Nothing Special   »   [go: up one dir, main page]

RU2724716C1 - Система и способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя - Google Patents

Система и способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя Download PDF

Info

Publication number
RU2724716C1
RU2724716C1 RU2018147245A RU2018147245A RU2724716C1 RU 2724716 C1 RU2724716 C1 RU 2724716C1 RU 2018147245 A RU2018147245 A RU 2018147245A RU 2018147245 A RU2018147245 A RU 2018147245A RU 2724716 C1 RU2724716 C1 RU 2724716C1
Authority
RU
Russia
Prior art keywords
cfs
forecast
values
error
signs
Prior art date
Application number
RU2018147245A
Other languages
English (en)
Inventor
Андрей Борисович Лаврентьев
Артем Михайлович Воронцов
Павел Владимирович Филонов
Дмитрий Константинович Шалыга
Вячеслав Игоревич Шкулев
Николай Николаевич Демидов
Дмитрий Александрович Иванов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2018147245A priority Critical patent/RU2724716C1/ru
Priority to US16/456,463 priority patent/US11175976B2/en
Priority to EP19214294.1A priority patent/EP3674828B1/en
Priority to CN201911259747.8A priority patent/CN111385140B/zh
Application granted granted Critical
Publication of RU2724716C1 publication Critical patent/RU2724716C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/042Knowledge-based neural networks; Logical representations of neural networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Biophysics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Human Computer Interaction (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Изобретение относится к области компьютерной безопасности. Технический результат заключается в обеспечении автоматизированного контроля кибер-физической системы для раннего определения аномалий. Такой результат достигается тем, что с помощью элемента графического интерфейса пользователя (ГИП) для выбора признака, содержащего, в частности, список признаков кибер-физической системы (КФС), принимают информацию о выбранном пользователем по меньшей мере одном признаке КФС из списка признаков, принимают информацию о выбранном пользователем периоде времени мониторинга за выбранными признаками КФС, формируют за период времени мониторинга прогноз значений признаков КФС с помощью модели прогнозирования значений выбранных признаков КФС, определяют за период времени мониторинга общую ошибку прогноза для всех признаков КФС из списка признаков и ошибки прогноза для каждого выбранного признака КФС, формируют за период времени мониторинга графики для значений данных, сформированных средством прогнозирования и средством определения аномалий. 2 н. и 11 з.п. ф-лы, 20 ил.

Description

Область техники
Изобретение относится к области компьютерной безопасности, а более конкретно к системам и способам формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий.
Уровень техники
Одной из актуальных проблем промышленной безопасности является проблема безопасного функционирования технологических процессов (ТП). Например, ТП в нефтехимической отрасли характеризуются высокой степенью опасности производства, поскольку оперируют с легковоспламеняющимися и взрывоопасными жидкостями и газами, находящимися при высокой температуре и давлении. К основным угрозам для таких ТП можно отнести непреднамеренные ошибки или злонамеренные действия в операционном управлении, износ и отказ оборудования и агрегатов, компьютерные атаки на системы управления и информационную систему и др.
Для противодействия упомянутым угрозам используют системы безопасности кибер-физических систем (КФС), например, производственных объектов и предприятий. Построение таких систем традиционно проводится в несколько этапов. При проектировании предприятия выстраивается система противоаварийной защиты (ПАЗ), которая затем интегрируется с автоматизированной системой управления технологическим процессом (АСУ ТП), однако допускает и ручное управление. К недостаткам системы ПАЗ можно отнести достаточную инертность процессов и присутствие человеческого фактора в принятии решений. Кроме того, ПАЗ функционирует в предположении корректного функционировании контрольно-измерительных приборов (КИП). Обеспечить выполнение безотказного функционирования КИП в полном объеме на практике не представляется возможным, поскольку КИП периодически выходят из строя, имеют тенденцию к временным сбоям, а дублирование всех КИП крайне затратное и не всегда технически возможно.
К способу контроля корректности ТП можно отнести мониторинг отдельных агрегатов, оборудования, КИП, контуров управления и т.д. встроенными в них системами самодиагностики. В случае обнаруженного сбоя такие системы подают сигнал оператору ТП и, как правило, подразумевают ручное вмешательство в тот или иной агрегат. Несмотря на очевидные достоинства таких систем, например, учет специфики функционирования того или иного агрегата, разработка поставщиком оборудования и т.д., имеется ряд очевидных недостатков. К последним можно отнести упомянутые проблемы КИП, на которых строятся отдельные системы самоконтроля. Другой недостаток таких систем - их локальность и оторванность от мониторинга процессов во всей их полноте. Другими словами, каждая из таких систем «видит» процесс только в рамках того оборудования или агрегата, к которому она привязана, без логической и физической корреляции между взаимосвязанными агрегатами и установками. В результате, обнаружение той или иной аномалии в технологическом процессе, зачастую, происходит уже на стадии ее перехода в состояние угрозы корректного функционирования того или иного оборудования и требует немедленного реагирования. Кроме того, в некоторых случаях, такие системы в силу физических особенностей КИП (например, запарафинивания уровнемера тяжелыми нефтепродуктами) имеют тенденцию к многократным ложным срабатываниям, что приводит к их принудительному отключению персоналом.
Нельзя не отметить еще один традиционный способ неразрушающего контроля оборудования и процессов технологических систем (ТС), состоящий в установке дополнительных внешних по отношению к оборудованию и АСУ ТП систем контроля. Фактически при таком способе контроля выстраивается параллельная инфраструктура, включающая КИП, линии связи, сервера сбора и обработки данных и т.д. Такие системы могут быть интегрированы с существующими системами АСУ ТП и ПАЗ, или оставаться внешними по отношению к ним. Несмотря на очевидные плюсы таких систем, как дублирование диагностических КИП, узкоспециальные и эффективные методы диагностики, практически неограниченные мощности по обработке диагностической информации и т.д., основным их недостатком является высокая стоимость и сложность, а порой и невозможность развертывания на реальном производстве.
Аналогичные проблемы актуальны для всех кибер-физических систем (КФС), содержащих датчики и исполнительные механизмы - как для описанных ранее технологических процессов, являющихся частью ТС, так и для интернета вещей и, в частности, для промышленного интернета вещей. Например, из-за компьютерных атак, датчики интернета вещей предоставляют неверные значения, вследствие чего некорректным образом функционируют компьютерные устройства интернета вещей, что может повлечь такие проблемы, как повышение потребления электроэнергии, несанкционированный доступ к информации и др.
Описанные системы безопасности и мониторинга КФС обычно имеют графический интерфейс пользователя (ГИП) с возможностью наблюдения пользователем (также - оператором) КФС за ключевыми характеристиками или признаками КФС. Кроме того, ГИП в таких системах предназначен для предупреждения пользователей КФС при превышении показаний датчиков заданных технологических диапазонов. В этом случае пользователь выполняет действия по устранению возникшей ситуации. Однако, очевидно, что аномальная ситуация возникает существенно раньше, чем показания датчиков превысят упомянутые значения и, таким образом, она могла быть устранена заранее. Такие ситуации не предусмотрены существующими системами ГИП для мониторинга КФС.
Поэтому возникает техническая проблема, заключающаяся в отсутствии системы и способа формирования данных для мониторинга кибер-физической системы, для выполнения определения аномалий в системе графического интерфейса пользователя, в которой время, прошедшее с момента возникновения аномалии в КФС до момента ее обнаружения, было бы ниже, чем у существующих аналогов.
Одним из аналогов является технология, предложенная в заявке US 20140189860, которая описывает способы обнаружения компьютерных атак путем обнаружения отклонений функционирования системы от нормы, где для обнаружения отклонений используются различные методы, также определяются вектора компьютерных атак. Также описываются способы отличия аномалий от «шумов», вызывающих отклонения в частном случае установлением пороговых значений. Однако данная технология не решает заявленной технической проблемы.
Раскрытие сущности изобретения
Первый технический результат заключается в обеспечении графического интерфейса пользователя, который позволяет пользователю выполнять мониторинг кибер-физической системы с целью раннего определения аномалий.
Второй технический результат заключается в реализации автоматизированного контроля пользователем кибер-физической системы для раннего определения аномалий.
Согласно варианту реализации используется способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя (ГИП), в котором: с помощью элемента ГИП для выбора признака, содержащего, в частности, список признаков кибер-физической системы (КФС), принимают информацию о выбранном пользователем по меньшей мере одном признаке КФС из списка признаков; с помощью элемента ГИП для выбора периода времени, принимают информацию о выбранном пользователем периоде времени мониторинга за выбранными признаками КФС; с помощью средства прогнозирования формируют за период времени мониторинга прогноз значений признаков КФС с помощью модели прогнозирования значений выбранных признаков КФС; с помощью средства определения аномалии определяют за период времени мониторинга общую ошибку прогноза для всех признаков КФС из списка признаков и ошибки прогноза для каждого выбранного признака КФС; с помощью элемента ГИП для формирования графиков, формируют за период времени мониторинга графики для значений данных, сформированных средством прогнозирования и средством определения аномалий.
Согласно одному из частных вариантов реализации упомянутые значения данных, сформированные средством прогнозирования и средством определения аномалий включают, в частности следующие значения: каждого выбранного признака КФС; прогноза для каждого выбранного признака КФС; общей ошибки прогноза для признаков КФС; ошибки прогноза для каждого выбранного признака КФС; порога общей ошибки прогноза.
Согласно другому частному варианту реализации дополнительно с использованием средства определения аномалии определяют аномалии в КФС при превышении общей ошибкой прогноза порога общей ошибки, при этом с использованием элемента ГИП для формирования графиков формируют данные об аномалии в КФС и формируют график значений по меньшей мере для одного из выбранных признаков КФС, если вклад ошибки прогноза упомянутого по меньшей мере одного признака КФС в общую ошибку прогноза выше чем вклад по меньшей мере одного другого признака КФС из числа всех признаков КФС из списка признаков в общую ошибку прогноза.
Согласно еще одному частному варианту реализации с использованием по меньшей мере одного дополнительного элемента ГИП для выбора режима формирования принимают информацию о выбранном пользователем режиме мониторинга за выбранными признаками КФС: режим реального времени или режим кодирование-декодирование, при этом если выбран режим реального времени, с использованием упомянутого элемента ГИП для формирования графиков формируют графики упомянутых значений в текущий момент времени.
Согласно одному из частных вариантов реализации с использованием по меньшей мере одного элемента ГИП для выбора событий формируют список событий КФС, в которых произошла аномалия и, при выборе пользователем одного из упомянутых событий, формируют для выбранного события упомянутый график значений упомянутых данных в момент возникновения аномалии и за указанный период времени мониторинга.
Согласно другому частному варианту реализации упомянутый список событий КФС для каждого из выбранных признаков КФС дополнительно содержит: идентификатор признака; описание признака; ошибки прогноза для признака; наблюдаемое значение признака; предсказанное значение признака; единицы измерения признака; допустимые пределы изменения признака; привязку признака к оборудованию.
Согласно еще одному частному варианту реализации с использованием по меньшей мере одного элемента ГИП для группировки признаков принимают информацию о выбранной пользователем группе признаков, в частности, относящихся к одному ПИД-регулятору, при этом с помощью упомянутого элемента ГИП для формирования графиков формируют графики значений упомянутых данных за указанный период времени мониторинга для признаков КФС из выбранной группы признаков.
Согласно одному из частных вариантов реализации с использованием по меньшей мере одного элемента ГИП формируют подсписки из выбранных пользователем признаков КФС и при выборе пользователем упомянутого подсписка с использованием элемента ГИП для формирования графиков формируют график значений для признаков из упомянутого подсписка.
Согласно другому частному варианту реализации с использованием по меньшей мере одного элемента ГИП для выбора режима формирования принимают информацию о выбранном пользователем режиме формирования или не формирования ошибки прогноза для выбранных признаков КФС в элемент ГИП для формирования графиков.
Согласно еще одному частному варианту реализации с использованием по меньшей мере одного элемента ГИП принимают информацию о выбранном пользователем способе сортировки и отображения выбранных признаков на элемент ГИП для формирования графиков признаков, при этом при выборе режима сортировки, графики значений признаков сортируют по наибольшей ошибке прогноза - от наибольшей ошибки прогноза для признака на первом графике до наименьшей ошибки прогноза для признака на последнем графике.
Согласно одному из частных вариантов реализации дополнительно содержатся средство обучения и средство вычисления, а обучение модели прогнозирования значений признаков КФС и вычисления порога ошибки для определения аномалии в обладающей определенными характеристиками КФС, осуществляется следующей последовательностью шагов: с использованием средства обучения получают исходную выборку, содержащую значения признаков КФС за исторический период наблюдения за КФС, в которой доля аномалий не превышает заданное значение; с использованием средства обучения на основании исходной выборки и с учетом характеристик КФС формируют обучающую выборку, включающую значения по меньшей мере одного из упомянутых признаков КФС, за период наблюдения, который содержится в историческом периоде наблюдений; с использованием средства обучения выполняют построение модели прогнозирования значений признаков КФС в каждый момент времени окна прогноза по данным значений упомянутых признаков КФС в каждый момент времени входного окна, при этом входное окно и окно прогноза являются интервалами времени, содержащимися внутри периода наблюдений, и выбирают в зависимости от характеристик КФС, а расстояние между входным окном и окном прогноза равно горизонту прогноза, который выбирают в зависимости от характеристик КФС; с использованием средства обучения выполняют обучение модели прогнозирования на данных обучающей выборки; с использованием обученной модели прогнозирования с использованием средства вычисления выполняют прогнозирование значений признаков КФС в каждый момент времени периода наблюдений; с использованием средства вычисления определяют общую ошибку прогноза, полученного с использованием построенной модели прогнозирования в каждый момент времени периода наблюдений; с использованием средства обучения вычисляют порог общей ошибки в зависимости от характеристик КФС, таким образом, что превышение вычисленного порога общей ошибкой прогноза означает аномалию в КФС.
Согласно другому частному варианту реализации с помощью средства прогнозирования получают значения признаков КФС за входное окно, являющееся интервалом времени и содержащееся внутри периода наблюдений при этом входное окно определяется обученной моделью прогнозирования; с помощью средства прогнозирования с использованием обученной модели прогнозирования и по данным полученных значений признаков КФС за входное окно выполняют прогнозирование значений признаков КФС на окно прогноза, являющееся интервалом времени и содержащееся внутри периода наблюдений; с помощью средства определения аномалий для окна прогноза определяют общую ошибку прогноза для признаков КФС; с помощью средства определения аномалий при превышении общей ошибкой прогноза порога общей ошибки, определяют аномалию в КФС; с помощью средства определения аномалий определяют по меньшей мере один признак КФС, являющийся источником аномалии, если вклад ошибки прогноза упомянутого по меньшей мере одного признака КФС в общую ошибку прогноза выше чем вклад по меньшей мере одного другого признака КФС в общую ошибку прогноза.
Согласно варианту реализации используется система формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя (ГИП), содержащая: элемент ГИП для выбора признака, содержащий, в частности, список признаков кибер-физической системы (КФС), и предназначенный для приема информации о выбранном пользователем по меньшей мере одном признаке КФС из списка признаков; элемент ГИП для выбора периода времени, предназначенный для приема информации о выбранном пользователем периоде времени мониторинга за выбранными признаками КФС; средство прогнозирования, предназначенное для формирования прогноза для выбранных признаков КФС за период времени мониторинга; средство определения аномалии, предназначенное для определения общей ошибки прогноза для всех признаков КФС из списка признаков и ошибки прогноза для каждого выбранного признака КФС за период времени мониторинга и; элемент ГИП для формирования графиков, предназначенный для формирования графиков за период времени мониторинга для значений данных, сформированных средством прогнозирования и средством определения аномалий.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
На Фиг. 1а схематично изображен пример технологической системы.
На Фиг. 1б схематично изображен частный пример имплементации технологической системы.
На Фиг. 1в представлен возможный вариант организации интернета вещей на примере носимых устройств.
На Фиг. 1г представлен возможный набор датчиков устройств.
На Фиг. 2 представлена система обучения модели прогнозирования значений признаков КФС, обладающей определенными характеристиками, и вычисления порога ошибки для определения аномалии в упомянутой КФС.
Фиг. 3 представлен способ обучения модели прогнозирования значений признаков КФС и вычисления порога ошибки для определения аномалии в обладающей определенными характеристиками КФС.
На Фиг. 4 представлена система определения источника аномалии КФС.
На Фиг. 5 представлен пример определения источника аномалии в КФС, обладающей определенными характеристиками.
На Фиг. 6 представлен пример зависимости значений одного признака от времени, а также обозначены входное окно, окно прогноза и горизонт прогноза.
На Фиг. 7 представлены примеры зависимостей значений признаков, значений прогнозов признаков и общей ошибки прогноза от времени в окрестности времени момента возникновения аномалии.
На Фиг. 8 представлен пример динамики общей ошибки прогноза до сглаживания и после сглаживания.
На Фиг. 9 представлена система формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя (ГИП), содержащая совокупность элементов ГИП.
На Фиг. 10а-10в представлены элемент ГИП для выбора режима отображения, элемент ГИП для формирования ошибки прогноза признака и элемент ГИП для выбора порядка отображения.
На Фиг. 11а представлен элемент ГИП для настроек ошибок прогноза.
На Фиг. 11б ГИП для изменения ошибок прогноза.
На Фиг. 12 представлен элемент ГИП для выбора событий.
На Фиг. 13 представлен элемент ГИП для выбора моделей.
На Фиг. 14 представлен способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя (ГИП), содержащей совокупность элементов ГИП.
Фиг. 15 представляет пример компьютерной системы общего назначения, с помощью которой может быть реализовано настоящее изобретение.
Осуществление изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.
Объект управления - технологический объект, на который направляются внешние воздействия (управляющие и/или возмущающие) с целью изменения его состояния, в частном случае такими объектами являются устройство (например, электродвигатель) или технологический процесс (или его часть).
Технологический процесс (ТП) - процесс материального производства, заключающийся в последовательной смене состояний материальной сущности (предмета труда).
Управление технологическим процессом (англ. Process Control) - набор методов, используемых для управления технологическими параметрами при производстве конечного продукта.
Контур управления (англ. control loop) - состоит из материальных сущностей и управляющих функций, необходимых для автоматизированной регулировки значений измеренных технологических параметров к значениям желаемых уставок. Контур управления содержит датчики и сенсоры, контроллеры и исполнительные механизмы.
Технологический параметр (англ. Process Variable, PV) - текущее измеренное значение определенной части ТП, который наблюдается или контролируется. Технологическим параметром может быть, например, измерение датчика.
Уставка (англ. Setpoint) - поддерживаемое значение технологического параметра.
Управляемый параметр (англ. Manipulated Variable, MV) - параметр, который регулируется для того чтобы значение технологического параметра поддерживалось на уровне уставки.
Внешнее воздействие - способ изменения состояния элемента, на которое направлено воздействие (например, элемента технологической системы (ТС)), в определенном направлении, воздействие от элемента ТС к другому элементу ТС передается в виде сигнала.
Состояние объекта управления - совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий, в том числе и управляющих воздействий со стороны подсистемы управления. Параметр состояния - одно или несколько числовых значений характеризующих существенное свойство объекта, в частном случае параметр состояния является числовым значением физической величины.
Формальное состояние объекта управления - состояние объекта управления, соответствующее технологической карте и другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве).
Управляющее воздействие - целенаправленное (цель воздействия - воздействие на состояние объекта) легитимное (предусмотренное ТП) внешнее воздействие со стороны субъектов управления подсистемы управления на объект управления, приводящее к изменению состояния объекта управления или удержанию состояния объекта управления.
Возмущающее воздействие - целенаправленное или нецеленаправленное нелегитимное (непредусмотренное ТП) внешнее воздействие на состояние объекта управления, в том числе и со стороны субъекта управления.
Субъект управления - устройство, которое направляет управляющее воздействие на объект управления или передает управляющее воздействие другому субъекту управления для преобразования перед непосредственным направлением на объект.
Многоуровневая подсистема управления - включающая несколько уровней совокупность субъектов управления.
Кибер-физическая система (англ. cyber-physical system) - информационно-технологическая концепция, подразумевающая интеграцию вычислительных ресурсов в физические процессы. В такой системе датчики, оборудование и информационные системы соединены на протяжении всей цепочки создания стоимости, выходящей за рамки одного предприятия или бизнеса. Эти системы взаимодействуют друг с другом с помощью стандартных интернет-протоколов для прогнозирования, самонастройки и адаптации к изменениям. Примерами кибер-физической системы является технологическая система, интернет вещей (в т.ч. носимые устройства), индустриальный интернет вещей.
Интернет вещей (англ. Internet of Things, IoT) - вычислительная сеть физических предметов («вещей»), оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой. Интернет вещей включает такие технологии, как носимые устройства, электронные системы транспортных средств, умные автомобили, умные города, промышленные системы и пр.
Промышленный Интернет вещей (англ. Industrial Internet of Things, IIoT) - это подкатегория Интернета вещей, который также включает приложения, ориентированные на потребителя, например, носимые устройства, технологии «умного дома» и автомобили с автоматическим управлением. Отличительной чертой обеих концепций являются устройства со встроенными датчиками, станки и инфраструктура, которые передают данные через Интернет и управляются с помощью программного обеспечения1. (1 https://www.hpe.com/ru/ru/what-is/industrial-iot, html)
Технологическая система (ТС) - функционально взаимосвязанная совокупность субъектов управления многоуровневой подсистемы управления и объекта управления (ТП или устройство), реализующая через изменение состояний субъектов управления изменение состояния объекта управления. Структуру технологической системы образуют основные элементы технологической системы (взаимосвязанные субъекты управления многоуровневой подсистемы управления и объект управления), а также связи между этими элементами. В том случае, когда объектом управления в технологической системе является технологический процесс, конечной целью управления является: через изменение состояния объекта управления изменить состояние предмета труда (сырья, заготовки и т.д.). В том случае, когда объектом управления в технологической системе является устройство, конечной целью управления является изменение состояния устройства (транспортное средство, космический объект). Функциональная взаимосвязь элементов ТС подразумевает взаимосвязь состояний этих элементов. При этом непосредственной физической связи между элементами может и не быть, например, физическая связь между исполнительными механизмами и технологической операцией отсутствует, но, например, скорость резания функционально связана с частотой вращения шпинделя, несмотря на то, что физически эти параметры состояний не связаны.
Состояние субъекта управления - совокупность его существенных свойств, выраженных параметрами состояний, изменяемых или удерживаемых под влиянием внешних воздействий.
Существенными свойствами (соответственно и существенными параметрами состояния) субъекта управления являются свойства, оказывающие непосредственное влияние на существенные свойства состояния объекта управления. При этом существенными свойствами объекта управления являются свойства, оказывающие непосредственное влияние на контролируемые факторы (точность, безопасность, эффективность) функционирования ТС. Например, соответствие режимов резания формально заданным режимам, движение поезда в соответствии с расписанием, удержание температуры реактора в допустимых границах. В зависимости от контролируемых факторов выбираются параметры состояния объекта управления и соответственно связанные с ними параметры состояний субъектов управления, оказывающих управляющее воздействие на объект управления.
Состояние элемента технологической системы - состояние субъекта управления, объекта управления.
Реальное состояние элемента технологической системы - состояние элемента технологической системы в некоторый момент времени воздействия на объект управления, определенное путем измерения параметров состояний и перехвата сигналов (трафика) между элементами ТС. Измерение параметров состояния осуществляется, например, с помощью датчиков, установленных в ТС.
Реальное состояние технологической системы - совокупность взаимосвязанных реальных состояний элементов технологической системы.
Кибернетический блок - элемент кибер-физической системы контроля, контролирующий процесс функционирования элемента технологической системы.
Пространство состояний - способ формализации изменения состояний динамической системы (технологической системы или кибер-физической системы).
Компьютерная атака (также кибератака, от англ. cyber attack) - целенаправленное воздействие на информационные системы и информационно-телекоммуникационные сети программно-техническими средствами, осуществляемое в целях нарушения безопасности информации в этих системах и сетях (см. «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 N803).
На Фиг. 1а схематично изображен пример технологической системы 100, которая включает в себя элементы 110а и 110б, где элементы ТС: объект управления 110а; субъекты управления 110б, образующие многоуровневую подсистему управления 120; горизонтальные связи 130а и вертикальные связи 130б. Субъекты управления 110б сгруппированы по уровням 140.
На Фиг. 1б схематично изображен частный пример имплементации технологической системы 100'. Объектом управления 110а' является ТП или устройство, на объект управления 110а' направляются управляющие воздействия, которые вырабатываются и реализуются автоматизированной системой управления (АСУ) 120', в АСУ различают три уровня 140', состоящих из субъектов управления 110б', взаимосвязанных между собой как по горизонтали горизонтальными связями (связи внутри уровня, на фигуре не указаны), так и по вертикали вертикальные связи 130б' (связи между уровнями). Взаимосвязи являются функциональными, т.е. в общем случае изменение состояния субъекта управления 110б' на одном уровне вызывает изменение состояний связанных с ним субъектов управления 110б' на этом уровне и других уровнях. Информация об изменении состояния субъекта управления передается в виде сигнала по горизонтальным и вертикальным связям, установленным между субъектами управления, т.е. информация об изменении состояния рассматриваемого субъекта управления является внешним воздействием по отношению к другим субъектам управления 110б'. Уровни 140' в АСУ 120' выделяют в соответствии с назначением субъектов управления 110б'. Количество уровней может варьироваться в зависимости от сложности автоматизированной системы управления 120'. Простые системы могут содержать в себе один или несколько нижних уровней. Для физической связи элементов ТС (110а, 110б) и подсистем ТС 100 используются проводные сети, беспроводные сети, интегральные микросхемы, для логической связи между элементами ТС (110а, 110б) и подсистемами ТС 100 используются Ethernet, промышленный Ethernet, я промышленные сети. При этом промышленные сети и протоколы используются различных типов и стандартов: Profibus, FIP, ControlNet, Interbus-S, DeviceNet, P-NET, WorldFIP, Long Work, Modbus и др.
Верхний уровень (уровень supervisory control and data acquisition, SCADA) - это уровень диспетчерско-операторского управления, включает в себя, по меньшей мере, следующие субъекты управления 110б': контроллеры, управляющие компьютеры, человеко-машинные интерфейсы (англ. human-machine interface, HMI) (на Фиг. 1б изображены в рамках одного субъекта управления SCADA). Уровень предназначен для отслеживания состояний элементов ТС (110а', 110б'), получения и накопления информации о состоянии элементов ТС (110а', 110б') и при необходимости их корректировки.
Средний уровень (уровень CONTROL) - это уровень контроллеров, включает, по меньшей мере, следующие субъекты управления: программируемые логические контроллеры (англ. programmable Logic Controller, PLC), счетчики, реле, регуляторы. Субъекты управления 110б' типа «PLC» получают информацию с субъектов управления типа «контрольно-измерительное оборудование» и субъектов управления 110б' типа «датчики» о состоянии объекта управления 110а'. Субъекты управления типа «PLC» вырабатывают (создают) управляющее воздействие в соответствии с запрограммированным алгоритмом управления на субъекты управления типа «исполнительные механизмы». Исполнительные механизмы его непосредственно реализуют (применяют к объекту управления) на нижнем уровне. Исполнительный механизм (англ. actuator) - часть исполнительного устройства (оборудования). Регуляторы, например, ПИД-регуляторы (Пропорционально-интегрально-дифференцирующий регулятор, англ. proportional-integral-derivative controller - PID controller) являются устройством в контуре управления с обратной связью.
Нижний уровень (уровень Input/Output) - это уровень таких субъектов управления как: датчики и сенсоры (англ. sensors), контрольно-измерительные приборы (КИП), контролирующих состояние объекта управления 110а', а также исполнительные механизмы (actuators). Исполнительные механизмы непосредственно воздействуют на состояние объекта управления 110а', для приведения его в соответствие с формальным состоянием, т.е. состоянием, соответствующим технологическому заданию, технологической карте или другой технологической документации (если речь идет о ТП) или расписанию движения (если речь идет об устройстве). На этом уровне осуществляется согласование сигналов от субъектов управления 110б' типа «датчики» с входами субъектов управления среднего уровня, и согласование вырабатываемых субъектами управления 110б' типа «PLC» управляющих воздействий с субъектами управления 110б' типа «исполнительные механизмы», которые их реализуют. Исполнительный механизм - это часть исполнительного устройства. Исполнительное устройство осуществляет перемещение регулирующего органа в соответствии с сигналами, поступающими от регулятора или управляющего устройства. Исполнительные устройства являются последним звеном цепи автоматического управления и в общем случае состоят из блоков:
• устройства усиления (контактор, частотный преобразователь, усилитель, и т.п.);
• исполнительного механизма (электро-, пневмо-, гидропривод) с элементами обратной связи (датчики положения выходного вала, сигнализации конечных положений, ручного привода и т.п.);
• регулирующего органа (вентили, клапаны, заслонки, шиберы и т.п.).
В зависимости от условий применения исполнительные устройства конструктивно могут различаться между собой. К основным блокам исполнительных устройств обычно относят исполнительные механизмы и регулирующие органы.
В частном примере исполнительное устройство в целом называют исполнительным механизмом.
АСУП 120а' - автоматическая система управления предприятием.
На Фиг. 1в представлен возможный вариант организации интернета вещей на примере носимых устройств. Система содержит множество различных компьютерных устройств пользователя 151. Среди устройств пользователя 151 могут быть, например: смартфон 152, планшет 153, ноутбук 154, носимые устройства, такие, как очки дополненной реальности 155, фитнес-трекер, «умные» часы 156 (англ. smart watch) и др. Устройства пользователя 151 содержат множество различных датчиков 157а-157n, например, монитор сердечного ритма 2001 и шагомер 2003.
Стоит отметить, что датчики 157а-157n могут находиться как на одном устройстве пользователя 151, так и на нескольких. Более того, некоторые датчики могут находиться на нескольких устройствах одновременно. Часть датчиков может быть представлена в нескольких экземплярах. Например, модуль Bluetooth может находиться на всех устройствах, а смартфон может содержать два и более микрофона, необходимых для шумоподавления и определения расстояния до источника звука.
На Фиг. 1 г представлен возможный набор датчиков устройств 151. Среди датчиков 157а-157n могут быть, например, следующие:
• монитор сердечного ритма (датчик сердцебиения) 2001 для определения частоты пульса пользователя. В одном примере реализации монитор сердечного ритма может содержать электроды и измерять электрокардиограмму;
• датчик насыщения крови кислородом 2002;
• шагомер 2003;
• датчик определения отпечатков пальцев 2004;
• датчик жестов 2005, служащий для распознавания жестов пользователя;
• камера, направленная на глаза пользователя 2006, служащая для определения движения глаз пользователя, а также аутентификации личности пользователя по радужной оболочке или сетчатке глаза;
• датчик температуры тела пользователя 2007 (например, имеющий непосредственный контакт с телом пользователя или бесконтактный);
• микрофон 2008;
• датчик ультрафиолетового излучения 2009;
• приемник системы геолокации 2010, например, приемник GPS, ГЛОНАСС, BeiDou, Galileo, DORIS, IRNSS, QZSS и др.;
• GSM-модуль2011;
• модуль Bluetooth 2012;
• модуль Wi-Fi 2013;
• камера 2014, направленная на окружающую устройство пользователя среду;
• датчик температуры окружающей среды 2015;
• барометр 2016, необходимый для измерения атмосферного давления и определения высоты над уровнем моря в соответствии с атмосферным давлением;
• геомагнитный датчик 2017 (электронный компас), необходимый для определения сторон света и азимута;
• датчик определения влажности воздуха 2018;
• датчик уровня освещения 2019, необходимый для определения цветовой температуры и освещенности;
• датчик приближения 2020, служащий для определения расстояния до различных предметов, находящихся поблизости;
• датчик глубины изображения 2021, служащий для получения трехмерного изображения пространства;
• акселерометр 2022, служащий для измерения ускорения в пространстве;
• гироскоп 2023, необходимый для определения положения в пространстве;
• датчик Холла 2024 (магнитного поля), для определения напряженности магнитного поля;
• дозиметр-радиометр 2025, для определения уровня радиации;
• модуль NFC 2026;
• LTE-модуль 2027.
На Фиг. 2 представлена система обучения модели прогнозирования значений признаков кибер-физической системы (КФС), обладающей определенными характеристиками (то есть при обучении модели прогнозирования учитываются характеристики КФС), и вычисления порога ошибки для определения аномалии в упомянутой КФС 201. Кибер-физическая система 200 представлена в упрощенном варианте. Примерами кибер-физической системы 100 являются описанные ранее технологическая система 200 (см. Фиг. 1а - 1б), интернет вещей (см. Фиг. 1в-1г), индустриальный интернет вещей. Для определенности далее в заявке в качестве основного примера КФС 200 будет рассматриваться ТС.
Система 201 содержит средство обучения 211 и связанное с ним средство вычисления 212. Как уже упоминалось ранее при описании Фиг. 1а-1б КФС содержит множество субъектов управления, таких как датчики, исполнительные механизмы, ПИД-регуляторы. Данные упомянутых субъектов в необработанном виде передаются на PLC. При этом может использоваться аналоговый сигнал. Затем PLC выполняет обработку данных и преобразовывает данные в цифровой вид, после чего передает системе SCADA 110б' и рассматриваемой системе 201. Таким образом, средство обучения 211 получает исходную выборку, содержащую значения признаков КФС 200 за исторический период наблюдения за КФС (то есть данные телеметрии КФС), в которой доля аномалий не превышает заданное значение (например, не более 1%). Признаки КФС являются численными характеристиками субъектов управления - датчиков, исполнительных механизмов, ПИД-регуляторов. Средство обучения 211 на основании исходной выборки и с учетом характеристик КФС формирует обучающую выборку, включающую значения по меньшей мере одного из полученных признаков КФС за период наблюдения не превосходящий исторический период наблюдения. При этом, в частном примере реализации включают в обучающую выборку по меньшей мере один момент времени, в котором произошла аномалия. Формирование обучающей выборки может включать этапы очистки данных исходной выборки от шумов, пропусков в данных, выбросах в значениях признаков, невалидных наборов данных, перевод на равномерную временную сетку, исключения из исходной выборки признаков вызывающих ложные срабатывания (например, показания неисправного датчика). В частном примере реализации формирование обучающей выборки может происходить с использованием технической документации КФС (например, описывающей возможные состояния и технические характеристики датчиков и исполнительных механизмов), а также на основании предоставленных данных пользователями КФС (например, об известных неисправных датчиках).
Затем средство обучения 211 выполняет построение модели прогнозирования значений признаков КФС в каждый момент времени окна прогноза по данным значений признаков КФС в каждый момент времени входного окна. То есть, входное окно и окно прогноза являются интервалами времени, которые находятся внутри периода наблюдений и выбраны в соответствии с характеристиками КФС. А значения признаков КФС сохранены с заданной периодичностью в пределах периода наблюдения. Например, если значения признаков КФС сохраняются каждую секунду, то и упомянутые выше моменты времени также отличаются через каждую секунду. Расстояние между входным окном и окном прогноза является горизонтом прогноза (например, от конца входного окна до начала окна прогноза), который также зависит от характеристик КФС. В частном примере реализации входное окно и окно прогноза могут пересекаться. В другом частном примере реализации входное окно и окно прогноза не пересекаются. Горизонт прогноза может принимать как неотрицательные значения (прогноз на будущее), так и отрицательные значения (например, анализ типа кодирование-декодирование).
Средство обучения 211 затем выполняет обучение модели прогнозирования на данных обучающей выборки. Затем средство вычисления 212 с использованием обученной модели прогнозирования выполняет прогнозирование значений признаков КФС в каждый момент времени периода наблюдения. Средство вычисления 212 определяет общую ошибку прогноза (то есть для спрогнозированных значений признаков КФС), например, как среднюю ошибку или средневзвешенную ошибку между наблюдаемыми значениями признаков и прогнозными значениями признаков, вычисленную в каждый момент времени окна прогноза. Затем вычисляют с помощью средства обучения 211 порог общей ошибки в зависимости от характеристик КФС, таким образом, что превышение вычисленного порога общей ошибкой прогноза означает аномалию в КФС. В частном примере реализации - как квантиль заданной точности от общей ошибки прогноза, например, на уровне значимости 99%.
Аномалия в КФС может возникнуть, например, из-за компьютерной атаки, из-за вмешательства в работу ТС или ТП человека, из-за сбоя или отклонения технологического процесса, связанного с периодами смены режимов, из-за перевода контуров управления в ручной режим или из-за некорректных показаний датчиков, а также по другим причинам, известным из уровня техники.
В частном примере реализации система 201 дополнительно содержит удаленный сервер 213, который может выполнять часть функций средства обучения 211 и средства вычисления 212: построение модели прогнозирования и обучение модели прогнозирования, а также прогнозирование значений признаков КФС на период наблюдения, определение общей ошибки прогноза и вычисление порога общей ошибки прогноза. В еще одном частном примере реализации средство обучения 211 и средство вычисления 212 могут быть размещены на удаленном сервере 213. Ввиду того, что удаленный сервер 213 может обладать существенно большими вычислительными возможностями, чем средство обучения 211 и средство вычисления 212, выполнение указанных функций удаленным сервером 213 позволит повысить скорость и качество работы системы 201.
Таким образом, система 201 позволяет обучить модель прогнозирования, определить размеры входного окна и окна прогноза, а также порог общей ошибки прогноза, которые могут быть использованы в системе и способе определения источника аномалии в КФС (см. Фиг. 4-5).
В частном примере реализации признаки КФС включают по меньшей мере один из:
• измерение датчика (технологический параметр датчика);
• управляемый параметр исполнительного механизма;
• уставка исполнительного механизма;
• входные сигналы или выходной сигнал ПИД-регулятора, внутренние параметры ПИД-регулятора.
В еще одном частном примере реализации в исходной выборке размечены моменты времени с известными аномалиями КФС, при этом упомянутые моменты времени с известными аномалиями КФС включают в обучающую выборку. То есть исходная выборка будет также содержать информацию о моментах времени возникновения известных аномалий в КФС (разметку). Это позволит обучить модель прогнозирования и определить порог общей ошибки точнее.
В другом частном примере реализации при формировании обучающей выборки выполняют разметку моментов времени возникновения аномалий КФС. В еще одном частном примере реализации из исходной выборки формируют тестовую выборку, по данным которой оценивают качество прогноза и, если оценка качества прогноза не удовлетворяет заданным критериям, повторяют обучение модели прогнозирования до тех пор, пока оценка качества прогноза не удовлетворит заданным критериям (так, чтобы не было переобучения). Если же оценка качества прогноза не удовлетворит заданным критериям, может быть выбрана другая модель прогнозирования. В частном примере качество прогноза определяется, например, одной из метрик качества: NAB-метрика (англ. Numenta Anomaly Benchmark)2 (2 Lavin and S. Ahmad, "Evaluating Real-time Anomaly Detection Algorithms - the Numenta Anomaly Benchmark," in 14th International Conference on Machine Learning and Applications (IEEE ICMLA'15), 2015. http://arxiv.org/abs/1510.03336), F1-метрика.
В частном примере реализации кибер-физическая система обладает по меньшей мере одной из следующих характеристик:
• отраслью производства, в которой функционирует кибер-физическая система;
• типами процессов, которые описывают параметры КФС, в частности, один из: непрерывный, конвейерный, циклический (например, для циклических процессов может быть выбран период наблюдения, кратный периоду одного цикла);
• наличием сезонности и/или трендов в признаках КФС;
• инертностью процессов КФС;
• временем реакции КФС на изменения, происходящие в КФС и во внешней среде;
• уровнем опасности производства для персонала и экологии;
• стоимостью простоя технологических процессов из-за нештатных ситуаций;
• типом управления, в частности, выполненным с использованием ПИД-регуляторов, конечных автоматов или комбинированным способом;
• типом субъекта управления, который характеризуется по меньшей мере одним признаком, при этом тип субъекта управления является одним из: датчиком, исполнительный механизмом или ПИД-регулятором;
• данными самодиагностики КФС;
• статусом исправности субъекта управления (исправный или неисправный);
• взаимосвязью субъектов управления на уровне техпроцесса.
В качестве примера КФС можно привести предприятия нефтехимической отрасли, их отдельные блоки и установки. КФС таких предприятий может обладать одной или несколькими из следующих характеристик КФС:
• высоким значением периода времени непрерывного функционирования технологических процессов (например, от года);
• высоким временем реакции ТП (например, более одной минуты), поэтому при построении модели прогнозирования, выбирают больший период наблюдения для типа КФС, характеризующегося большим временем реакции параметров КФС на изменения других параметров КФС и внешних факторов;
• наличием сезонности ТП;
• высоким уровнем опасности производства для персонала и экологии. Соответственно при построении модели прогнозирования, выбирают низкий порог общей ошибки для КФС, характеризующегося высоким уровнем опасности производства, с целью обнаружения большего числа аномалий. То есть порог общей ошибки может быть вычислен как квантиль заданной точности от общей ошибки прогноза квантиль более низкого порядка (например, 0,90). При этом, вероятно, возникнут ложные срабатывания, однако, это никак не повлияет на производственный процесс, но позволит на этапе анализа типа кодирование-декодирование данных с помощью построенной модели выявить больше аномалий и с участием пользователя КФС уточнить значение порога ошибки таким образом, чтобы отсеять ложные срабатывания и оставить все важные проанализированные аномалии;
• высокой стоимостью простоя в ТП.
Для технологических процессов первичной нефтепереработки характерно наличие систем управления, выполненных на принципах ПИД-регулирования (каскадного) и содержащих большое количество (обычно более ста) саморегулирующихся контуров управления, взаимосвязанных как спроектированной и заложенной логикой управления, так и физикой процесса, и контролирующих такие величины как температура, давление, уровни жидкости и др. Специфика такого дизайна системы управления позволяет реализовать целый спектр методов мониторинга процесса, включая нейронные сети, методы анализа целостности прошивок ПИД-регуляторов и анализа корректности их уставок и др. Наличие таких специфических факторов нефтепереработки, как высокое парафиносодержание жидких компонент процесса, высокие температуры переработки (обычно порядка 350 градусов Цельсия), коксообразование и коксозабивка в агрегатах и другие, обуславливает такие особенности данных параметров, как присутствие сильных шумов, пропусков, выбросов в данных КИП, наличие трендовых составляющих в данных регулирования, невалидность некоторых наборов данных КИП и т.д. Кроме того, к особенностям системы управления на основе ПИД-регуляторов надо отнести такие факторы, как периодический перевод ПИД-регуляторов в ручной режим, применяющийся как для штатного управления установками, так и в нештатных ситуациях (оказывающих существенное влияние на данные параметров). Таким образом, в приведенном примере характеристики КФС влияют на значения признаков КФС, построение модели прогнозирования и определение общей ошибки прогноза.
Поэтому описанный метод позволяет сократить по сравнению с известными аналогами время, прошедшее с момента возникновения аномалии в кибер-физической системе (КФС), обладающей определенными характеристиками, до момента ее обнаружения, за счет построения модели прогнозирования значений признаков КФС и вычисления порога общей ошибки КФС в зависимости от характеристик КФС таким образом, что превышение вычисленного порога общей ошибкой прогноза означает аномалию в КФС. Также будет улучшена точность обнаружения аномалий в КФС, обладающей определенными характеристиками, за счет построения модели прогнозирования значений признаков КФС и вычисления порога общей ошибки КФС в зависимости от характеристик КФС. Кроме того, будет создана система определения аномалий в КФС, обладающая определенными характеристиками, в которой время, прошедшее с момента возникновения аномалии в КФС до момента ее обнаружения, ниже, чем у существующих аналогов.
Таким образом, в одном частном примере реализации выбирают низкий порог общей ошибки для типа КФС, характеризующегося высоким уровнем опасности производства для персонала и экологии. В другом частном примере реализации выбирают больший период наблюдения для КФС, характеризующегося большим временем реакции признаков КФС на изменения других признаков КФС и внешних факторов.
В еще одном частном примере реализации при расчете общей ошибки прогноза для ошибок каждого признака КФС используют весовые коэффициенты, при этом:
а) присваивают низкое значение весовому коэффициенту для признака, если субъект управления, характеризующийся этим признаком, предоставляет данные с шумами или невалидные данные или периодически отключается пользователем КФС;
б) присваивают низкое значение весовому коэффициенту для признака, в котором возникновение аномалии не влияет на работу КФС, и высокое значение весовому коэффициенту для признака, в котором возникновение аномалии влияет на работу КФС.
Значения весовых коэффициентов признаков равных единице характерны для основного варианта реализации (равносильно отсутствию весовых коэффициентов).
В еще одном частном примере реализации обучающая выборка дополнительно содержит признаки по меньшей мере одной другой КФС, которая обладает по меньшей мере заранее определенным количеством таких же характеристик как текущая КФС. Таким образом система 201 сможет более точно обучить модель прогнозирования и определить порог ошибки по данным нескольких КФС, обладающих такими же характеристиками.
В одном частном примере реализации применяют экспоненциальное сглаживание к общей ошибке прогноза. Это необходимо, чтобы снизить значение ошибки первого рода.
В частном примере реализации моделью прогнозирования является нейронная сеть. В еще одном частном примере реализации модель прогнозирования содержит в себе набор моделей, то есть ансамбль, принимающий решение путем усреднения результатов работы отдельных моделей из набора. В еще одном частном примере реализации оптимизируют нейронную сеть с использованием генетических алгоритмов. В другом частном примере реализации выбирают нейронную сеть с использованием одной из метрик качества: NAB-метрика, F1-метрика.
В еще одном частном примере реализации при расчете общей ошибки прогноза для ошибок каждого признака КФС используют весовые коэффициенты, при этом значение весового коэффициента признака определяется тем, насколько точно прогнозируемы значения данного признака КФС (например, по предыдущим результатам прогнозирования модели). В этом случае в качестве ошибки прогноза могут считать взвешенную ошибку с определенными весовыми коэффициентами.
В частном примере реализации при формировании обучающей выборки используют техническую документацию КФС (априорная информация, в которой описаны возможные состояния и технические характеристики датчиков и исполнительных механизмов). Это позволит построить более качественную модель за счет использования технической документации КФС для настройки параметров модели (выбор весовых коэффициентов при расчете общей ошибки прогноза, выбор периода наблюдения, изменение порога общей ошибки и пр.).
В другом частном примере реализации могут использовать отчет пользователя (также - оператора, отчет пользователя является апостериорной информацией) для улучшения качества модели или для построения новой модели в будущем за счет использования отчета пользователя для настройки параметров модели.
Значение весового коэффициента признака может быть присвоено средством обучения 211 в зависимости от значимости указанного признака и на основании технической документации КФС или отчета пользователя. Например, если определенный датчик часто выходит из строя или дает ложные показания, ему может быть присвоено низкое значение весового коэффициента или вовсе нулевое, в результате чего его показания не будут влиять на модель прогнозирования и значение порога ошибки для определения аномалии в КФС.
В частном примере реализации строят с использование средства обучения 211 реестр признаков КФС с использованием технической документации КФС или отчета пользователя, при этом реестр содержит, в частности, описание признака, физическую размерность признака, если признак описывает физическую величину объекта КФС, паспортная точность измерения признака, весовой коэффициент признака и наименование объекта, который описывается упомянутым признаком. При этом выполняют построение модели прогнозирования с учетом реестра признаков КФС, используя его для настройки параметров модели.
В другом частном примере реализации при построении обучающей выборки не включают в период наблюдения значения признаков КФС в моменты времени, в которые известно, что значения признаков КФС аномальные, в частности, периоды времени в которые проводятся пуско-наладочные или диагностические мероприятия на КФС, периоды времени ручного управления КФС.
В частном примере реализации построение модели прогнозирования средством обучения 211 происходит следующем образом. Вначале выбирают шаблон архитектуры нейронной сети. Например, многослойный перцептрон, сверточную нейронную сеть, рекуррентную нейронную сеть или другие. Далее формируют описание выбранной архитектуры:
• оптимизатор и его параметры;
• начальные значения весовых коэффициентов и сдвигов;
• максимальное количество слоев;
• для каждого слоя:
Figure 00000001
список возможных типов слоя, состоящий по меньшей мере из подмножества следующих слоев: Dense, Convolutional, GRU, LSTM, Dropout;
Figure 00000002
функция активации: линейная, ReLU, Tanh, сигмоида, Softmax и др.;
Figure 00000001
возможный размер слоя (число нейронов в слое). Затем производят оптимизацию архитектуры нейронной сети с использованием оптимизатора. В частном примере реализации оптимизация архитектуры нейронной сети производится с использованием генетических алгоритмов. Для выбора лучшей архитектуры также используется метрика качества. В частном примере реализации используется одна из следующих метрик качества: NAB-метрика, F1-метрика.
На Фиг. 3 представлен способ обучения модели прогнозирования значений признаков кибер-физической системы (КФС) и вычисления порога ошибки для определения аномалии в обладающей определенными характеристиками КФС. На шаге 310 получают исходную выборку, содержащую значения признаков КФС за исторический период наблюдения за КФС. В частном примере реализации в исходной выборке доля аномалий не превышает заданное значение. Затем, на шаге 320 на основании исходной выборки и с учетом характеристик КФС формируют обучающую выборку, включающую значения по меньшей мере одного из упомянутых признаков КФС, за период наблюдения не превосходящий исторический период наблюдения. В частном примере реализации включают в обучающую выборку по меньшей мере один момент времени, в котором произошла аномалия. На шаге 330 выполняют построение модели прогнозирования значений признаков КФС в каждый момент времени окна прогноза по данным значений упомянутых признаков КФС в каждый момент времени входного окна, при этом входное окно и окно прогноза находятся внутри периода наблюдений и выбраны в зависимости от характеристик КФС, а расстояние между входным окном и окном прогноза равно горизонту прогноза, который выбирают в зависимости от характеристик КФС. Затем, на шаге 340 выполняют обучение модели прогнозирования на данных обучающей выборки.
На шаге 350 с использованием обученной модели прогнозирования выполняют прогнозирование значений признаков КФС в каждый момент времени периода наблюдения. После чего, на шаге 360 определяют общую ошибку прогноза, полученного с использованием построенной модели прогнозирования в каждый момент времени периода наблюдения. На шаге 370 вычисляют порог общей ошибки в зависимости от характеристик КФС, таким образом, что превышение вычисленного порога общей ошибкой прогноза означает аномалию в КФС. Стоит отметить, что частные примеры реализации, раскрытые ранее применительно к системе 201, представленной на Фиг. 2, также применимы и к описанному на Фиг. 3 способу. Например, в одном из частных примеров реализации на шаге 320а получают техническую документацию КФС или отчет пользователя по ранее обнаруженным аномалиям. Затем, на шаге 330а строят с использованием средства обучения 211 реестр признаков КФС с использованием технической документации КФС или отчета пользователя, при этом реестр содержит, в частности, описание признака, физическую размерность признака, если признак описывает физическую величину объекта КФС, паспортная точность измерения признака, весовой коэффициент признака и наименование объекта, который описывается упомянутым признаком, при этом выполняют построение модели прогнозирования (шаг 330) с учетом реестра признаков КФС. Другие частные примеры реализации были перечислены ранее, на Фиг. 2.
На Фиг. 4 представлена система определения источника аномалии в кибер-физической системе. Система определения источника аномалии 220 содержит средство прогнозирования 221 и средство определения аномалии 222. Средство прогнозирования 221 предназначено для получения значений признаков КФС за входное окно, которое определяется обученной моделью прогнозирования, а также выполняет прогнозирование значений признаков КФС на окно прогноза с использованием обученной модели прогнозирования и по данным полученных значений признаков КФС за входное окно. Признаки КФС являются численными характеристиками датчиков, исполнительных механизмов, ПИД-регуляторов. Входное окно и окно прогноза - это заданные в обученной модели прогнозирования интервалы времени, при этом входное окно содержит значения признаков, по значениям которых выполняют прогнозирование значений признаков для окна прогноза. То есть они определяются системой и способом, описанными на Фиг. 2-3. Входное окно и окно прогноза находятся внутри периода наблюдений и выбраны в соответствии с характеристиками КФС. Расстояние между входным и окном прогноза является горизонтом прогноза (например, от конца входного окна до начала окна прогноза), который также зависит от характеристик КФС. Горизонт прогноза может принимать как неотрицательные значения (прогноз на будущее), так и отрицательные значения. В частном примере реализации входное окно и окно прогноза могут пересекаться (горизонт прогноза отрицателен). В другом частном примере реализации входное окно и окно прогноза не пересекаются (горизонт прогноза положителен).
Средство определения аномалии 222 предназначено для определения общей ошибки прогноза для признаков КФС для окна прогноза, определения аномалии в КФС при превышении общей ошибкой прогноза порога общей ошибки (то есть порогового значения общей ошибки), а также для определения по меньшей мере одного признака КФС, являющегося источником аномалии, если вклад ошибки прогноза упомянутого по меньшей мере одного признака КФС (из числа всех признаков КФС из упомянутого списка признаков) в общую ошибку прогноза выше, чем вклад других признаков КФС (из числа всех признаков КФС из упомянутого списка признаков) в общую ошибку прогноза. Например, определяют 5 признаков КФС с наибольшей ошибкой прогноза среди всех признаков КФС из упомянутого списка признаков. В частном примере реализации порог общей ошибки является квантилем заданной точности от общей ошибки прогноза, например, на уровне значимости 99%.
В частном примере реализации значения признаков КФС поступают в режиме реального времени, поэтому для окна прогноза определяют общую ошибку прогноза спустя время, равное сумме горизонта прогноза и входного окна, то есть когда будут получены реальные значения признаков КФС в каждый момент времени окна прогноза.
В другом частном случае, если значения признаков КФС содержатся в исходной выборке за исторический период наблюдения (то есть за весь период времени, в течение которого проводилось наблюдение), для окна прогноза определяют общую ошибку прогноза по данным исходной выборки за исторический период наблюдения.
В частном примере реализации признаки КФС включают по меньшей мере один из: измерение датчика (технологический параметр датчика); управляемый параметр исполнительного механизма; уставку исполнительного механизма; входные сигналы или выходной сигнал ПИД-регулятора.
В частном примере реализации кибер-физическая система обладает по меньшей мере одной из следующих характеристик:
• отраслью производства, в которой функционирует кибер-физическая система;
• типами процессов, которые описывают параметры КФС, в частности, один из: непрерывный, конвейерный, циклический;
• наличием сезонности и/или трендов в признаках КФС;
• инертностью процессов КФС;
• временем реакции КФС на изменения, происходящие в КФС и во внешней среде;
• уровнем опасности производства для персонала и экологии;
• стоимостью простоя технологический процессов из-за нештатных ситуаций;
• типом управления, в частности, выполненный с использованием ПИД-регуляторов, конечных автоматов или комбинированным способом;
• типом субъекта управления, который характеризуется по меньшей мере одним признаком, при этом тип субъекта управления является одним из: датчиком, исполнительный механизмом или ПИД-регулятором;
• данными самодиагностики КФС;
• статусом исправности субъекта управления;
• взаимосвязью субъектов управления на уровне техпроцесса.
В частном примере реализации моделью прогнозирования является нейронная сеть. В еще одном частном примере реализации модель прогнозирования содержит в себе набор моделей, то есть ансамбль - принимающий решение путем усреднения результатов работы отдельных моделей из набора. В еще одном частном примере реализации оптимизируют нейронную сеть с использованием генетических алгоритмов. В другом частном примере реализации выбирают нейронную сеть с использованием одной из метрик качества: NAB-метрика, F1-метрика.
В еще одном частном примере реализации при расчете общей ошибки прогноза для ошибок каждого признака КФС используют весовые коэффициенты, при этом:
а) присваивают низкое значение весовому коэффициенту для признака, если субъект управления, характеризующийся этим признаком, предоставляет данные с шумами, или невалидные данные или периодически отключается пользователем КФС;
б) присваивают низкое значение весовому коэффициенту для признака, в котором возникновение аномалии не влияет на работу КФС, и высокое значение весовому коэффициенту для признака, в котором возникновение аномалии влияет на работу КФС.
В одном частном примере реализации применяют экспоненциальное сглаживание к общей ошибке прогноза. Это необходимо, чтобы снизить ошибку первого рода.
В другом частном примере реализации при расчете общей ошибки прогноза для ошибок каждого признака КФС используют весовые коэффициенты, при этом значение весового коэффициента признака определяется тем, насколько точно прогнозируемы значения данного признака КФС. В этом случае в качестве ошибки прогноза могут считать взвешенную с определенными весовыми коэффициентами ошибку.
В еще одном частном примере реализации получают техническую документацию КФС или отчет пользователя по ранее обнаруженным обученной системой аномалиям, при этом весовой коэффициент признака выбирают с помощью средства обучения 211 в зависимости от значимости указанного признака и на основании технической документации КФС или отчета пользователя.
На Фиг. 5 представлен пример способа определения источника аномалии в кибер-физической системе, обладающей определенными характеристиками. На шаге 510 получают значения признаков КФС за входное окно, которое определяется обученной моделью прогнозирования (использующейся в системе и способе, которые представлены на Фиг. 3-4). Затем на шаге 520 с использованием обученной модели прогнозирования и по данным полученных значений признаков КФС за входное окно выполняют прогнозирование значений признаков КФС за окно прогноза. После чего на шаге 530 для окна прогноза определяют общую ошибку прогноза для признаков КФС и, при превышении общей ошибкой прогноза порога общей ошибки на шаге 540 определяют аномалию в КФС. В итоге на шаге 550 определяют по меньшей мере один признак КФС, являющийся источником аномалии, если вклад ошибки прогноза упомянутого по меньшей мере одного признака КФС в общую ошибку прогноза выше чем вклад других признаков КФС в общую ошибку прогноза. Например, определяют 5 признаков КФС с наибольшей ошибкой прогноза среди всех признаков КФС из упомянутого списка признаков.
В частном примере реализации значения признаков КФС поступают в режиме реального времени, поэтому для окна прогноза определяют общую ошибку прогноза спустя время, равное сумме горизонта прогноза и входного окна, то есть когда будут получены реальные значения признаков КФС в каждый момент времени окна прогноза.
В другом частном случае, если значения признаков КФС содержатся в исходной выборке за исторический период наблюдения, для окна прогноза определяют общую ошибку прогноза по данным исходной выборки за исторический период наблюдения.
В частном примере реализации признаки КФС включают по меньшей мере один из: измерение датчика (технологический параметр датчика); управляемый параметр исполнительного механизма; уставка исполнительного механизма; входные сигналы или выходной сигнал ПИД-регулятора.
В частном примере реализации кибер-физическая система обладает по меньшей мере одной из следующих характеристик:
• отраслью производства, в которой функционирует кибер-физическая система;
• типами процессов, которые описывают параметры КФС, в частности, один из: непрерывный, конвейерный, циклический;
• наличием сезонности и/или трендов в признаках КФС;
• инертностью процессов КФС;
• временем реакции КФС на изменения, происходящие в КФС и во внешней среде;
• уровнем опасности производства для персонала и экологии;
• стоимостью простоя технологический процессов из-за нештатных ситуаций;
• типом управления, в частности, выполненный с использованием ПИД-регуляторов, конечных автоматов или комбинированным способом;
• типом субъекта управления, который характеризуется по меньшей мере одним признаком, при этом тип субъекта управления является одним из: датчиком, исполнительный механизмом или ПИД-регулятором;
• данными самодиагностики КФС;
• статусом исправности субъекта управления;
• взаимосвязью субъектов управления на уровне техпроцесса.
В частном примере реализации моделью прогнозирования является нейронная сеть. В еще одном частном примере реализации модель прогнозирования содержит в себе набор моделей, то есть ансамбль - принимающий решение путем усреднения результатов работы отдельных моделей из набора. В еще одном частном примере реализации оптимизируют нейронную сеть с использованием генетических алгоритмов. В другом частном примере реализации выбирают нейронную сеть с использованием одной из метрик качества: NAB-метрика, F1-метрика.
В еще одном частном примере реализации при расчете общей ошибки прогноза для ошибок каждого признака КФС используют весовые коэффициенты, при этом:
а) присваивают низкое значение весовому коэффициенту для признака, если субъект управления, характеризующийся этим признаком, предоставляет данные с шумами, или невалидные данные или периодически отключается пользователем КФС;
б) присваивают низкое значение весовому коэффициенту для признака, в котором возникновение аномалии не влияет на работу КФС, и высокое значение весовому коэффициенту для признака, в котором возникновение аномалии влияет на работу КФС.
В одном частном примере реализации применяют экспоненциальное сглаживание к общей ошибке прогноза. Это необходимо, чтобы снизить ошибку первого рода.
В одном частном примере реализации при расчете общей ошибки прогноза для ошибок каждого признака КФС используют весовые коэффициенты, при этом значение весового коэффициента признака определяется тем, насколько точно прогнозируемы значения данного признака КФС. В этом случае в качестве ошибки прогноза могут считать взвешенную с определенными весовыми коэффициентами ошибку.
В еще одном частном примере реализации получают техническую документацию КФС или отчет пользователя по ранее обнаруженным обученной системой аномалиям, при этом весовой коэффициент признака выбирают с помощью средства обучения 211 в зависимости от значимости указанного признака и на основании технической документации КФС или отчета пользователя.
Ниже рассматривается пример работы описанных систем и способов по Фиг. 2-5. После получения исходной выборки, содержащей значения признаков КФС за исторический период наблюдения за КФС - Т0, формируют обучающую выборку - за период наблюдения Т1 ⊆ Т0 (то есть период наблюдения T1 является подмножеством Т0). Обучающая выборка состоит из m признаков КФС в каждый момент времени наблюдения xt (вектор значений признаков КФС) периода наблюдения T1:
Figure 00000003
где
t≥0 - время, а m>0 - число признаков.
Входное окно времени для упомянутых признаков - L (так, что длина окна положительна), h - горизонт прогноза,
Figure 00000004
- окно прогноза (так, что длина окна положительна), т.е. период времени, на который прогнозируют значения признаков по данным значений признаков за период времени L. При этом
Figure 00000005
На Фиг. 6 представлен пример зависимости значений одного признака от времени, а также обозначены входное окно L, окно прогноза
Figure 00000006
и горизонт прогноза h. В общем случае, входное окно L и окно прогноза
Figure 00000007
могут как пересекаться, так и не пересекаться. Применительно к представленному примеру далее рассматривается работа системы и способа обучения модели прогнозирования значений признаков КФС и вычисления порога ошибки R для определения аномалии и обладающей определенными характеристиками КФС по Фиг. 2-3. Обучающая выборка, сформированная на основании исходной выборки и с учетом характеристик КФС, включает значения признаков КФС за период наблюдения (например, весь интервал с 16:00 до 16:08). С использованием обучающей выборки выполняют построение модели прогнозирования значений параметров КФС, в каждый момент времени окна прогноза
Figure 00000008
по данным значений признаков КФС в каждый момент времени входного окна L. Входное окно L и окно прогноза
Figure 00000009
находятся внутри периода наблюдения и выбираются в зависимости от характеристик КФС. Горизонт прогноза h также выбирают в зависимости от характеристик КФС. Прогнозные значения признаков вычисляются по формуле:
Figure 00000010
где
Figure 00000011
- модель прогнозирования.
Обучение модели прогнозирования происходит на данных всей обучающей выборки. Затем выполняют прогнозирование значений признаков КФС в каждый момент времени периода наблюдения. Это может происходить путем передвижения входного окна и горизонта прогноза таким образом, чтобы в конечном итоге получить прогнозные значения признаков КФС в каждый момент времени периода наблюдения. После чего определяют общую ошибку прогноза для параметров КФС в каждый момент времени окна прогноза. В частном примере реализации общая ошибка прогноза в момент времени t является средней ошибкой:
Figure 00000012
где р>0.
Разница
Figure 00000013
может быть определена как ошибка прогноза признака с номером
Figure 00000014
в момент времени t≥0. В еще одном частном примере реализации порог общей ошибки прогноза R может быть вычислен как квантиль заданной точности от общей ошибки прогноза
Figure 00000015
(например, квантиль порядка 0,95). Таким образом, аномалия возникнет при
Figure 00000016
Кроме того, к общей ошибке прогноза может быть применено экспоненциальное сглаживание.
Применительно к представленному примеру далее рассматривается работа системы и способа определения источника аномалии в КФС, обладающей определенными характеристиками по Фиг. 4-5. В зависимости от примера реализации значения признаков КФС поступают либо в режиме реального времени для определения источника аномалии в КФС в текущий момент времени, либо за исторический период наблюдения для ретроспективного определения источника аномалии в КФС. Для иллюстрации далее рассматривается пример реализации, в котором значения признаков КФС поступают в режиме реального времени. Таким образом, значения признаков КФС поступают за входное окно L (которое определяется обученной моделью прогнозирования, см. Фиг. 2-3). Затем с использованием обученной модели прогнозирования и по данным полученных значений признаков КФС за входное окно L выполняют прогнозирование значений признаков КФС на окно прогноза
Figure 00000017
Для окна прогноза определяют общую ошибку прогноза для признаков КФС и при превышении общей ошибкой прогноза порога общей ошибки, определяют аномалию в КФС. После чего определяют по меньшей мере один признак КФС, являющийся источником аномалии, если вклад этого признака КФС в общую ошибку прогноза выше чем вклад других признаков КФС в общую ошибку прогноза.
На Фиг. 7 представлены примеры зависимостей значений признаков, значений прогнозов признаков и общей ошибки прогноза от времени в окрестности времени момента возникновения аномалии. На первых двух графиках представлена динамика изменения значений признаков, т.е. реальных значений, полученных от соответствующих субъектов управления (датчики, исполнительные механизмы и ПИД-регуляторы), а также динамика их прогнозных значений, полученных с использованием систем и способов, описанных на Фиг. 2-5. На нижнем графике представлена динамика общей ошибки прогноза (для обоих признаков) и момент превышения ею порога общей ошибки, что означает возникновение аномалии.
В одном частном примере реализации применяют экспоненциальное сглаживание к общей ошибке прогноза. Это необходимо, чтобы снизить ошибку первого рода.
На Фиг. 8 представлен пример динамики общей ошибки прогноза до сглаживания и после сглаживания. Из графика видно, что в первом случае с помощью системы и способа по Фиг. 4-5 средство определения аномалии 222 определило бы аномалию из-за превышения общей ошибкой порога общей ошибки, а во втором случае аномалию не определяют, что в большей мере соответствует действительности ввиду снижения кратковременных отклонений ошибки. То есть сглаживание общей ошибки прогноза позволяет снизить возможность многократного определения одной аномалии, а также шумы в упомянутой ошибке. После обнаружения аномалии определяют признаки КФС, являющиеся источником аномалии, с наибольшим вкладом в общую ошибку прогноза.
В частном примере реализации в качестве общей ошибки прогноза может быть использована средняя ошибка степени р>0 (например, среднеквадратическая ошибка). В еще одном частном примере реализации общая ошибка прогноза может быть взвешенной средней ошибкой степени р.
В частном примере реализации в системе и способе, описанным на Фиг. 4-5, при определении аномалии, пользователю (оператору) КФС может быть отображена сопутствующая информация об обнаруженной аномалии. Например, графики изменения значений параметров в период, охватывающий момент времени обнаружения аномалии. Кроме того, на графике могут быть отображены прогнозные значения параметров, порог общей ошибки и порог ошибки соответствующего параметра, а также указание на момент времени обнаружения аномалии и на параметры, являющиеся источниками аномалии. После дополнительного анализа, пользователь КФС может подтвердить или опровергнуть обнаружение аномалии, параметров, являющихся источником аномалии. Это позволит снизить ошибку первого рода и повысить точность определения аномалий и идентификации параметров, являющихся источником данной аномалии. Более подробно система формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя (ГИП) будет представлена далее, на Фиг. 9.
На Фиг. 9 представлена система формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя (далее - система графического интерфейса пользователя, сокр. ГИП). Система ГИП содержит по меньшей мере один элемент ГИП для выбора признака 910, содержащий, в частности, список признаков кибер-физической системы (далее - список признаков), и предназначенный для приема информации о выбранном пользователем (также - оператором) КФС по меньшей мере одном признаке КФС из упомянутого списка признаков. Выбор списка признаков осуществляется с использованием ГИП для выбора списка признаков 911. Кроме того, по меньшей мере один элемент ГИП для выбора периода времени 920 предназначен для приема информации о выбранном пользователем периоде времени для мониторинга за выбранными признаками КФС. Система также содержит средство прогнозирования 221, предназначенное для формирования прогноза для признаков КФС за указанный период времени мониторинга и средство определения аномалии 222, предназначенное для формирования общей ошибки прогноза для выбранных признаков КФС и ошибки прогноза для каждого из выбранных признаков КФС за указанный период времени мониторинга. При этом средство прогнозирования 221 и средство определения аномалии 222 могут функционировать согласно описанным ранее системе и способу по Фиг. 4-5 и в соответствующих частных вариантах реализации. Кроме того, к системе ГИП также применимы варианты реализации, описанные к Фиг. 2-5.
По меньшей мере один элемент ГИП для формирования графиков 930 предназначен для формирования за указанный период времени мониторинга для значений данных, сформированных средством прогнозирования 221 и средством определения аномалий 222. В частном примере реализации, упомянутые значения данных включают, в частности следующие:
• каждого выбранного признака КФС;
• прогноза для каждого выбранного признака КФС;
• общей ошибки прогноза для признаков КФС;
• ошибки прогноза для каждого выбранного признака КФС;
• порога общей ошибки прогноза.
Средство определения аномалии 222 дополнительно предназначено для определения аномалии в КФС при превышении общей ошибкой прогноза порога общей ошибки, при этом элемент ГИП для формирования графиков 930 дополнительно предназначен для формирования данных об аномалии в КФС и формирования графика значений по меньшей мере для одного из всех признаков КФС (то есть из упомянутого ранее списка признаков), если вклад ошибки прогноза упомянутого по меньшей мере одного признака КФС в общую ошибку прогноза выше чем вклад по меньшей мере одного другого признака КФС (также из числа всех признаков КФС из списка признаков) в общую ошибку прогноза.
На Фиг. 9 и на Фиг. 10а-10б также представлен иллюстративный пример работы описанной системы. А именно, с использованием элемента ГИП для выбора признака 910 пользователем выбраны признаки, для которых сформированы (построены) графики с использованием ГИП для формирования графиков 930 за указанный период времени мониторинга 920.
Например, на Фиг. 10а верхние два графика являются графиками реальных значений и прогнозных значений для выбранных признаков («A_feed_streaml» и «A_reactor_feed»). На нижнем третьем графике представлена общая ошибка прогноза для всех признаков КФС (то есть вычисленная на основании реальных и прогнозных значений всех признаков КФС из упомянутого списка признаков) и порог общей ошибки прогноза (горизонтальная линия). При этом, также отображен момент возникновения аномалии в КФС (вертикальная пунктирная линия по центру на каждом из графиков), - момент времени, когда общая ошибка прогноза превышает порог общей ошибки. Т.к. общая ошибка прогноза складывается из ошибок прогноза признаков, то ошибка прогноза каждого признака может быть незначительной, в то время как общая ошибка прогноза может превышать порог общей ошибки, в результате чего возникнет аномалия. Поэтому такую аномалию проблематично обнаружить пользователю КФС. Однако, использование заявленной на Фиг. 9 системы позволяет упросить этот процесс, а именно определить момент возникновения аномалии и сформировать графики значений признаков КФС и прогнозных значений упомянутых признаков (с последующем предоставлением их пользователю). Упомянутые графики, сформированные ГИП для формирования графиков 930, могут быть сформированы (и отображены пользователю) как для выбранных пользователем признаков, так и для признаков (из числа всех признаков КФС) из упомянутого списка признаков, у которых наибольшая ошибка прогноза (то есть вклад в общую ошибку прогноза у этих признаков выше чем вклад других выбранных признаков). Именно такие признаки являются наиболее вероятными источниками аномалии.
В частном примере реализации описанная на Фиг. 9 система ГИП дополнительно содержит элемент ГИП для выбора режима отображения 940, предназначенный для приема информации о выбранном пользователем режиме мониторинга за выбранными признаками КФС: в режиме реального времени, в режиме кодирование-декодирование, при этом если выбран режим реального времени, упомянутый элемент ГИП для формирования графиков 930 формирует графики упомянутых значений в текущий момент времени, (см. Фиг. 10а-10в).
Описанная система также содержит элемент ГИП для формирования ошибки прогноза признака 921, предназначенный для приема информации о выбранном пользователем режиме формирования или не формирования ошибки прогноза для выбранных признаков в элемент ГИП для формирования графиков 930. В данном примере среднеквадратичную ошибку (англ. - mean squared error, MSE). Например, на Фиг. 10а и Фиг. 10в не выбрано отображение ошибки прогноза признака. В то же время на Фиг. 10б выбрано отображение ошибки прогноза признака - в результате такого выбора, в элемент ГИП для формирования графиков 930, после графика для каждого признака отображается график для ошибки прогноза этого признака. Например, первый график для признака «A_feed_streaml», второй график содержит ошибку прогноза этого признака. Самый нижний график отображает общую ошибку прогноза для признаков.
Элемент ГИП для выбора порядка отображения 922 предназначен для приема информации о выбранном пользователем способе сортировки и отображения выбранных признаков на элемент ГИП для формирования графиков 930. Например, может быть выбран режим сортировки (англ. sorted tags, выбран на Фиг. 10а-10б), когда графики значений признаков будут отсортированы по наибольшей ошибке прогноза - от наибольшей ошибки прогноза для признака на первом графике до наименьшей ошибки прогноза для признака на последнем графике. Данный режим отображения может являться режимом отображения, выбранным по умолчанию. И позволяет системе автоматически формировать и предоставлять пользователю КФС информацию о наиболее вероятном месте возникновения аномалии и нарушении ТП. Может быть также выбран режим отображения в том порядке, в котором выбранные признаки содержатся в упомянутом ранее списке признаков КФС (выбран на Фиг. 10в).
В другом частном примере реализации система ГИП дополнительно содержит по меньшей мере один элемент ГИП для выбора событий 950 (см. Фиг. 12) предназначенный для формирования списка событий КФС, в которых произошла аномалия и, при выборе пользователем одного из упомянутых событий, упомянутый по меньшей мере один элемент ГИП для выбора событий 950 предназначен для формирования для выбранного события графика значений упомянутых данных в момент возникновения аномалии и за указанный период времени мониторинга.
В одном частном примере реализации упомянутый список 910 для каждого из признаков КФС дополнительно содержит:
а) идентификатор признака;
б) описание признака;
в) ошибки прогноза для признака;
г) наблюдаемое значение признака;
д) предсказанное значение признака;
е) единицы измерения признака;
ж) допустимые пределы изменения признака;
з) привязку признака к оборудованию (PLC и пр.).
На Фиг. 11а представлен элемент ГИП для настроек ошибок прогноза 970, предназначенный для приема информации о выборе пользователя для отображения ГИП для изменения ошибок прогноза 971, который в свою очередь служит для отображения текущего значения порога общей ошибки прогноза и предназначен для приема информации об изменениях, внесенных пользователем в значения упомянутого порога общей ошибки прогноза. В результате ГИП для изменения ошибок прогноза 971 изменит значение упомянутого порога общей ошибки прогноза. Например, пользователь может повысить порог общей ошибки прогноза при большом количество ложных срабатываний. Очевидно, измененное значение порога общей ошибки прогноза также повлечет соответствующие изменения при определении аномалии в КФС (на Фиг. 4-Фиг. 5).
На Фиг. 11б ГИП для изменения ошибок прогноза 971 дополнительно предназначен для отображения значений весовых коэффициентов для ошибок прогноза каждого выбранного признака КФС и служит для приема произведенных пользователем изменений значений указанных весовых коэффициентов. В этом случае общая ошибка прогноза будет пересчитана, например, средством прогнозирования 221 с использованием измененных значений указанных весовых коэффициентов.
В еще одном частном примере реализации по меньшей мере один из элементов ГИП для группировки признаков 912 предназначен для приема информации о выбранной пользователем группе признаков, в частности, относящихся к одному ПИД-регулятору, при этом элемент ГИП для формирования графиков 930 формирует графики упомянутых значений за указанный период времени мониторинга для признаков КФС из выбранной группы признаков, позволяя пользователю быстро переключаться между различными созданными группами, которые могут быть привязаны к важным с точки зрения пользователя участкам ТП.
В одном частном примере реализации по меньшей мере один элемент ГИП для отображения групп признаков 913 предназначенный для отображения признаков КФС из сформированных групп признаков. То есть в результате группировки признаков посредством ГИП 912 будут сформированы группы признаков, отображаемые в ГИП 913, при этом пользователь имеет возможность выбирать, редактировать указанные группы, а также отображать графики значений для признаков КФС из указанных групп посредством ГИП 930.
В еще одном частном примере реализации по меньшей мере один элемент ГИП функционально способен формировать подсписки из выбранных пользователем признаков КФС и при выборе пользователем упомянутого подсписка - формировать графики значений для признаков из упомянутого подсписка (на фигурах не отображен).
На Фиг. 13 представлен элемент ГИП для выбора моделей 960, предназначенный для осуществления выбора модели прогнозирования значений признаков КФС.
На Фиг. 14 представлен способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя (ГИП). На шаге 1410 с помощью по меньшей мере одного элемента ГИП для выбора признака 910, содержащего, в частности, список признаков кибер-физической системы (КФС), принимают информацию о выбранном пользователем по меньшей мере одном признаке КФС из упомянутого списка признаков. Далее на шаге 1420 с помощью по меньшей мере одного элемента ГИП для выбора периода времени 920, принимают информацию о выбранном пользователем периоде времени для мониторинга за выбранными признаками КФС. Затем, на шаге 1430 с помощью средства прогнозирования 221 формируют за указанный период времени мониторинга прогноз значений признаков КФС с помощью модели прогнозирования значений выбранных признаков КФС. После чего, на шаге 1440 с помощью средства определения аномалии 222 определяют за указанный период времени мониторинга общую ошибку прогноза для выбранных признаков КФС и ошибки прогноза для каждого выбранного признака КФС. В итоге, на шаге 1450 с помощью по меньшей мере одного элемента ГИП для формирования графиков 930, формируют за указанный период времени мониторинга графики для каждого из следующих значений, которые необходимы для мониторинга за КФС:
• каждого выбранного признака КФС;
• прогноза для каждого выбранного признака КФС;
• общей ошибки прогноза для признаков КФС;
• ошибки прогноза для каждого выбранного признака КФС;
• порога общей ошибки прогноза.
Частные примеры реализации, описанные ранее на Фиг. 9-13 к системе ГИП также применимы и к способу по Фиг. 14.
Очевидно, что система и способ по Фиг. 9-14 обеспечивают достижение заявленных технических результатов, а именно обеспечивают графический интерфейс пользователя, который позволяет пользователю выполнять мониторинг кибер-физической системы с целью раннего определения аномалий, а также выполняют реализацию автоматизированного контроля пользователем кибер-физической системы для раннего определения аномалий. Кроме того, будет решена заявленная техническая проблема, заключающаяся в отсутствии системы и способа формирования данных для мониторинга кибер-физической системы, для выполнения определения аномалий в системе графического интерфейса пользователя, в которой время, прошедшее с момента возникновения аномалии в КФС до момента ее обнаружения, было бы ниже, чем у существующих аналогов.
Фиг. 15 представляет пример компьютерной системы общего назначения, с помощью которой может быть реализовано настоящее изобретение. В одном частном примере реализации с использованием компьютерной системы может быть реализовано средство обучения 211, средство вычисления 212, удаленный сервер 213, а также средство прогнозирования 221 и средство определения аномалии 222. В другом частном примере реализации упомянутые средства могут быть реализованы также с использованием специализированных интегральных схем (в т.ч. центрального процессора и/или графического процессора). Возвращаясь к компьютерной системе общего назначения, представленной на Фиг. 15, персональный компьютер или сервер 20, содержит центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь (оператор) имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 15. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях (также - информационных системах), внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Claims (48)

1. Способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя (ГИП), в котором:
а) с помощью элемента ГИП для выбора признака, содержащего, в частности, список признаков кибер-физической системы (КФС), которые являются численными характеристиками субъектов управления - датчиков, исполнительных механизмов, ПИД-регуляторов, принимают информацию о выбранном пользователем по меньшей мере одном признаке КФС из списка признаков;
б) с помощью элемента ГИП для выбора периода времени, принимают информацию о выбранном пользователем периоде времени мониторинга за выбранными признаками КФС;
в) с помощью средства прогнозирования формируют за период времени мониторинга прогноз значений признаков КФС с помощью модели прогнозирования значений выбранных признаков КФС;
г) с помощью средства определения аномалии определяют за период времени мониторинга общую ошибку прогноза для всех признаков КФС из списка признаков и ошибки прогноза для каждого выбранного признака КФС;
д) с помощью элемента ГИП для формирования графиков, формируют за период времени мониторинга графики для значений данных, сформированных средством прогнозирования и средством определения аномалий.
2. Способ по п. 1, в котором упомянутые значения данных, сформированные средством прогнозирования и средством определения аномалий, включают, в частности, следующие значения:
- каждого выбранного признака КФС;
- прогноза для каждого выбранного признака КФС;
- общей ошибки прогноза для признаков КФС;
- ошибки прогноза для каждого выбранного признака КФС;
- порога общей ошибки прогноза.
3. Способ по п. 2, в котором дополнительно с использованием средства определения аномалии определяют аномалии в КФС при превышении общей ошибкой прогноза порога общей ошибки, при этом с использованием элемента ГИП для формирования графиков формируют данные об аномалии в КФС и формируют график значений по меньшей мере для одного из выбранных признаков КФС, если вклад ошибки прогноза упомянутого по меньшей мере одного признака КФС в общую ошибку прогноза выше, чем вклад по меньшей мере одного другого признака КФС из числа всех признаков КФС из списка признаков в общую ошибку прогноза.
4. Способ по п. 1, в котором с использованием по меньшей мере одного дополнительного элемента ГИП для выбора режима формирования принимают информацию о выбранном пользователем режиме мониторинга за выбранными признаками КФС: режим реального времени или режим кодирование-декодирование, при этом, если выбран режим реального времени, с использованием упомянутого элемента ГИП для формирования графиков формируют графики упомянутых значений в текущий момент времени.
5. Способ по п. 1, в котором с использованием по меньшей мере одного элемента ГИП для выбора событий формируют список событий КФС, в которых произошла аномалия и, при выборе пользователем одного из упомянутых событий, формируют для выбранного события упомянутый график значений упомянутых данных в момент возникновения аномалии и за указанный период времени мониторинга.
6. Способ по п. 5, в котором упомянутый список событий КФС для каждого из выбранных признаков КФС дополнительно содержит:
а) идентификатор признака;
б) описание признака;
в) ошибки прогноза для признака;
г) наблюдаемое значение признака;
д) предсказанное значение признака;
е) единицы измерения признака;
ж) допустимые пределы изменения признака;
з) привязку признака к оборудованию.
7. Способ по п. 1, в котором с использованием по меньшей мере одного элемента ГИП для группировки признаков принимают информацию о выбранной пользователем группе признаков, в частности относящихся к одному ПИД-регулятору, при этом с помощью упомянутого элемента ГИП для формирования графиков формируют графики значений упомянутых данных за указанный период времени мониторинга для признаков КФС из выбранной группы признаков.
8. Способ по п. 1, в котором с использованием по меньшей мере одного элемента ГИП формируют подсписки из выбранных пользователем признаков КФС и при выборе пользователем упомянутого подсписка с использованием элемента ГИП для формирования графиков формируют график значений для признаков из упомянутого подсписка.
9. Способ по п. 1, в котором с использованием по меньшей мере одного элемента ГИП для выбора режима формирования принимают информацию о выбранном пользователем режиме формирования или неформирования ошибки прогноза для выбранных признаков КФС в элемент ГИП для формирования графиков.
10. Способ по п. 1, в котором с использованием по меньшей мере одного элемента ГИП принимают информацию о выбранном пользователем способе сортировки и отображения выбранных признаков на элемент ГИП для формирования графиков признаков, при этом при выборе режима сортировки, графики значений признаков сортируют по наибольшей ошибке прогноза - от наибольшей ошибки прогноза для признака на первом графике до наименьшей ошибки прогноза для признака на последнем графике.
11. Способ по п. 1, в котором дополнительно содержатся средство обучения и средство вычисления, а обучение модели прогнозирования значений признаков КФС и вычисления порога ошибки для определения аномалии в обладающей определенными характеристиками КФС, осуществляется следующей последовательностью шагов:
а) с использованием средства обучения получают исходную выборку, содержащую значения признаков КФС за исторический период наблюдения за КФС, в которой доля аномалий не превышает заданное значение;
б) с использованием средства обучения на основании исходной выборки и с учетом характеристик КФС формируют обучающую выборку, включающую значения по меньшей мере одного из упомянутых признаков КФС, за период наблюдения, который содержится в историческом периоде наблюдений;
в) с использованием средства обучения выполняют построение модели прогнозирования значений признаков КФС в каждый момент времени окна прогноза по данным значений упомянутых признаков КФС в каждый момент времени входного окна, при этом входное окно и окно прогноза являются интервалами времени, содержащимися внутри периода наблюдений, и выбирают в зависимости от характеристик КФС, а расстояние между входным окном и окном прогноза равно горизонту прогноза, который выбирают в зависимости от характеристик КФС;
г) с использованием средства обучения выполняют обучение модели прогнозирования на данных обучающей выборки;
д) с использованием обученной модели прогнозирования с использованием средства вычисления выполняют прогнозирование значений признаков КФС в каждый момент времени периода наблюдений;
е) с использованием средства вычисления определяют общую ошибку прогноза, полученного с использованием построенной модели прогнозирования в каждый момент времени периода наблюдений;
ж) с использованием средства обучения вычисляют порог общей ошибки в зависимости от характеристик КФС таким образом, что превышение вычисленного порога общей ошибкой прогноза означает аномалию в КФС.
12. Способ по п. 1, в котором:
а) с помощью средства прогнозирования получают значения признаков КФС за входное окно, являющееся интервалом времени и содержащееся внутри периода наблюдений, при этом входное окно определяется обученной моделью прогнозирования;
б) с помощью средства прогнозирования с использованием обученной модели прогнозирования и по данным полученных значений признаков КФС за входное окно выполняют прогнозирование значений признаков КФС на окно прогноза, являющееся интервалом времени и содержащееся внутри периода наблюдений;
в) с помощью средства определения аномалий для окна прогноза определяют общую ошибку прогноза для признаков КФС;
г) с помощью средства определения аномалий при превышении общей ошибкой прогноза порога общей ошибки, определяют аномалию в КФС;
д) с помощью средства определения аномалий определяют по меньшей мере один признак КФС, являющийся источником аномалии, если вклад ошибки прогноза упомянутого по меньшей мере одного признака КФС в общую ошибку прогноза выше, чем вклад по меньшей мере одного другого признака КФС в общую ошибку прогноза.
13. Система формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя (ГИП), содержащая:
а) элемент ГИП для выбора признака, содержащий, в частности, список признаков кибер-физической системы (КФС), которые являются численными характеристиками субъектов управления - датчиков, исполнительных механизмов, ПИД-регуляторов, и предназначенный для приема информации о выбранном пользователем по меньшей мере одном признаке КФС из списка признаков;
б) элемент ГИП для выбора периода времени, предназначенный для приема информации о выбранном пользователем периоде времени мониторинга за выбранными признаками КФС;
в) средство прогнозирования, предназначенное для формирования прогноза для выбранных признаков КФС за период времени мониторинга;
г) средство определения аномалии, предназначенное для определения общей ошибки прогноза для всех признаков КФС из списка признаков и ошибки прогноза для каждого выбранного признака КФС за период времени мониторинга и;
д) элемент ГИП для формирования графиков, предназначенный для формирования графиков за период времени мониторинга для значений данных, сформированных средством прогнозирования и средством определения аномалий.
RU2018147245A 2018-12-28 2018-12-28 Система и способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя RU2724716C1 (ru)

Priority Applications (4)

Application Number Priority Date Filing Date Title
RU2018147245A RU2724716C1 (ru) 2018-12-28 2018-12-28 Система и способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя
US16/456,463 US11175976B2 (en) 2018-12-28 2019-06-28 System and method of generating data for monitoring of a cyber-physical system for early determination of anomalies
EP19214294.1A EP3674828B1 (en) 2018-12-28 2019-12-06 System and method of generating data for monitoring of a cyber-physical system for early determination of anomalies
CN201911259747.8A CN111385140B (zh) 2018-12-28 2019-12-10 生成监控网络物理系统的数据以早期确定异常的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018147245A RU2724716C1 (ru) 2018-12-28 2018-12-28 Система и способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя

Publications (1)

Publication Number Publication Date
RU2724716C1 true RU2724716C1 (ru) 2020-06-25

Family

ID=71124256

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018147245A RU2724716C1 (ru) 2018-12-28 2018-12-28 Система и способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя

Country Status (3)

Country Link
US (1) US11175976B2 (ru)
CN (1) CN111385140B (ru)
RU (1) RU2724716C1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2790331C1 (ru) * 2022-03-16 2023-02-16 Акционерное общество "Лаборатория Касперского" Способ определения аномалии в киберфизической системе

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11803773B2 (en) * 2019-07-30 2023-10-31 EMC IP Holding Company LLC Machine learning-based anomaly detection using time series decomposition
US11385782B2 (en) 2019-09-06 2022-07-12 Ebay Inc. Machine learning-based interactive visual monitoring tool for high dimensional data sets across multiple KPIs
US20210073658A1 (en) * 2019-09-06 2021-03-11 Ebay Inc. Anomaly detection by correlated metrics
US20210273957A1 (en) * 2020-02-28 2021-09-02 Darktrace Limited Cyber security for software-as-a-service factoring risk
CN113111573B (zh) * 2021-03-24 2022-09-23 桂林电子科技大学 基于gru的滑坡位移预测方法
US20220318627A1 (en) * 2021-04-06 2022-10-06 Nec Laboratories America, Inc. Time series retrieval with code updates
KR20220141220A (ko) * 2021-04-12 2022-10-19 이베이 인크. 다수의 kpi들에 걸친 고차원 데이터 세트들에 대한 머신 학습 기반 대화형 비주얼 모니터링 툴
US20240078440A1 (en) 2022-08-24 2024-03-07 AO Kaspersky Lab Method for identifying patterns and anomalies in the flow of events from a cyber-physical system
EP4336294A1 (en) 2022-09-09 2024-03-13 AO Kaspersky Lab System and method for detecting anomalies in a cyber-physical system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7808916B1 (en) * 2005-12-28 2010-10-05 At&T Intellectual Property Ii, L.P. Anomaly detection systems for a computer network
US20120112901A1 (en) * 2010-11-09 2012-05-10 Cellnet Innovations, Inc. Systems for Detecting, Collecting, Communicating, and Using Information About Environmental Conditions and Occurrences
US20120131674A1 (en) * 2010-11-18 2012-05-24 Raptor Networks Technology, Inc. Vector-Based Anomaly Detection
US20140189860A1 (en) * 2012-12-30 2014-07-03 Honeywell International Inc. Control system cyber security
RU2625051C1 (ru) * 2016-02-18 2017-07-11 Акционерное общество "Лаборатория Касперского" Система и способ обнаружений аномалий в технологической системе

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6611726B1 (en) 1999-09-17 2003-08-26 Carl E. Crosswhite Method for determining optimal time series forecasting parameters
US7739143B1 (en) 2005-03-24 2010-06-15 Amazon Technologies, Inc. Robust forecasting techniques with reduced sensitivity to anomalous data
US20100031156A1 (en) * 2008-07-31 2010-02-04 Mazu Networks, Inc. User Interface For Network Events and Tuning
WO2013043863A1 (en) 2011-09-20 2013-03-28 The Trustees Of Columbia University In The City Of New York Adaptive stochastic controller for energy efficiency and smart buildings
US9197511B2 (en) * 2012-10-12 2015-11-24 Adobe Systems Incorporated Anomaly detection in network-site metrics using predictive modeling
CN105259895B (zh) * 2015-10-14 2017-08-11 山东科技大学 一种工业过程微小故障的检测和分离方法及其监测系统
US11310247B2 (en) * 2016-12-21 2022-04-19 Micro Focus Llc Abnormal behavior detection of enterprise entities using time-series data
CN108089962A (zh) * 2017-11-13 2018-05-29 北京奇艺世纪科技有限公司 一种异常检测方法、装置及电子设备
US10826932B2 (en) * 2018-08-22 2020-11-03 General Electric Company Situation awareness and dynamic ensemble forecasting of abnormal behavior in cyber-physical system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7808916B1 (en) * 2005-12-28 2010-10-05 At&T Intellectual Property Ii, L.P. Anomaly detection systems for a computer network
US20120112901A1 (en) * 2010-11-09 2012-05-10 Cellnet Innovations, Inc. Systems for Detecting, Collecting, Communicating, and Using Information About Environmental Conditions and Occurrences
US20120131674A1 (en) * 2010-11-18 2012-05-24 Raptor Networks Technology, Inc. Vector-Based Anomaly Detection
US20140189860A1 (en) * 2012-12-30 2014-07-03 Honeywell International Inc. Control system cyber security
RU2625051C1 (ru) * 2016-02-18 2017-07-11 Акционерное общество "Лаборатория Касперского" Система и способ обнаружений аномалий в технологической системе

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2790331C1 (ru) * 2022-03-16 2023-02-16 Акционерное общество "Лаборатория Касперского" Способ определения аномалии в киберфизической системе
RU2800740C1 (ru) * 2022-09-09 2023-07-27 Акционерное общество "Лаборатория Касперского" Система и способ выявления аномалий в киберфизической системе

Also Published As

Publication number Publication date
CN111385140A (zh) 2020-07-07
US11175976B2 (en) 2021-11-16
CN111385140B (zh) 2022-11-15
US20200210264A1 (en) 2020-07-02

Similar Documents

Publication Publication Date Title
RU2724716C1 (ru) Система и способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя
RU2724075C1 (ru) Система и способ определения источника аномалии в кибер-физической системе, обладающей определенными характеристиками
US12086701B2 (en) Computer-implemented method, computer program product and system for anomaly detection and/or predictive maintenance
Camci et al. Feature evaluation for effective bearing prognostics
US20180365089A1 (en) Abnormality detection system, abnormality detection method, abnormality detection program, and method for generating learned model
JP2018524704A (ja) 予測モデルの動的な実行
US8560279B2 (en) Method of determining the influence of a variable in a phenomenon
RU2766106C1 (ru) Обнаружение нештатных ситуаций
US10254751B2 (en) Local analytics at an asset
JP6961740B2 (ja) 産業用コントローラのデータ完全性を保証するためのaiの使用
EP3674946B1 (en) System and method for detecting anomalies in cyber-physical system with determined characteristics
Qin et al. Remaining useful life prediction for rotating machinery based on optimal degradation indicator
US20200160208A1 (en) Model sharing among edge devices
US20230205193A1 (en) System and method for diagnostics and monitoring of anomalies of a cyber-physical system
AU2016277850A1 (en) Local analytics at an asset
CN116483054A (zh) 一种工业机器人运行状态监测预警系统及方法
Villegas-Ch et al. Towards Intelligent Monitoring in IoT: AI Applications for Real-Time Analysis and Prediction
EP4038557A1 (en) Method and system for continuous estimation and representation of risk
RU2749252C1 (ru) Способ определения источников аномалии в кибер-физической системе
EP3674828B1 (en) System and method of generating data for monitoring of a cyber-physical system for early determination of anomalies
EP4206963A1 (en) System and method for diagnostics and monitoring of anomalies of a cyber-physical system
RU2784981C1 (ru) Способ диагностики и мониторинга аномалий в кибер-физической системе
RU2800740C1 (ru) Система и способ выявления аномалий в киберфизической системе
RU2790331C1 (ru) Способ определения аномалии в киберфизической системе
EP4246888A1 (en) System and method for determination of anomalies in a cyber-physical system