5
Capitolo 1: Fault Tolerant Control
1.1 Una veloce panoramica
Nel 1989 un aereo DC-10 della compagnia United Arlines, che
viaggiava da Denver a Minneapolis, subisce un catastrofico collasso
in volo ad una quota di circa 37.000 piedi, che mette fuori uso il
controllo sui comandi primari di volo, ad attuazione idraulica. In un
tentativo disperato, i piloti Al Haynes e Dennis Fitch provano a
dominare l’aereo riducendo gradualmente la velocità dei motori. Alla
fine, i due riescono comunque a sostenere l’aereo, fino alla città di
Sioux City, nell’ Iowa, per un atterraggio d’emergenza, salvando così
la vita a 184 dei 296 passeggeri.
Questa disgrazia di Sioux City stimolò gli addetti ai lavori ad un
maggiore interesse verso un nuovo campo di studi, chiamato il Fault
Tolerant Control (FTC), che in precedenza invece aveva avuto solo
dei tiepidi consensi [1].
FTC è una teoria che mira a sviluppare controllori che siano in grado
di identificare e gestire collassi di questa natura. Esso appartiene alla
sfera dei problemi di controllo di sistemi complessi, ma per una sua
chiara comprensione è necessario avere un’ampia preparazione che
spazia su diverse aree tematiche, da controllo robusto H
∞
alle
metodologie utili per la diagnosi di un guasto (FDI), al progetto di un
generatore di segnali residui, alle tecniche di controllo riconfigurabile
(RCS). Le ricerche in questo campo, inizialmente mirate al caso di
sistemi di controllo aeronautico, ma che poi abbracceranno diversi
nuovi settori, tanto da considerare FTC sia per sistemi satellitari che
per macchine utensili [9] ed addirittura nelle reti idriche, sono iniziate
6
verso la fine degli anni ’70, ma è intorno agli anni ’90 che si assiste ad
un esplosione di lavori accademici sull’argomento [7].
L’interesse, nel caso degli aerei, sia civili che militari, era stimolato
dall’enorme importanza che può avere, per la salvezza di vite umane,
un sistema in grado di auto – ripararsi quando insorge un guasto
(fault) anche grave.
Poiché il tradizionale controllo in retroazione non poteva rispondere
alle esigenze di un efficace FTC, nuovi tipi di controllori sono stati
concepiti. L’obiettivo principale è sempre il progetto di un controllore
che garantisca la stabilità e soddisfi le performance non solo nelle
normali condizioni operative, ma anche nel caso in cui si verificano
malfunzionamenti anche gravi dei componenti o sui sensori del
processo (fault tolerance); spesso comunque ci si accontenta di
mantenere alcuni “accettabili” livelli di performance, o almeno che, in
seguito al malfunzionamento di un componente, il comportamento del
sistema possa degradare “gradevolmente”.
Un punto importante da tenere presente nella valutazione di nuove
metodologie è la loro semplicità, infatti progettare un modello
oltremodo complesso rischia di appesantire troppo l’elaborazione
delle informazioni utili ad accomodare il fallimento.
La complessità computazionale risulta quindi un fattore decisivo nella
scelta di un metodo rispetto ad un altro.
Allo stato attuale, le tecniche di FTC si possono dividere in due classi
separate, denominate come attive e passive.
L’approccio passivo si basa sulle tecniche di controllo robusto H
∞
, che
quindi rendono insensibile il sistema a determinati e preventivati
difetti. La conoscenza a – priori del tipo di guasto diventa perciò
fondamentale in questo tipo di approccio, poiché ne consente la facile
modellizzazione.
7
Con l’approccio attivo, invece, un nuovo set di parametri di controllo
viene utilizzato per far fronte al difetto.
In [9] è mostrato, in maniera molto semplice, il principio che sta alla
base dell’approccio attivo al FTC. Come si può osservare in figura 1,
un sistema che lavora in un punto (u
0
, y
0
) della sua traiettoria
operativa nominale (definita dalle sue variabili di input/output) viene
deviato bruscamente, a causa di un preciso guasto o difetto insorto, in
un nuovo punto (u
f
, y
f
) che ne riduce le performance e probabilmente
lo porterà al fallimento (failure) in breve tempo. Queste condizioni
operative chiaramente non sono accettabili.
L’obiettivo del FTC, quindi è di portare il sistema danneggiato in un
nuovo punto operativo (u
c
, y
c
) che ripristini le prestazioni antecedenti
il guasto e che salvaguardi la stabilità globale (indicato come
accomodamento del guasto).
Alcuni autori prendono in considerazione anche il tempo necessario
per l’accomodamento del guasto (prontezza). È chiaro che in sistemi
dove è in gioco la sopravvivenza di vite umane, come su un
aeroplano, ci si aspetta che i tempi per ripristinare le condizioni
operative nominali siano più stringenti [13]. Questa fase, chiamata
Figura 1: Accomodamento del guasto
8
solitamente Identificazione del Difetto, deve tenere conto anche della
possibilità di un falso allarme. Per ottenere un controllo intelligente è
necessario così riconoscere anche la pericolosità di un fallimento da
un falso allarme. Se un difetto è nocivo per stabilità e performance
occorre che il ritardo tra l’inizio del difetto e il suo accomodamento
risulti molto piccolo. Patton, in un suo articolo del 1997 [7] individua
le diverse e sparpagliate aree di ricerca sul problema del FTC,
esemplificando lo stato attuale con questo disegno:
Come si può osservare dalla figura 2, il controllo riconfigurabile è
solo una delle metodologie proposte dagli autori. Sempre Patton
indica una importante tendenza nel problema del FTC, nella zona
evidenziata si cerca di creare una sinergia tra le tecniche di controllo
robusto e controllo riconfigurabile, unitamente con una buona FDI. La
sfida è di integrare insieme il progetto e l’implementazione di un
schema di controllo riconfigurabile (fondato sul progetto di un
controllore robusto) con una unità FDI.
Figura 2: Aree di ricerca sul FTC
9
1.2 I Sistemi di Controllo Riconfigurabili (RCS)
Reconfigurable Control System (RCS) è una classe di metodi di FTC,
nel quale il controllore prende esplicitamente la stima del degrado nel
sistema, ed opera in modo da ripristinare la stabilità e garantire
prestazioni accettabili anche sotto il difetto occorso. Per far questo il
controllore RCS modifica i suoi parametri automaticamente on – line,
ed in tempo reale riesce ad accomodare ampie variazioni nel processo
causate da guasti o malfunzionamenti [2]. Nel problema del controllo
riconfigurabile i difetti si suppongono non previsti. E’ importante
comunque sottolineare che un RCS può essere applicato anche a
sistemi che non hanno subito alcun guasto, ma in cui il rapido
cambiamento delle condizioni operative sia dovuto invece alla
dinamica di un processo fortemente non – lineare.
Queste variazioni sono così accentuate che i normali metodi di
controllo non sono in grado di sostenerle. Esistono numerose tecniche
che entrano sotto l’ombrello del RCS, tra le più conosciute ricordiamo
il PIM, acronimo di Pseudo Inverse Method, che però non garantisce
la stabilità in casi di strutture incerte ed MPIM, tecnica basata sul
metodo PIM ma che, al contrario, garantisce la stabilità e mantiene le
performance quando è possibile [17].
Un’altra metodologia molto comune nel progetto dei sistemi
riconfigurabili utilizza la tecnica chiamata dell’eigenstructure
assigment [2].
10
1.3 FDI ed il Controllo Robusto
Le tecniche riconfigurabili che vogliono affrontare il problema FTC si
appoggiano spesso ad un efficace FDI. Basandosi sulle informazioni
dell’unità FDI si può effettuare, se necessario, la riconfigurazione del
sistema. In molti casi, i modelli basati sul FDI sono costruiti sulle
informazioni relative al solo anello aperto, vedi figura 3, escludendo
di fatto il controllore [3, 26]. Ma bisogna mettere in conto che i
segnali verranno influenzati anche dal controllo in retroazione. Infatti
un controllore, nei casi reali, deve attenuare le conseguenze di
inevitabili incertezze del modello matematico oppure di rumori
presenti nei sensori [5], così anche le uscite misurabili risentiranno
dell’azione del segnale di controllo robusto.
Il rischio allora, è che proprio una legge di controllo sufficientemente
robusta contrasti la rilevazione dei danni, oppure ne impedisca
un’esatta identificazione, mascherando gli effetti di un collasso [12],
con conseguente sottovalutazione del pericolo incombente. Infatti il
controllore non fa distinzione tra incertezze e guasti, e le uscite
misurabili possono non portare traccia del guasto.
Figura 3: Schema di FDI ad anello aperto
11
Capitolo 2: Fault Detection and Isolation
2.1 Classificazione e modello dei guasti (fault - model)
Fino ad ora non abbiamo fatto una precisa distinzione tra guasto
(fault) e rottura (failure), neppure abbiamo specificato cosa
intendiamo per malfunzionamento (malfunction) o errore (error) in un
sistema. Per rimettere un pò di ordine nel vocabolario tecnico, ci
affidiamo alle definizioni riportate dal SAFEPROCESS Technical
Committee [8].
∼ Guasto: rappresenta una deviazione non permessa di almeno
una caratteristica o parametro del sistema da una condizione
accettabile o standard
∼ Rottura: è un’interruzione permanente della capacità del
sistema di mantenere una funzionalità richiesta sotto specifiche
condizioni operative
∼ Malfunzionamento: è un’irregolarità intermittente nel
soddisfacimento di una funzione del sistema desiderata
∼ Errore: rappresenta una differenza tra un valore misurato o
calcolato ed invece lo specifico e corretto valore cercato.
∼ Sintomo: indica il cambiamento di una quantità osservabile da
un comportamento assunto come normale
Un sintomo è già un segnale di un possibile guasto o rottura di un
componente nel sistema. Il guasto è invece una condizione che può
portare a malfunzionamenti oppure a rotture.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
