DIAGNOSE CENTRALIZADA DE FALHAS DE SISTEMAS A EVENTOS DISCRETOS ROBUSTA À PERDA PERMANENTE DE SENSORES

DIAGNOSE CENTRALIZADA DE FALHAS DE SISTEMAS A EVENTOS DISCRETOS ROBUSTA À PERDA PERMANENTE DE SENSORES

Saulo T. de Souza Lima∗_{, João C. Basilio}∗_{, Stéphane Lafortune}†_{, Marcos V. Moreira}∗ ∗_{COPPE - Programa de Engenharia Elétrica, Universidade Federal do Rio de Janeiro, 21949-900, Rio}

de Janeiro, RJ, Brasil.

†_{Department of Electrical Engineering and Computer Science, University of Michigan, Ann Arbor, MI} 48109, USA.

Emails: saulotelles@poli.ufrj.br, basilio@dee.ufrj.br, stephane@eecs.umich.edu, moreira@dee.ufrj.br

Abstract— One approach to online fault diagnosis of discrete-event system is through the use of the so-called diagnosers. Diagnosers are deterministic automata whose states are sets formed with the states of the plant together with labels that indicate if the trace occurred so far possesses or not the fault event. The decision regarding fault occurrence is taken based solely on observable events, i.e., events whose occurrences can be recorded by sensors. However, if some sensor that provides information on an event occurrence fails, the diagnoser may either come to a halt or even provide wrong information on the fault occurrence. In order to overcome this deficiency, it is proposed in this paper a robust diagnoser that deploys the redundancy that may exist in a set formed of diagnosis bases (set of events that guarantee the fault diagnosability) with a view to ensure fault diagnosis even in the occurrence of permanent sensor losses of the plant.

Keywords— Discrete-event systems, fault diagnosis, sensor failure, robust diagnosability.

Resumo— Uma abordagem à diagnose de falhas em tempo real de sistemas a eventos discretos é por meio dos chamados diagnosticadores. Os diagnosticadores são autômatos determinísticos cujos estados são conjuntos formados pelos estados da planta acrescido de rótulos que indicam se o traço ocorrido até o momento possui ou não o evento de falha. A decisão em relação à ocorrência da falha é tomada com base unicamente nos eventos observáveis, isto é, os eventos cujas ocorrências podem ser registradas por meio de sensores. Contudo, se algum sensor, que fornece a informação sobre a ocorrência de um evento, falhar, o diagnosticador pode estacionar em um determinado estado ou, até mesmo, informar de maneira errônea a ocorrência da falha. Para superar essa deficiência, será proposto nesse artigo um diagnosticador robusto que utiliza as redundâncias que possam existir em um conjunto formado por bases para a diagnose (conjunto de eventos que garantem a diagnosticabilidade de uma falha) visando garantir a diagnose da falha, mesmo quando da ocorrência de perda permanente de sensores da planta.

Palavras-chave— Sistemas a eventos discretos, diagnose de falhas, falha de sensores, diagnosticabilidade robusta.

1 Introdução

Uma das maneiras de se abordar o problema da di-agnose de falhas em tempo real de sistemas a even-tos discreeven-tos (SED) é através dos chamados diag-nosticadores (Sampath et al., 1995). Diagnostica-dores são autômatos determinísticos cujos estados são conjuntos formados pelos estados da planta acrescido de rótulos que indicam se a sequência de eventos ocorrida até o momento possui ou não o evento de falha. A decisão em relação à ocor-rência da falha é tomada tendo como base uni-camente os eventos observáveis, isto é, os eventos cujas ocorrências podem ser registradas por meio de sensores. Isso torna os diagnosticadores extre-mamente dependentes dos sensores.

Quando falhas nos sensores que detectam a ocorrência de eventos observáveis ocorrem, o diag-nosticador pode ficar travado em um estado, sem evoluir ao longo do processo de observação e re-gistro de eventos, ou, até mesmo, informar de ma-neira errônea a ocorrência ou não da falha. Con-tudo, muitas vezes, o conjunto de eventos obser-váveis possui eventos redundantes, isto é, eventos que podem ser retirados desse conjunto e, ainda

assim, o diagnosticador parcial resultante continu-ará diagnosticando a ocorrência da falha. Se exis-tirem mais subconjuntos do conjunto de eventos observáveis que permitam que a falha seja diag-nosticada, então haverá ainda mais combinações de eventos redundantes. Motivado por essas ob-servações, esse artigo propõe um diagnosticador que seja robusto à perda definitiva de determina-dos conjuntos de sensores.

Robustez é uma propriedade importante dos sistemas para diagnósticos, tendo sido estudada extensamente no contexto de sistemas dinâmicos de variáveis contínuas (veja, por exemplo, Man-goubi (1998) e Chen e Patton (1999) e as refe-rências neles citadas). Apesar do elevado número de trabalhos relativos à diagnose de sistemas a eventos discretos considerando arquiteturas cen-tralizadas e descentralizas, poucos trabalhos con-sideraram explicitamente o problema da robus-tez de sistemas de diagnósticos para SED. Thors-ley et al. (2008), Athanasopoulou et al. (2006) e Travé-Massuyès et al. (2006) consideram o pro-blema de diagnose de eventos considerando sen-sores não-confiáveis e usam modelos estocásticos para essa finalidade. Mais recentemente, Basilio

e Lafortune (2009) considera o problema da co-diagnose robusta, onde é exigido que cada falha seja diagnosticada por, pelo menos, um módulo local, o que permite que a falha seja diagnosticada mesmo quando há perda de comunicação entre um módulo e um coordenador. Em um outro trabalho desenvolvido concomitantemente com o que resul-tou nesse artigo, Carvalho et al. (2010) considera a diagnose de falhas em presença de perda inter-mitente de sensores.

Este artigo está estruturado da seguinte forma. Na seção 2 são apresentadas a notação e as definições relativas à diagnose de falhas de sistemas a eventos discretos necessárias nesse ar-tigo. Na seção 3 são apresentadas a definição de diagnosticabilidade robusta e as propriedades de-sejadas para um diagnosticador robusto. Na seção 4 é proposto um diagnosticador robusto e é apre-sentada uma condição necessária e suficiente para a diagnosticabilidade robusta. Exemplos são apre-sentados ao longo do texto para ilustrar os diver-sos conceitos e algoritmos introduzidos no artigo.

2 Conceitos preliminares Seja

G = (X, E, f, Γ, x0, Xm), (1)

um autômato determinístico, em que X denota o espaço de estados, E o conjunto de eventos, f : X × E → X a função de transição de esta-dos, parcialmente definida no seu domínio X × E, Γ a função dos eventos ativos, x0 o estado

ini-cial do sistema e Xm⊆ X o conjunto dos estados

marcados. Suponha que E seja particionado como E = Eo˙∪Euo, isto é, E = Eo∪ Euo, Eo∩ Euo= ∅

e Euo 6= ∅, sendo Eo um conjunto de eventos

observáveis e Euo um conjunto de eventos

não-observáveis. Sejam Ef = {σf} ⊆ Euo o conjunto

cujo único evento σf modela a falha do sistema

e que L denote a linguagem gerada por G. As seguintes hipóteses são feitas:

A1. A linguagem L é viva, i.e., Γ(xi) 6= ∅ para

todo xi∈ X.

A2. O autômato G não possui nenhum ciclo for-mado somente por eventos não-observáveis, i.e., ∀ust ∈ L, s ∈ E∗

uo, ∃n0∈ N tal que ksk ≤ n0, em

que ksk denota o comprimento da sequência s. A linguagem L será diagnosticável em rela-ção a um conjunto de eventos observáveis Eo e

um conjunto de eventos de falhas Ef = {σf} se

a ocorrência de σf puder ser detectada após um

número finito de transições depois da ocorrência de σf usando somente sequências de eventos de

Eo. Formalmente, tem-se (Sampath et al., 1995).

Definição 1 A linguagem L será diagnosticavél em relação à projeção Po: E∗ → Eo∗ (Ramadge e Wonham, 1989) e Ef = {σf} se a seguinte

condi-  1 ?   2   5 / w c a ? b ? σf 3   4  /   7 w i b a f i d 6   i d Figura 1: Autômato G. c a {1N } ? {2N, 3Y } R ?b {4Y }  b {7Y } w a O O d f {5N } {6N } O d

Figura 2: Diagnosticador centralizado Gd.

ção for verificada:

(∃n ∈ N)(∀s ∈ Ψ(Ef))(∀t ∈ L/s)(ktk ≥ n ⇒ D), sendo a condição de diagnose D expressa por

(∀ω ∈ (P−1

o (Po(st)) ∩ L))(Ef ∈ ω), em que L/s = {t ∈ E∗ _{: st ∈ L}, Ψ(E}

f) denota o conjunto de todas as sequências de L que termi-nem com o evento σf e Po−1 a projeção inversa de

Po. 2

Uma das maneiras de se verificar a diagnos-ticabilidade de uma linguagem é por meio do chamado diagnosticador. O diagnosticador é um autômato determinístico cujo conjunto de eventos é igual ao conjunto dos eventos observáveis de G e cujos estados são formados adicionando-se os ró-tulos Y e N aos estados de G para indicar se o evento σf ocorreu ou não. A figura 1 mostra o

diagrama de transição de um autômato G, sendo o correspondente diagnosticador centralizado Gd

representado na figura 2. O conjunto dos eventos é E = {a, b, c, d, f, σf}, sendo Eo = {a, b, c, d, f },

o conjunto dos eventos observáveis, e Ef = {σf},

o conjunto formado pela falha a ser diagnosticada. Os estados do diagnosticador podem ser classifi-cados, quanto à presença de rótulos Y e N , da seguinte forma (Sampath et al., 1995).

Definição 2 Um estado xd ∈ Xd é denominado certo (de falha), se ` = Y para todo x` ∈ xd, e normal (ou de não falha) se ` = N para todo x` ∈ xd. Se existir x`, y ˜` ∈ xd, x não necessariamente distinto de y, tal que ` = Y e ˜` = N , então xd

será um estado incerto de Gd. 2

Quando o diagnosticador atinge um estado certo (normal), ele está certo de que a falha ocorreu (não ocorreu). Contudo, enquanto permanecer em um estado incerto, ele não pode concluir se a fa-lha ocorreu ou não. Se ele permanecer indefini-damente em um ciclo formado somente por esta-dos incertos, então não será possível diagnosticar a ocorrência da falha. Um conjunto de estados incertos {xd1, xd2, . . . , xdp} ⊂ Xd forma um ciclo

indeterminado se as seguintes condições forem sa-tisfeitas: C.1) xd1, xd2, . . . , xdp forma um ciclo em Gd; C.2) ∃(xkl l , Y ), (˜x rl l , N ) ∈ xdl, x kl l não neces-sariamente distinto de ˜xrl l , l = 1, 2, . . . , p, kl =

1, 2, . . . , ml, e rl = 1, 2, . . . , ˜ml de tal sorte que

as sequências de estados {xkl

l }, l = 1, 2, . . . , p,

kl = 1, 2, . . . , ml e {˜xrll}, l = 1, 2, . . . , p, rl =

1, 2, . . . , ˜ml podem ser rearranjadas para formar

ciclos em G. 2

Vale a pena ressaltar que nem todo ciclo de esta-dos incertos de Gdforma um ciclo indeterminado.

Uma condição necessária e suficiente para a diagnose de uma linguagem será enunciada a se-guir.

Teorema 1 Uma linguagem L gerada por um autômato G será diagnosticável em relação à pro-jeção Po e Ef = {σf} se, e somente se, o seu di-agnosticador Gd não tiver ciclos indeterminados.

2 De acordo com o teorema 1, a linguagem ge-rada pelo autômato da figura 1 é diagnosticável em relação a Poe Ef, uma vez que o

diagnostica-dor Gdcorrespondente, mostrado na figura 2, não

possui ciclos indeterminados.

A partir desse ponto, considera-se, também, a seguinte hipótese.

A3. L é diagnosticável em relação a Po: E∗→ E∗o

e Ef = {σf}.

Considere, agora, um conjunto E0

o ⊂ Eo,

E0

o6= ∅. Define-se (Lima et al., 2010).

Definição 3 (Bases para a diagnose) O conjunto E0

o será uma base para a diagnose de σf se L for diagnosticável com relação a P0

o : E∗ → E0∗o e

Ef = {σf}. 2

Definição 4 (Bases mínimas para a diagnose) O conjunto E0

o será uma base mínima para a di-agnose de σf se Eo0 for uma base para a diag-nose e se, para todo subconjunto não vazio E00 o

de E0

o, L não for diagnosticável com relação a

P00

o : E∗→ Eo00∗ e Ef = {σf}. 2

De acordo com as definições 3 e 4, a diferença principal entre base para a diagnose e base mínima para a diagnose é que, na primeira, os eventos são todos essenciais, isto é, a retirada de qualquer um dos eventos dessa base implica na perda de di-agnosticabilidade da linguagem gerada, enquanto que a última possui eventos redundantes, isto é, nem todos os eventos da base são necessários para diagnosticar a ocorrência da falha.

3 Diagnosticabilidade robusta à perda de sensores

Considere novamente o autômato da figura 1 e suponha que tenha ocorrido uma perda definitiva do sensor que registra a ocorrência do evento c antes da primeira vez que esse evento ocorreu e suponha que a sequência s = cσfafn, n ∈ N,

te-nha ocorrido. Note que, como o evento σf é

não-observável, então o primeiro evento a ter a sua ocorrência reconhecida pelo diagnosticador da fi-gura 2 é o evento a. Recebida a informação da ocorrência do evento a, o diagnosticador irá atu-alizar o seu estado, passando, então, ao estado {5N }. Como o evento f não pertence ao con-junto dos eventos ativos de {5N }, o diagnosti-cador não será capaz de processar qualquer in-formação que ele venha a receber em relação a ocorrência de eventos. Dessa forma, o diagnos-ticador estará certo de que a falta não ocorreu, o que é incorreto, uma vez que a sequência que ocorreu, além de possuir um evento de falha, é infinitamente longa. Essa anomalia sugere que o seguinte problema seja formulado. Dado um autô-mato G = (X, E, f, Γ, x0, Xm) e supondo que L

seja diagnosticável em relação Po e Ef, encontre

um diagnosticador que seja robusto à perda do maior número possível de sensores associados a conjuntos de eventos que sejam elementos do con-junto potência de Eo.

Considere a seguinte hipótese.

A4. A perda do sensor é definitiva e se dá antes da primeira ocorrência do evento a ele associado. A definição de diagnosticabilidade robusta em relação a perdas de sensores pode, então, ser enun-ciada.

Definição 5 (Diagnosticabilidade robusta em re-lação a perdas de sensores) Seja Ebd =

{E0 o1, E 0 o2, . . . , E 0 om}, em que E 0 oi, i = 1, 2, . . . , m

tanto podem ser bases mínimas como não-mínimas para a diagnose de L e considere o se-guinte conjunto: Erob= {Euo0 1, E 0 uo2, . . . , E 0 uo3}, (2)

em que E0

uoi = Eo\ E

0

oi, i = 1, 2, . . . , m. Então L

será robustamente diagnosticável em relação a per-das permanentes dos sensores associados com os eventos dos conjuntos de Erob, em relação às pro-jeções P0 o1, P 0 o2, . . . , P 0 om, sendo P 0 oi : E ∗ _{→ E}0∗ oi, e

Ef = {σf}, se a seguinte condição for satisfeita:

(∃n ∈ N)(∀s ∈ Ψ(Ef))(∀t ∈ L/s)

(ktk ≥ n ⇒ Dp), (3) sendo a condição de diagnosticabilidade Dp dada por (∀i, j ∈ {1, 2, . . . , m}, i 6= j) (@ωj∈ L)[Ef6= ωj∧ Po0i(st) = P 0 oj(ωj)]. 2 O diagnosticador capaz de diagnosticar a fa-lha e que satisfaz as condições impostas pela defi-nição 5 será referido como diagnosticador robusto a perdas permanentes de sensores.

As propriedades desejadas para um diagnos-ticador robusto são as seguintes:

P1. A linguagem gerada pelo diagnosticador ro-busto deve conter o maior número possível de lin-guagens geradas pelos diagnosticadores parciais cujos eventos observáveis são as bases (mínimas e não-mínimas) para a diagnose de falhas do SED considerado;

P2. A linguagem gerada pelo diagnosticador ro-busto deve ser a união das linguagens geradas pe-los diagnosticadores parciais considerando como conjuntos de eventos observáveis as bases para a diagnose de falhas do SED considerado;

P3. O diagnosticador robusto deve manter as marcações Y e N dos estados dos diagnosticadores que o compõem;

P4. Os estados dos diagnosticadores parciais considerando-se como conjunto de eventos ob-serváveis um conjunto E0

o devem também

carre-gar marcações informando quais sensores falha-ram para que o diagnosticador alcançasse aquele estado através da sequência registrada.

A partir das definições 3 e 5 e da proprie-dade P1, é possível concluir que o diagnosticador deverá ser robusto à perda de observabilidade do maior número possível de conjuntos de eventos em Erob.

4 Construção do diagnosticador robusto Para que as propriedades P2 e P4 sejam satisfei-tas, a primeira etapa da construção do diagnos-ticador robusto deve consistir na construção dos diagnosticadores parciais considerando-se as bases para a diagnose de falhas como conjunto de even-tos observáveis e incluindo nos estados as marca-ções de falhas dos sensores. Para tanto, suponha que E0

o⊂ Eoseja uma base para a diagnose de L

e defina E0

uo= Eo\ E0o= {σ10, σ20, . . . , σp0}.

Consi-dere as seguintes definições.

Definição 6 Suponha que σi e σi denotem, res-pectivamente, a não-ocorrência e a ocorrência do evento σi, sob a hipótese de que o sensor corres-pondente tenha falhado. O conjunto de marcações de falhas de sensores é definido como:

M = {Sm: m ∈ {σ01, ¯σ10}×{σ20, ¯σ20}×. . .×{σ0p, ¯σp0}}.

2 Definição 7 A função de atribuição de marca-ções de perdas dos sensores é definida pelo ma-peamento S : Xd× M × Eo→ M . Seja xd ∈ Xd, Sm∈ M e σ ∈ Γd(xd). Então S(xd, Sm, σ) = Sm0, (4) em que m0₌    m, se σ /∈ E0 uo σ0 1, σ20, . . . , σ0_k−1, σ, σk+10 , . . . , σp0, se σ ∈ E0 uo∧ (σ0k= σ ∨ σk0 = σ) 2 A primeira modificação que deve ser realizada no diagnosticador a fim de se levar em conta perda de sensores é introduzir rótulos para indicar se o sensor responsável por registrar a ocorrência da-queles eventos falhou ou se o autômato está evo-luindo através de um caminho que não possua o evento cuja perda do sensor está sendo conside-rada. Isso leva à seguinte definição.

Definição 8

A. Um diagnosticador com marcações de per-das de sensores é definido como

˜

Gd(Eo\ E0o) = ( ˜Xd, Eo, ˜fd, ˜Γd, ˜x0d),

em que ˜Xd ⊆ Xd × M , ˜x0_d = x0_dS¯σ0

1,¯σ02,...,¯σn0,

e ˜fd e ˜Γd são definidos da seguinte forma: se

˜

xd = xdSm e supondo que fd(xd, σ) = x0d, en-tão ˜Γd(˜xd) = Γd(xd) e ˜fd(˜xd, σ) = x0dSm0, sendo

Sm0 = S(xd, Sm, σ).

B. O diagnosticador com comportamento nor-mal com relação a perdas de sensores é obtido adicionando-se a marcação Sn (significando au-sência de perda de sensores) a todos os estados de Gd, sendo esse o caso quando Eo0 = Eo. Por essa razão, esse diagnosticado será denotado como

˜

Gd(∅). 2

Não é difícil observar que L[ ˜Gd(Eo\ Eo0)] =

L(Gd) e, dessa forma, ˜Gd(Eo\ Eo0) não leva em

consideração perdas de observabilidade dos even-tos pertencentes a Eo\E0o. Para tanto, será

neces-sário construir um diagnosticador parcial supondo E0

ocomo o conjunto dos eventos observáveis. Esse

diagnosticador será referido aqui como diagnosti-cador parcial com marcações de perdas de sensores e será denotado como ˜G0

d. A sua construção será

Algoritmo 1 (Construção do diagnosticador parcial com marcações de perdas de sensores) Seja Eo o conjunto dos eventos observáveis e suponha que E0

o ⊂ Eo seja uma base para a diagnose de L.

Step 1 Construa o diagnosticador com marca-ções de perdas de sensores ˜Gd(Eo\ Eo0).

Step 2 Obtenha o observador de ˜Gd(Eo \ Eo0) supondo que E0

o seja o conjunto de eventos observáveis, denotando-o como obs[ ˜Gd(Eo \

E0 o), Eo0].

Step 3 Forme cada estado de G˜0

d(Eo \ Eo0) calculando-se a união dos conjuntos que são os elementos de cada estado de obs[ ˜Gd(Eo\

E0

o), Eo0]. 2

Uma vez obtidos o diagnosticador centrali-zado com marcação normal e todos os diagnosti-cadores parciais com marcações de perda de sen-sores, o próximo passo na construção de um diag-nosticador robusto é a construção de um autômato que atenda às propriedades P1 e P2. Para tanto, suponha que todas as bases mínimas para a diag-nose de L tenham sido obtidas (Lima, 2010) e que Eo,i ⊂ Eo0, i = 1, 2, . . . , Nb, denote toas as bases

mínimas para a diagnose de L. Defina o conjunto Ered,i= Eo\ Eo,i, i = 1, 2, . . . , Nb,

e forme o seu conjunto potência 2Ered,i_{. Então, o}

conjunto Ebd,max que contém todas as bases

(mí-nimas e não-mí(mí-nimas) para a diagnose podem ser formados da seguinte maneira:

Ebd,max= ∪Ni=1b Ebd,i, (5)

em que

Ebd,i= { ˜E : (∃Epot∈ 2Ered,i)[ ˜E = Eo,i∪ Epot]}.

Definição 9 (Diagnosticador união) Suponha que

Ebd,max= {Eo1, Eo2, . . . , Eoq, Eo}

denote o conjunto de todas as bases para a diag-nose de L e que ˜G0

di, i = 1, . . . , q, denote os

diag-nosticadores parciais com marcações de perdas de sensores, sendo ˜Gd0 o diagnosticador centralizado

sem perdas de sensores. O diagnosticador união, denotado como Gdu(Ebd,max), é o diagnosticador cuja linguagem gerada é a união das linguagens geradas por ˜G0

di, i = 0, 1, . . . , q. 2

O exemplo a seguir ilustra a construção do diagnosticador união.

Exemplo 1 Considere o autômato da figura 1 cujo conjunto de eventos observáveis é Eo =

{a, b, c, d, f }. As bases mínimas para a diagnose

c a {x0Sn} ? {x1Sn} R {x2Sn} {x3Sn}  b O d {x4Sn} w a O f ?b {x5Sn} O d

Figura 3: Diagnosticador centralizado com mar-cação normal ˜Gd. c a {x0S¯_{b ¯f}} ? {x1S¯_{b ¯f}, x3S_{b ¯f}} R {x2S¯_{b ¯f}, x5Sbf¯} ?d {x5Sb ¯f} O d {x3Sb ¯f}  d O d {x4S¯_{b ¯f}, x4S¯_bf} w a

Figura 4: Diagnosticador parcial com marcações de perda de sensores considerando a perda de ob-servabilidade dos eventos b e f .

de L(G), conforme calculado em Lima (2010), são:

Ebmd = {{a, b, c}, {c, d, f }, {a, c, d}, {a, d, f },

{a, b, f }, {b, c, f }}.

Acrescentando-se eventos redundantes a essas ba-ses obtém-se o seguinte conjunto de baba-ses não-mínimas:

Ebnmd = {{a, b, c, d}, {a, b, c, f }, {a, b, d, f },

{a, c, d, f }, {b, c, d, f }, Eo}.

Suponha que se deseje encontrar o diagnosticador união com relação a todos os elementos do con-junto Ebd = Ebmd ∪ Ebnmd. Para tanto, o pri-meiro passo é encontrar o diagnosticador centra-lizado com marcação normal e todos os diagnos-ticadores parciais com marcação de perda de sen-sores para cada uma das bases de Ebd. A figura 3 mostra o diagnosticador centralizado com mar-cação normal ˜Gd. Por conveniência de notação, os estados de Gd foram renomeados da seguinte forma: x0 = {1N }, x1 = {2N, 3Y }, x2 = {5N },

x3= {4Y }, x4= {7Y } e x5= {6N }.

Para ilustrar a construção do diagnosticador parcial com marcações de perda de sensores, con-sidere o conjunto E0

{x0Sn;x0Sc¯, x1Sc;x0S_f¯;x0S¯_b;x0S¯a, x2Sa;x0S_d¯;x0Sa¯¯b, x2S_a¯b, x5Sab;x0S¯_b¯c, x1S¯_bc, x3Sbc; ? x0S¯_{b ¯f};x0S¯c ¯d, x1S_{c ¯d};x0S_{d ¯}¯_f;x0Sa ¯¯d, x2S_{a ¯d}} ? b {x3Sc;x5Sa; x3S_c¯ d, x3Scd; x5S_{a ¯d}, x5Sad; ? a {x2Sn;x2S¯c, x4Sc; x2S_f¯;x2S¯_b, x5Sb; x2S_d¯;x2S¯_b¯c, x4S¯_bc, x5Sb¯c;x2S¯_bf¯, x5S_bf¯; x2S¯c ¯d, x4S_{c ¯d};x2S_{d ¯}¯_f} ? {x3Sc;x5Sa} d O d ? {x5Sab;x3Sbc} d O d {x4Sc; x4S¯_bc; x4S_{c ¯d}} ? O f f b {x5Sb; x5Sb¯c; x5S_bf¯}  O d d _d {x3Sb; x3S¯ab; x3S_bf¯}  O d {x5Sn;x5Sc¯; x5S_f¯;x5S_d¯, x5Sd;x5S¯c ¯d, x5Scd¯;x5S_{d ¯}¯_f, x5S_{d ¯f}} U {x5Sn;x5S¯c;x5S_f¯} ? d O d {x4Sa; x4S_a¯b; x4S_{a ¯d}} U O f f {x3Sn;x3S_f¯; x3S¯a;x3S_d¯, x3Sd;x3S_{d ¯}¯_f, x3S_{d ¯f};x3S¯a ¯d, x3S¯ad} ? {x3Sn;x3S_f¯;x3Sa¯} ? O d b d {x4Sn;x4S_f¯, x4Sf;x4S¯_b; x4S_d¯;x4S¯_{b ¯f}, x4S¯_bf;x4S_{d ¯}¯_f, x4S_df¯} R {x4Sn;x4S¯_b;x4S_d¯} ? a f O f ? {x1Sn;x1S_f¯;x1S¯_b, x3Sb;x1S¯a, x4Sa; x1S_d¯;x1S¯a¯b, x3S¯ab, x4S_a¯_b;x1S¯_bf¯, x3S_bf¯; x1S_{d ¯}¯_f;x1S¯a ¯d, x4S_{a ¯d}} c

Figura 5: Diagnosticador união Gdu(Ebd).

acordo com o passo 2 do algoritmo 1, obtém-se o diagnosticador mostrado na figura 4. Note que esse diagnosticador parcial leva em conta a perda permanente de ambos os sensores utilizados para registrar a ocorrência dos eventos b e f .

Calculando-se os diagnosticadores parciais com marcações de perda de sensores para os de-mais elementos de Ebd e procedendo-se de acordo com Cassandras e Lafortune (2008, p. 94), obtém-se o diagnosticador união Gdu(Ebd)

repre-sentado na figura 5. 2

No diagnosticador união Gdu(Ebd)

mostrado na figura 5, pode-se notar a presença de autolaços nos estados in-certos {x3Sc; x5Sa} = {4Y Sc; 6N Sa} e

{x5Sab; x3Sbc} = {6N Sab; 4Y Sbc}. Se Gdu(Ebd)

alcançar esses estados, não será possível afir-mar, com certeza, se a falha ocorreu, pois o estado x3 é um estado certo e o estado x5

é um estado normal de Gd. Além disso, no

estado {x3Sc; x5Sa; x3Sc ¯d, x3Scd; x5Sa ¯d, x5Sad},

as componentes referentes aos diagnosticadores parciais considerando perdas dos sensores que registram a ocorrência dos eventos c, d, e a, d não possuem eventos ativos, o que significa que não será possível alcançar um estado certo caso a falha tenha ocorrido. Dessa forma, é sempre possível encontrar duas sequências, uma de comprimento arbitrariamente longo que contenha

o evento de falha e outra de comprimento finito ou arbitrariamente longa que não contenha σf

tais que ambas tenham a mesma projeção sobre o fecho de Kleene das respectivas bases. Isso sugere que pode ser possível obter uma condição necessária e suficiente para a diagnosticabilidade robusta a partir do diagnosticador união em termos de ciclos indeterminados.

Definição 10 Um estado Gdu(Ebd) será incerto

se ele for composto por, pelo menos, um estado certo e um estado normal ou incerto de

diagnos-ticadores parciais diferentes. 2

Definição 11 Um conjunto de estados incertos {xdu,1, xdu,2, . . . , xdu,p} de Gdu forma um ciclo

in-determinado se as seguintes condições forem satis-feitas:

U.1) {xdu,1, xdu,2, . . . , xdu,p} forma um ciclo

em Gdu(Ebd); U.2) ∃(xkl dlS kl m), (˜x rl dlS rl ˜ m) ∈ xdu,l, x kl dl é um es-tado certo e ˜xrl

dl tanto pode ser um estado normal

quanto incerto, l = 1, 2, . . . , p, kl= 1, 2, . . . , ml, e

rl= 1, 2, . . . , ˜ml de tal sorte que as sequências de estados {xkl dlS kl m}, l = 1, 2, . . . , p, kl= 1, 2, . . . , ml e {˜xrl dlS rl ˜ m}, l = 1, 2, . . . , p, rl = 1, 2, . . . , ˜ml for-mem ciclos em dois diagnosticadores parciais com marcações de perda de sensores distintos. 2 Uma vez que diagnosticadores parciais podem ter ciclos escondidos (Basilio e Lafortune, 2009), é

possível que o diagnosticador união também possa ter ciclos escondidos.

Definição 12 Existirá um ciclo escondido inde-terminado em um estado incerto de Gdu(Ebd) se

este estado contiver um estado certo de um di-agnosticador parcial com marcações de perda de sensores que possua um ciclo escondido. 2

O seguinte resultado pode ser enunciado. Teorema 2 Considere um autômato G e seja Ebd = {Eo01, E 0 o2, . . . , E 0 om}, em que E 0 oi, i =

1, 2, . . . , m, é uma base para a diagnose da lin-guagem L gerada por G e seja Erob definido de acordo com a equação (2). Então, L será robusta-mente diagnosticável em relação à perda perma-nente dos sensores associados aos conjuntos de eventos pertencentes a Erob, em relação às pro-jeções Po1, Po2, . . . , Poq e Ef= {σf} se e somente

se o diagnosticador união Gdu(Ebd) não tiver

ci-clos indeterminados (observado ou escondido).

Prova: Ver Lima (2010). 2

Como a linguagem gerada pelo autômato G é diagnosticável em relação a Poi : E

∗ _{→ E} oi para

Eoi ∈ Ebd, então a presença de ciclos

indetermi-nados em Gdu(Ebd), tanto observados como

escon-didos, se deve a uma incompatibilidade entre os diagnosticadores parciais. Essa incompatibilidade se dá pelo fato de um dado diagnosticador par-cial alcançar um estado certo e um outro diagnos-ticador parcial alcançar um estado normal atra-vés da observação da mesma sequência de eventos, ou pela presença de ciclos escondidos em estados certos de diagnosticadores parciais que compõem estados incertos do diagnosticador união conside-rado. Portanto, uma alternativa para se chegar a um diagnosticador que seja robusto a partir do di-agnosticador união que utiliza todas as bases para a diagnose é deixar de utilizar as bases que levam a alguma ambiguidade no diagnosticador união.

Nesse ponto, as marcações de perda de ob-servabilidade dos eventos inicialmente observáveis definidas na construção do diagnosticador união serão justificadas, pois indicarão as bases que es-tão gerando os ciclos indeterminados no diagnos-ticador robusto. Assim, escolhendo-se apropria-damente as bases a serem retiradas, gera-se nova-mente o diagnosticador cuja linguagem gerada é a união das linguagens geradas pelos diagnostica-dores parciais considerando-se as bases restantes como eventos observáveis. Assim, esse novo diag-nosticador será robusto somente à perda de obser-vabilidade dos conjuntos de eventos redundantes de cada base não-mínima que o compõe.

Exemplo 2 (Diagnosticador de máxima robustez para o SED do exemplo1) Considere o diagnosti-cador união mostrado na figura 5. Como menci-onado anteriormente, os estados {x3Sc; x5Sa} e

{x5Sab; x3Sbc} formam ciclos observados indeter-minados devido às bases {a, b, d, f } e {b, c, d, f } para o primeiro ciclo e, às bases {c, d, f } e {a, d, f } para o segundo ciclo. Além disso, o es-tado {x3Sc; x5Sa; x3Sc ¯d, x3Scd; x5Sa ¯d, x5Sad} pos-sui ciclos escondidos indeterminados devido às ba-ses {a, b, f }, {b, c, f }, {b, c, d, f }, já que o estado {x3Sc ¯d, x3Scd} possui um ciclo escondido no di-agnosticador parcial referente a essa base, e os estados referentes aos diagnosticadores das ou-tras duas bases levam a um estado normal após o evento b ocorrer nos respectivos estados inici-ais. Logo, deve-se retirar uma das bases que geram cada ciclo observado indeterminado e a base que gera o ciclo escondido indeterminado de forma a tornar o estado incerto que possui o ciclo escon-dido, um estado normal ou certo. Por questão de filosofia de diagnose, dado que é mais seguro informar que uma falha ocorreu quando, de fato, não ocorreu, do que o contrário, serão, para os ci-clos observados indeterminados, retiradas as ba-ses que informam que a falha não ocorreu, isto é, {b, c, d, f } e {c, d, f }. Para o ciclo escondido indeterminado, deve-se retirar todas as bases que tornam o estado que contém o ciclo escondido in-certo, tornando-o certo ou normal. Para alcançar esse objetivo, será retirada a base {b, c, f }. Assim, as bases para a diagnose robusta serão

Ebdr = {{a, b, c}, {a, c, d}, {a, d, f }, {a, b, f },

{a, b, c, d}, {a, b, c, f }, {a, b, d, f }, {a, c, d, f }{a, b, c, d, f }},

e, portanto, diagnosticador Grob(Erob), mostrado

na figura 6, será robusto à perda dos seguintes conjuntos de eventos:

Erob= {{b},{c},{d},{f },{c, d},{b, c},{b, f },{d, f }}.

Observação 1 Note que o diagnosticador Grob(Ebdr) não será robusto à perda do sensor que registra o evento “a” uma vez que todas as bases de Ebdr possuem esse evento. Isso implica que se o sensor que detecta a ocorrência do evento “a” falhar e ocorrer a sequência “abd”, o diagnosticador robusto informará, de forma equivocada, que a falha ocorreu, indo para o estado {x3Sc}, quando, na verdade, o sistema está em uma trajetória normal. Contudo, essa caracterização da robustez foi feita a priori, o que permite buscar outras formas de redundâncias para o sensor associado ao evento “a”. 2

5 Conclusão

Nesse artigo foi proposto um diagnosticador ro-busto capaz de diagnosticar a ocorrência de falhas em sistemas a eventos discretos mesmo em caso de perda permanente de sensores. A principal vanta-gem da abordavanta-gem aqui proposta está no fato de

{x0Sn;x0S¯c, x1Sc;x0S_f¯;x0S¯_b;x0S_d¯;x0S_b¯¯_c, x1S¯_bc, x3Sbc; ? x0S¯_{b ¯f};x0S¯c ¯d, x1S_{c ¯d};x0S_{d ¯}¯_f} ? b ? a {x2Sn;x2S¯c, x4Sc; x2S_f¯;x2S¯_b, x5Sb; x2S_d¯;x2S¯_b¯c, x4S¯_bc, x5Sb¯c;x2S¯_{b ¯f}, x5S_{b ¯f}; x2S¯c_d¯, x4S_cd¯;x2S_d¯_f¯} ? {x3Sbc} d O d {x4Sc; x4S¯_bc; x4S_{c ¯d}} ? O f f b {x5Sb; x5Sb¯c; x5S_{b ¯f}}  O d d {x5Sn;x5S¯c; x5S_f¯;x5S_d¯, x5Sd;x5S¯c ¯d, x5Scd¯;x5S_{d ¯}¯_f, x5S_{d ¯f}} U {x5Sn;x5S¯c;x5S_f¯} ? d O d ? {x1Sn;x1S_f¯;x1S¯_b, x3Sb;x1S_d¯;x1S¯_{b ¯f}, x3S_{b ¯f};x1S_{d ¯}¯_f} c {x3Sc; x3S_{c ¯d}, x3Scd} d d {x4Sn;x4S_f¯, x4Sf;x4S¯_b; x4S_d¯;x4S¯_{b ¯f}, x4S¯_bf;x4S_{d ¯}¯_f, x4S_df¯} R {x4Sn;x4S¯_b;x4S_d¯} ? a f O f {x3Sb; x3S_{b ¯f}}  O d ? b ? {x3Sc} O d {x3Sn;x3S_f¯; x3S_d¯, x3Sd; x3S_{d ¯}¯_f, x3S_{d ¯f}} {x3Sn;x3S_f¯} ? O d d

Figura 6: Diagnosticador de máxima robustez. que, como as possíveis causas de ambiguidades na

diagnose de falhas devido à perda de sensores são previstas a priori, é possível projetar outras for-mas de redundâncias para os sensores que levam a ambiguidades com vistas a melhorar a confiabi-lidade do sistema de detecção de falhas.

Agradecimentos

Os autores gostariam de agradecer ao CNPq e ao NFS, EUA, pelo apoio financeiro que tornou pos-sível a realização desse trabalho.

Referências

Athanasopoulou, E., Lingxi, L. e Hadjicostis, C. N. (2006). Probabilistic failure diagnosis in finite state machines under unreliable observations, Proceedings of the 8th International Workshop on Discrete Event Systems – WODES’06, Ann Arbor, MI, pp. 301–306.

Basilio, J. C. e Lafortune, S. (2009). Robust codiag-nosability of discrete event systems, Proceedings of the American Control Conference, St. Louis, Missouri, pp. 2202–2209.

Carvalho, L. K., Basilio, J. C. e Moreira, M. V. (2010). Diagnose de falhas de sistemas a eventos discre-tos sujeidiscre-tos a perdas intermitentes de sensores, XVIII Congresso Brasileiro de Automática, Bo-nito, MS.

Cassandras, C. G. e Lafortune, S. (2008). Introduc-tion to Discrete Event Systems, 2nd edn, Kluwer Academic Publishers, Boston.

Chen, J. e Patton, R. J. (1999). Robust model-based fault diagnosis for dynamic systems, Kluwer Aca-demic Publishers, Norwell, MA.

Lima, S. T. S. (2010). Diagnose robusta de sistemas a eventos discretos sujeitos à perda permanente de sensores, Tese de Mestrado, UFRJ/COPPE -Programa de Engenharia Elétrica.

Lima, S. T. S., Basilio, J. C., Lafortune, S. e Moreira, M. V. (2010). Bases mínimas para a diagnose de falhas de sistemas a eventos discretos. Parte I: eventos essenciais para a diagnose e trajetórias primas, XVIII Congresso Brasileiro de Automá-tica, Bonito, MS.

Mangoubi, R. S. (1998). Robust Estimation and Fai-lure Detection: A Concise Treatment, Springer-Verlag, Secaucus, NJ.

Ramadge, P. J. e Wonham, W. M. (1989). The con-trol of discrete-event systems, Proceedings of the IEEE 77: 81–98.

Sampath, M., Sengupta, R., Lafortune, S., Sinna-mohideen, K. e Teneketzis, D. (1995). Diagnosa-bility of discrete-event systems, IEEE Trans. on Automatic Control 40: 1555–1575.

Thorsley, D., Yoo, T.-S. e Garcia, H. (2008). Di-agnosability of stochastic discrete-event systems under unreliable observations, Proceedings of the 2008 American Control Conference, Seatle, WA, pp. 1158–1365.

Travé-Massuyès, L., Escobet, T. e Olive, X. (2006). Diagnosability analysis based on component-supported analytical redundancy re-lations, IEEE Transactions on Systems, Man, and Cybernetics – Part A: Systems and Humans 36_{: 1146–1160.}