аномалий, особенностями данных и так далее. Так, для приведенного выше примера внутритрубной диагностики информация об аномалии от каждого из средств неразрушающего контроля традиционно имеет следующий вид - рамка (локальная область) дефекта, тип дефекта, его размеры и тип контроля.

После сбора результатов, полученных от всех выбранных детекторов 300, а именно всей информации о всех аномалиях, выявленных детекторами 300 за определенное время, средство ансамблирования 404 проводит по меньшей мере одно из следующего:

• комбинирование областей локализации аномалий от отдельных детекторов 300 с целью локализации общих аномалий, причем упомянутые области определяют (локализируют) аномалии в пространстве (указание на элемент или часть КФС, где произошла аномалия) и/или времени (диапазон времени наблюдения аномалии);

• анализ вклада того или иного детектора 300 в комбинированную аномалию;

• расчет заранее определенных характеристик комбинированной аномалии, используя характеристики аномалий, полученные от каждого из детекторов 300, и информацию о его вкладе - то есть на основании области локализации комбинированной аномалии и значений всех параметров КФС.

Комбинирование областей или времен аномалий проводится на основании анализа пространственных или временных областей, отмеченных как аномалия тем или иным детектором 300. Так, области аномалий, полученные от разных детекторов 300, могут соединяются в одну общую область комбинированной аномалии (также - область локализации комбинированной аномалии) при выполнении по меньшей мере одного из следующих условий:

• если пространственное или временное пересечение вышеуказанных областей превышает определенный процент от объединенной области;

• если центры соответствующих областей лежат в определенном пространственном или временном диапазоне;

• если специально предобученная нейронная сеть помечает данные области, как относящиеся к одной комбинированной аномалии, в частности комбинированному дефекту.

Стоит отметить, что на этапе комбинирования аномалий от различных детекторов 300 будут получены аномалии трех типов, а именно, аномалии, полученные путем объединения областей от всех детекторов 300, аномалии, полученные путем объединения областей только от части детекторов 300, и аномалии, полученные только одним из детекторов 300. Все эти аномалии после этапа комбинирования также называют комбинированными аномалиями, даже если это аномалии последнего типа.

Стоит отметить, если у аномалий, обнаруженных детекторами 300, пространственные и/или временные области существенно отличаются согласно одному из вышеуказанных условий, указанные аномалии не будут объединены в одну комбинированную аномалию, а будут считаться отдельными аномалиями. Например, аномалии могут возникнуть в разных ТП или в разных частях КФС 200 - то есть отличие в пространственных областях аномалий. В другом примере аномалии могут возникнуть с существенной разницей во времени, что также свидетельствует о том, что это разные аномалии одной части КФС 200. В еще одном примере аномалии могут возникнуть и быть обнаруженными детекторами 300 в разных местах и с большой разницей во времени, что также говорит о разных аномалиях и по времени, и в пространстве.

После получения области локализации комбинированной аномалии проводится анализ вклада тех или иных детекторов 300 в эту комбинированную аномалию. Так, вводится вектор признаков, соответствующий общему числу детекторов 300, и вклад того или иного детектора 300 выражается числом, рассчитываемым либо по вкладу пространственной или временной области аномалии, полученной этим детектором 300, в комбинированную аномалию, либо по степени близости центра этой и комбинированной аномалии, либо путем применения предобученной нейронной сети, оценивающей такой вклад. Отметим, что при отсутствии в образовании комбинированной аномалии того или иного детектора 300 его вклад устанавливается как нулевой. Также отметим, что при наличии информации о степени достоверности или критичности того или иного детектора 300 для данного ТП в КФС 200, в котором упомянутый детектор выявляет аномалию, вклад этого детектора 300 изменяют, например существенно увеличивают или уменьшают.

После расчета вклада каждого из детекторов 300 в комбинированную аномалию проводится расчет заранее определенных характеристик комбинированной аномалии на основании области локализации комбинированной аномалии и значений всех параметров КФС, включенных во все подмножества параметров КФС конвейера 500. Пример такого определения характеристик описан в заявке на патент RU2021139349, и может проводиться на основании только локальных данных параметров КФС аномалии, с учетом вектора вкладов детекторов 300 в эту аномалию, с учетом характеристик аномалий, полученных от каждого из детекторов 300 или в любой комбинации от вышеперечисленного. Стоит отметить, что на этом же этапе при необходимости проводится фильтрация аномалий либо с заранее заданными характеристиками, либо определенных только одним детектором 300, либо определенных заранее предобученной нейронной сетью, либо по определенному заранее выбранному набору правил.

Итак, на выходе средства ансамблирования 404 оператор ТП получает набор комбинированных аномалий с их рассчитанными характеристиками, которые могут включать вероятность аномалии, ее класс опасности, пространственные и временные размеры, метод или способ обнаружения и другие.

Далее рассматривается пример, в котором использование модуля определения на основе предельных значений 304 может быть применено к тем параметрам КФС, которые имеют критически важное значение для того или иного ТП с целью выделения критически важных аномалий (первое подмножество). При этом остальные параметры КФС (второе подмножество) будут проанализированы другим способом, например средством 301. В этом случае средство ансамблирования 404 располагает информацией о методе детектирования аномалии (детекторе 300) и при обнаружении аномалии только модулем 304 определяет комбинированную аномалию с некоторой вероятностью и классом опасности (например, 80%, класс опасности «второй»), тогда как при обнаружении аномалии обоими детекторами 300 одновременно средство ансамблирования 404 определяет комбинированную аномалию с большей вероятностью и большим классом опасности (например, 90%-100%, класс опасности «первый»), после чего передает эту информацию оператору КФС.

Другим примером может служить ситуация, когда параметры КФС 401а разделяют на подмножества параметров КФС 411 по определенному принципу, при этом для каждого подмножества параметров КФС 411 выбирают свой детектор 300. После этого каждая ветка конвейера обработки данных 500 по-отдельности определяет и оценивает вероятность и уровень критичности найденных аномалий и направляет эту информацию в средство ансамблирования 404. Стоит отметить, что уровень критичности аномалий, определяемых по параметрам КФС 401а каждого подмножества параметров КФС 411, может быть задан, например, оператором КФС посредством интерфейса обратной связи, с использованием предварительно обученной модели машинного обучения для оценки уровня критичности, с использованием данных статистики по ранее определенным аномалиям.

Средство ансамблирования 404 проводит комбинирование результатов, полученных от выбранных детекторов 300, а именно всех полученных аномалий путем оценки близости центров соответствующих областей аномалий после чего вычисляет вероятность и класс опасности аномалии, в частности, путем весового усреднения уровней критичности и вероятности по всем способам, определившим соответствующую аномалию (то есть детекторов 300). Весами усреднения служит вектор, соответствующий обнаружению (значение 1) или не обнаружению (значение 0) данной аномалии тем или иным средством. При этом если общий уровень вероятности аномалии превышает заданный порог (например, более 0.5), то аномалия подтверждается, в противном случае не подтверждается и отфильтровывается.

На Фиг. 6 представлен способ выявления аномалий в КФС.

На начальном этапе 601 собирают данные, содержащие значения параметров КФС 401. Далее, на этапе 602 формируют по меньшей мере два подмножества параметров КФС 411 из числа параметров КФС 401а. На этапе 603 выбирают по меньшей мере два детектора 300 из перечня детекторов 412 и по меньшей мере одно подмножество параметров КФС 411 для каждого выбранного детектора 300. После чего на этапе 604 осуществляют предобработку каждого подмножества параметров КФС 411 перед передачей соответствующему детектору 300. На этапе 605 с использованием каждого выбранного детектора 300 осуществляют выявление аномалий в данных, соответствующих детекторам 300 подмножеств параметров КФС 411. В итоге на этапе 606 выявляют комбинированную аномалию в КФС путем ансамблирования результатов, полученных от выбранных детекторов 300.

Стоит отметить, что этапы 604-605 могут проходить параллельно для каждого подмножества параметров КФС 411. Например, один из детекторов 300 может осуществить предварительное выявление аномалии за 1 мс и передать результат средству ансамблирования 404, в то время как второму детектору на предварительное выявление аномалии может потребоваться 1 с. Частные варианты реализации, представленные ранее на Фиг. 2 - Фиг. 5, также применимы и к способу по Фиг. 6.

Таким образом, настоящее изобретение позволяет решить заявленную техническую проблему и достичь указанных технических результатов, а именно масштабировать систему выявления аномалий в КФС за счет использования множества детекторов и ансамблирования результатов применения указанных детекторов, а также повысить точность выявления аномалий в КФС за счет использования множества детекторов с последующим объединением результатов всех указанных детекторов.

Фиг. 7 представляет пример компьютерной системы общего назначения, с помощью которой может быть реализовано настоящее изобретение, в частности система 500 и ее элементы, детекторы 300. Персональный компьютер или сервер 20, содержит центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь (оператор) имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 7. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях (также - информационных системах), внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Изобретение относится к способу и системе выявления аномалий в киберфизической системе (КФС). Технический результат заключается в повышении точности выявления аномалий в КФС за счет использования множества детекторов аномалий в КФС с последующим объединением результатов всех указанных детекторов. В способе а) собирают значения параметров КФС; б) формируют по меньшей мере два подмножества параметров КФС из числа параметров КФС; в) выбирают по меньшей мере два детектора аномалий из перечня детекторов и по меньшей мере одно сформированное подмножество параметров КФС для каждого выбранного детектора; г) осуществляют предобработку каждого подмножества параметров КФС перед передачей соответствующему детектору, при этом каждому выбранному детектору соответствует свой набор этапов предобработки; д) выявляют по меньшей мере одну аномалию каждым выбранным детектором в данных соответствующего детектору подмножества параметров КФС; е) выявляют комбинированную аномалию в КФС путем ансамблирования результатов, полученных от выбранных детекторов. 2 н. и 18 з.п. ф-лы, 10 ил.

1. Реализуемый компьютером способ выявления аномалий в киберфизической системе (КФС), в котором:

а) собирают значения параметров КФС;

б) формируют по меньшей мере два подмножества параметров КФС из числа параметров КФС;

в) выбирают по меньшей мере два детектора аномалий из перечня детекторов и по меньшей мере одно сформированное подмножество параметров КФС для каждого выбранного детектора;

г) осуществляют предобработку каждого подмножества параметров КФС перед передачей соответствующему детектору, при этом каждому выбранному детектору соответствует свой набор этапов предобработки;

д) выявляют по меньшей мере одну аномалию каждым выбранным детектором в данных соответствующего детектору подмножества параметров КФС;

е) выявляют комбинированную аномалию в КФС путем ансамблирования результатов, полученных от выбранных детекторов.

2. Способ по п. 1, в котором осуществляют постобработку выявленных аномалий от каждого выбранного детектора, причем осуществляют ансамблирование результатов, прошедших постобработку.

3. Способ по п. 1, в котором при выборе детектора и соответствующего ему подмножества параметров КФС учитывают по меньшей мере одно из следующего:

характеристики КФС;

перечень параметров КФС и их значения из подмножества параметров КФС;

тип и объем данных.

4. Способ по п. 1, в котором при выборе детектора и соответствующего ему подмножества параметров КФС учитывают по меньшей мере одну из следующих характеристик, связанных с детектором:

метрику качества;

результаты анализа ROC-кривой;

время выполнения;

объем используемых компьютером ресурсов.

5. Способ по п. 1, в котором предобработка подмножества параметров КФС включает по меньшей мере один из следующих этапов:

буферизацию данных с временным буфером длины Δt;

фильтрацию невалидных данных либо данных, пришедших с опозданием, большим чем Δt;

переупорядочение на основе моментов времени получения значений параметров КФС;

заполнение пробелов в значения параметров КФС;

интерполяцию на равномерную сетку;

нормализацию значений параметров КФС;

переупаковку значений параметров КФС для обработки детектором.

6. Способ по п. 1, в котором детекторы из перечня детекторов реализуют по меньшей мере один из следующих способов выявления аномалий:

способ, согласно которому выявляют аномалию в случае превышения общей ошибкой прогноза порогового значения, при этом предварительно выполняют прогнозирование значений параметров КФС и последующее определение общей ошибки прогноза для параметров КФС;

способ, согласно которому выявляют аномалию путем применения модели машинного обучения по значениям параметров КФС;

способ, согласно которому выявляют аномалию при выполнении правила выявления аномалий;

способ, согласно которому выявляют аномалию на основании сравнения полученных значений параметров КФС с предельными значениями установленных диапазонов значений для параметров КФС.

7. Способ по п. 1, в котором параметры КФС принимают по меньшей мере одно из следующих значений:

измерение датчика;

значение управляемого параметра исполнительного механизма;

уставку исполнительного механизма;

значение по меньшей мере одного входного сигнала пропорционально-интегрально-дифференцирующего регулятора (ПИД-регулятора);

значение выходного сигнала ПИД-регулятора.

8. Способ по п. 1, в котором значения параметров КФС собирают одновременно от всего КФС с указанием параметров КФС или от отдельных частей КФС в виде нескольких отдельных потоков значений параметров КФС с указанием параметров КФС, содержащихся в каждом потоке.

9. Способ по п. 1, в котором проводят ансамблирование результатов, полученных от выбранных детекторов по меньшей мере одним из следующих способов:

путем комбинирования областей локализации аномалий от отдельных детекторов с целью локализации общих аномалий, причем упомянутые области определяют аномалии в пространстве и/или времени;

путем анализа вклада того или иного детектора в комбинированную аномалию;

путем расчета заранее определенных характеристик комбинированной аномалии, используя характеристики аномалий, полученные от каждого из детекторов, и информации об его вкладе.

10. Способ по п. 9, в котором для комбинирования областей или времен аномалий от отдельных детекторов используют по меньшей мере одно следующее условие:

если пространственное или временное пересечение вышеуказанных областей превышает определенный процент от объединенной области;

если центры соответствующих областей лежат в определенном пространственном или временном диапазоне;

если специально предобученная нейронная сеть помечает данные области как относящиеся к одной комбинированной аномалии.

11. Способ по п. 9, в котором анализируют вклад того или иного детектора в аномалию путем задания вектора признаков, соответствующего общему числу детекторов, и последующего выполнения по меньшей мере одного из следующих действий:

вклад детектора в аномалию приравнивают числу, рассчитанному по вкладу пространственной или временной области аномалии, полученной этим детектором, в комбинированную аномалию;

определяют вклад по степени близости к центру этой комбинированной аномалии;

определяют вклад путем применения предобученной нейронной сети, оценивающей такой вклад;

при отсутствии в образовании комбинированной аномалии того или иного детектора, его вклад устанавливают равным нулю;

при наличии информации о степени достоверности или критичности того или иного детектора для технологического процесса (ТП) в КФС, в котором упомянутый детектор выявляет аномалию, вклад этого детектора изменяют.

12. Способ по п. 9, в котором после выявления по меньшей мере одной аномалии каждым выбранным детектором, дополнительно выполняют постобработку выходных данных, в частности, рассчитывают расширенный набор характеристик аномалии, включающий оценку опасности аномалий, типизацию и определение размеров таких аномалий, нормализацию и унификацию выходной информации об аномалиях, причем выявляют комбинированную аномалию в КФС путем ансамблирования результатов, полученных от выбранных детекторов и прошедших упомянутую постобработку.

13. Способ по п. 9, в котором при невозможности расчета характеристики аномалии в детекторе устанавливают заранее выбранное значение для указанной характеристики аномалии.

14. Способ по п. 9, в котором рассчитывают по меньшей мере одну из следующих характеристик аномалии, связанных с выявившем её детектором:

класс опасности аномалии, выявленной детектором, ее тип и размеры;

вероятности определения аномалии детектором;

величины отклонений прогнозных значений параметров КФС от их истинных значений или значений по умолчанию, величины указанных отклонений от уставок, среднеквадратичные величины меры отклонений отдельных или всех параметров КФС, используемых в детекторе;

максимальные или средние величины отклонений наблюдаемых значений параметров КФС от определенных заранее заданных пределов, длительности во времени и частоты указанных отклонений;

производительность детектора при выявлении аномалии.

15. Способ по п. 1, в котором для подмножества параметров КФС выбирают тот детектор, который обеспечивает нужную точность и полноту определения аномалий данным детектором по данному подмножеству параметров КФС, или заданную производительность детектора на этом подмножестве параметров КФС, или в соответствии с экспертными знаниями о подмножестве параметров КФС.

16. Способ по п. 1, в котором подмножества параметров КФС выбирают с учетом по меньшей мере одной из следующих характеристик подмножества КФС:

значимости параметров КФС для ТП;

принадлежности параметров КФС к тому или иному типу оборудования;

принадлежности к одному ТП;

однотипности физических параметров КФС в подмножестве.

17. Система выявления аномалий в киберфизической системе (КФС), содержащая:

а) средство сбора данных, предназначенное для сбора значений параметров КФС;

б) средство формирования, предназначенное для:

формирования по меньшей мере двух подмножеств параметров КФС из числа параметров КФС;

выбора по меньшей мере двух детекторов из перечня детекторов и по меньшей мере одного сформированного подмножества параметров КФС для каждого выбранного детектора;

в) по меньшей мере один блок предобработки, предназначенный для обработки каждого подмножества параметров КФС перед передачей соответствующему детектору, причем каждому детектору соответствует свой набор блоков предобработки;

г) каждый из упомянутых по меньшей мере двух детекторов предназначен для выявления по меньшей мере одной аномалии в данных соответствующего детектору подмножества параметров КФС;

д) средство ансамблирования, предназначенное для выявления комбинированной аномалии в КФС путем ансамблирования результатов, полученных от выбранных детекторов.

18. Система по п. 17, в которой блоки предобработки выполняют по меньшей мере один из следующих этапов:

буферизацию данных с временным буфером длины Δt;

фильтрацию невалидных данных либо данных, пришедших с опозданием, большим чем Δt;

переупорядочение на основе моментов времени получения значений параметров КФС;

заполнение пробелов в значения параметров КФС;

интерполяцию на равномерную сетку;

нормализацию значений параметров КФС;

переупаковку значений параметров КФС для обработки детектором.

19. Система по п. 17, дополнительно содержащая по меньшей мере один блок постобработки, предназначенный для обработки выходных данных соответствующего ему детектора перед передачей средству ансамблирования, причем каждому детектору соответствует свой набор блоков постобработки.

20. Система по п. 19, в которой блоки постобработки выполняют по меньшей мере один из следующих этапов:

а) оценку опасности аномалий;

б) типизацию и определение размеров таких аномалий;

в) нормализацию и унификацию выходной информации об аномалиях.