分散協調型の故障診断 と秩序再構成

長 崎 大 学 工 学 部研 究 報 告 第

31

57

1

55

分散協調型の故障診断 と秩序再構成

溝口 博三* ･下川 俊彦**

吉田 紀彦***

De c e n t r a l i z e dCo o p e r a t i v eFa u l t Di a g n o s i sa n dSy s t e mRe o r g a n i z a t i o n

by

Hi r omiM i zoguchi * ,Tos hi hi koShi mokawa

,Nor i hi koYos hi da * * *

Fa ul tdi a gnos i sa ndr e c ov e r yi nd e c e nt r a l i z e dc o op er a t i v es ys t e mss u c ha smu l t i ‑ a ge n ts ys t e msa L r edi f f e r e ntf romt he on e si nc e nt r a li z e ds ys t ems .Thes e l fdi a gnos i sofas ys t e m i sa c t u a l l yi nt e gr a t i onofmu t ua ldi a g no s csoft h es ys t e m c ompon e n t s , a ndt h er e c ov e r yl Sa c t ua ll ys el fr e or ga ni z a t i onoft h es ys t e m.Thi spa p erp

s e n t s a na ppr oa c ht owa D dt h i s s or tofdi a g nos i sa ndr e c ov e r ya ppl yi ngat h e or yofdi s t r ibu t e dn e t wor kdi a g nos i s ,a ndi t si mpl e me n t a t iona nds ome e mpi r ic a le va lu a t i on.

1 .は じめに

自律分散協訴系 は ,卑近な比喰で言 えE 淵 の集団の ように ,冗長性 を内在す ることか ら耐故障性 に優れ る ことが ,集 中系に比較 しての重要 な便位性の一つ と言 われている. しか しなが ら,系全休が構成要素の協調 と秩序 によって構成 されているか らには ,障害の性質 によっては単一構成要素の故障で も系全体 に影響 を及 ぼす可能性 がやは り残 っている.すなわち,構成要素 の停止障害 に対 しては他の構成要素が自律的に処理 を 代行 して系全体の秩序 が再構成 され るので頑健である が ,一方 ,コ ミッシ ョン障害 など誤 った要素間通信 を 誘発す る障害 に対 しては ,他の構成要素 もそれに影響 を受 けるため ,系全体の故障 に繋 が りえる.そのよ う な系 を復旧 させ るためには ,故障要素の同定 とその隔 離 ない し修復 が必要 となる.そこで我 々は ,自律分散 協調系における村政降任の向上 に向けた考察 を進めて いる.

一般 に集 中系における耐故障性の向上 には ,監視機 を付加 して自己診断 を行 う,系 を多重化 してバ ックア ップす る,などの方策が とられ る. これ に対 して上記 のよ うな自律分散協調系では ,その冗長性 を有効 に活

用すべ く,構成要素の相互診断 と相互バ ックア ップに よって耐故障性 を向上 させ ることが必要 となる.分散 ネッ トワーク診断の分野では ,すでにその よ うな相

診断の理論 モデルについて研究 が進んでいるが ,それ を実際の 自律分散協訴系に応用 しようとす るに際 して は ,故障の検出 ･同定 ･隔離 ･復旧に関す る具体的な 方式 を考案 し,それ を中央集権制御 な しに行 う機構 を 構築 しなければな らない. さらに ,自律分散協調系 は 動的であるのが普通であ り,系内の構成要素の集合 も 動的に変化 しえる.そこで ,系の その よ うな動的変化 にも追従 しえる機構である必要 がある.

本論文では以下 ,第 2 章で分散 ネ ッ トワーク診断の 理論 モデル について概要 をごく簡単 にまとめ る.次 い で第 3 章で ,それ を自律分散協窮系に適用す る際に必 要 となる故障の検出 ･同定 ･隔離 ･復旧の方式 につ い て述べ る.第 4 章ではプロ トタイプの設計 ,そ して第 5 章で ごく簡単な例題 による実験 を示す.第 6 章 は検 討 とまとめである.

2. ネ ッ トワーク鯵断理輪

構成要素間の相互診断 に基づ く分散 ネ ッ トワーク診

平成 1 3 年 4 月20 日受理

* 三菱電機 ( Mi t s ubi s hiEl e c t r icCo r p)

…

九州大学大学院 システ ム情報科学研究院 ( Gr a dua t eSc hoolofI nf or ma t i onSc i enc ea ndEI c c t r iC a l Eng ine e r ing , Kyus huUA i v e r s i t y)

* = 情報 システム工学科 ( De p art me ntofCompu t c ra ndl nf omut iOnSc i e nc e s )

5 6 溝口 博三 ･下川 俊彦 ･吉田 紀彦

断理論 として , P r e pa r a t a ,Me t z ea ndCh i e nの PMC モ デルがある 【 1 】 . これは ,ある要素 による別の要素の 検査について,正常な要素による検査は信頼で きるが 異常 な要素による検査は信頼で きないとい う前提の下 で ,最高 t 個 までの多重永久故障 を許す内か ら少なく とも 1 つの故障要素 を検出可能 な t 重故障逐次診断可 能系 ,および全ての故障要素 を同時に検出可能 な t 重 故障同時診断可能系 を定式化 した ものである.このモ デルは故障状態が時間的に変化 しない永久故障 を対象 としているが,診断可能 な系の必要十分条件 ,検査結 果集合 ( 症候群)からの故障要素の同定などについて ,

多 くの研究がな されている.

より一般 には ,故障状態が時間的に変化す る間欠故 障 も考 えなければな らない.そこでは正常要素か ら永 久故辞要素への検査のみが信頼で き,間欠故障要素に 対す る複数回の診断はその度 に結果が異なる恐れがあ り,間欠故障要素に対す る社数の正常要素か らの診断 は結果が一致 しない恐れがある.系内の故障要素 を正 常 と判定す ることを ｢ 不完全 な｣診断 ,正常要素 を故 障 を判定す ることを ｢ 不正確 な｣診断 と呼ぶが,間欠 故障の存在 は不完全な診断 を引 き起 こす. これは原理 的に避 けられない.そこで ,間欠故障 を含む系におい て少 な くとも正確 な診断 を保証す る故障診断が , 〟 r ‑ 自己診断可能系 【 2

I / r / r 一 自己診断可能系 【 3],t k/ T 一 自 己診断可能系 【 4 】などとして定式化 されている.なお , ここで t は故障要素数の最大値 ,r は間欠故障要素数 の最大値 を表す.

これ らを捲 まえて ,香田 らは間欠故梓 も含む自己診 断 可 能 系 の 効 率 的 な構 成 方 法 を ｢高 度 構 造 化 系 ( hi gh l ys t r uc t u J d s ys t e m) ｣ として定式化 した 【 5 , 6 , 7, 81 . これ をご く簡潔 に説明す る.

分散 ネ ッ トワーク診断の理論では,構成要素 を節点 V,要素 Vか ら別の要素 uへの診断 を弧 e =( V,u) で表 し,系 を節点 と弧の集合か らなるグラフ G=【 V,E】( Ⅴ

= I v l ,E = t e I ) で表す.Fi g. 1に図示す るように ( 円が

Fi g.1 .Subs ys t e mH( Ⅴ; I , V)i nHi g hl ySt r uc t t mdSys t e m･

要 素 ,矢 印 が検 査 ),あ る要 素 を核 の被 検 査 要 素 ( ke me lun i t ) として長 さ 1 の検査列 を V本 ,長 さ2 の 検査列 を p本持つ ようなグラフを,副系 ( s u bs ys t e m) H( V; I ,V)と呼ぶ.ここで ,系内の全ての要素 Vが副 系 H を持つ時 ,その系 を高度構造化系 と呼ぶ.

高度構造化系においては,次の定理が証明 されてい る.

( 1 )系 G の全ての副系 H について下式が成 り立つな ら ば ,G は t 重故障同時診断可能系である

x ｣は x を 越 えない最大の盤数).

p+L v/ 2 ｣ ≧t

( 2 ) 系 G の全ての副系 H について下式が成 り立つなら ば ,G は t / r h一自己診断可能系である.

p+L ( V‑ 1 ) r 2 ｣≧t+m in ( r , J C+ I )

さらに ,上記それぞれの定理 を満たす系について , 検査数 を最小 にす る症候群解析法 も構築 されている.

例 えば前者 については ,o( L EI ) の検査数で解析可能 な 系が構成で きる.

3. 自律分散協7I 系への適用

前章で概要 を簡単に説明 した診断理論 は,系内の故 障要素の同定 を可能 にす る条件 ,および同定手順の構 成法 を論 じている.分散協調的な故障診断の中核 とな るべ きものではあるが,これ を実際の自律分散協訴系 の故障診断および修復 に応用す るには,様々な処理 を 補 う必要 がある.それ らの処理 は系の助的構成に対応

し,かつ 中央集権制御 を排 したものでなければな らな い.それ らを,要素間の監視 ･検査 ,故障の検出 ･同 定 ･隔離 ･復旧のそれぞれについて ,席に述べる.

( 1 )要素間の相互監視 ･検査

構成要素 は ( 広い意味での)通信 によって互いに監 視 ･検査 を行 う.要素間の故障検出は,通常の故障検 出と同様 に ,停止障害 とオ ミッシ ョン障害については 通信の タイムアウ ト検査によって ,コ ミッシ ョン障害 については通信応答の正当性検査によって行 う.要素 間の通信路の故障検出 も,これに準ず る ( ただ し,監 視側要素が故障 している可能性 もある).

一般に,系がその構成要素について全対全の直接の 通信路 を有す るとは限 らない.一方 ,他 と通信路 を有 しない孤立 した構成要素 ( 秤)の存在 を考慮す る必要 はない.ここでは,全ての要素か ら他の全ての要素 に 直頼 ･間接の通信路 を経由 して到達可能で あるとす る.ただ し,通信路の故障に も対応す るためには,逮 信路 も冗長でなければな らない.

動的系 において ,新たな要素 が加入す る場合 には ,

通常処理 に必要 な通信路 を既存の要素 との間に確立す

分散協調型の故障診断 と秩序再構成

ることになるが,これに併せて相互監視 ･検査の通信 路 も確立す る.新たな要素の存在は,通信路 を経由 し て系内の全ての要素 に伝 えられ る.

( 2 ) 故障要素の同定

相互監視によって故障 ( の可能性)の検出 された要 素 につ いて ,それ を核要素 と して副系

を構成 し, 故障診断の手順 を遂行す る.ここで満た されているべ

き条件 は ,詳細 は割愛す るが ,系内の全要素数 を

, 最大多重故障要素数 を t として ,下式で表 され る.

n>2t+1

しか しなが ら,一般 に動的系では要素の増減がありえ るため ,n が既知 とは限 らない.その場合には れの下 限 を仮定 して ,検査可能 な最大多重故障要素数 を決定 す る.ただ し個 々の副系 につ いては ,実際の p と V の値 か ら検査可能な最大多重故障数が決 まる.

ここでの最大 の問題 は ,｢誰 が｣副 系 を琴計 して

｢ 誰 が｣患果 を解析す るかであり,理論 モデルでは全 く考慮 されていない.仮 にこれ らの処理の中央集権制 御 を許容す る して も,その中枢要素の故障には対応で きない. これ らの処理 を自律分散協訴的に行 うには , 原理的には,全ての要素に全ての要素の存在 と通信関 係 ,すなわち系全体の トポロジーを把握 させておいて , 同一の処理 を行わせ ることになる.故障要素には正 し い処理 を期待す ることがで きないが

と t の間の上 記の関係か ら,多数決的に正 しい処理の結果 を得 るこ とがで きる.以上の方策は要件 として非常に厳 しい も のであって ,厳密 に任意の時点で保証す ることはで き ず ,通信量 も多大 になるが ,現時点ではこの方策 をと る.

( 3) 故障要素の隔離 と系の復旧

一般 に.自律分散協訴系では,一部の構成要素が機 能 を停止 して も,他の要素が自律的に処理 を代行 して 系全体の秩序 が再構成 され るように構築 されている.

裏返す と,そのように構築 されているのが自律分散協 調系である.そこで ,故障要素 については,それを他 の要素か ら隔離す ることによって ,系 を復旧す ること がで きる.これは,従来の静的冗長系や動的冗長系 と は,類似す る例 も考 えられ るが,種類 を異にす る冗長 系である.具体的には,故障要素の存在 を系内の全て の ( 正常)要素が互いに通知 し,この通知 を受 け取 っ た要素 は故障要素 との通信 を速断す る.

このような秩序再構成 における問題 として ,第 1 に , 系内の要素 を幾つ まで隔離 して も正常に再構成 しえる かは ,自律分散協調系の構成に依存す る.第 2 に,系 が均質 ,すなわち全て同種の要素か ら構成 されている 場合 には議論はまだ容易であるが ,非均質 ,すなわち

57

異種の要素が混在 している場合には,これ もその自律 分散協調系の性質に依存す る.

一方で ,その要素の故障が修復可能 な ものであるな らば ,その要素に異常であることを知 らしめて修復 を 試み させ るべ きである.すなわち,要素は自分が異常 である皆の通知 を他か ら受け取 ったならば ( それは自 分だけでは判断で きないので),自己 を修復す る可能 性 を探 るべ きである. しか しなが ら,修復可能か否か は故障の性質に依存するので ,ここでは当該要素に異 常であることを知 らしめるところまで しか考 えない.

4. 故障鯵断 と修復の具体的機構

前章で考察 と検討 を行 った基本方式に基づいて ,故 障診断 ･修復機構 を,具体的に次の手順 を実行す るも の として捕集す る.

( 1 )系に新たに加入 した要素 は ,既存の要素 との間に 通常処理に必要な通信路 を確立す るとともに,監視 ･ 被監視の相互関係 を確立 し,同時に系の トポロジーを 取得す る.一方 ,新たな要素の加入は ,系内の全ての 要素に通知 される.なお ,全ての要素は他のいずれか

か ら監視 されなければな らない.監視す る側の要素は, 通信の正当性 とタイムアウ トを適宜監視す る.

( 2) 自らが検査す る要素集合の内に異常 な もの を発見 した要素 は ,その存在 を系内の他の要素 に通知す る.

各要素は,その通知 された要素 を核 とす副系 を設計す る. (それ らの要素 その ものが異常でなければ)設計 され る副系は同一の ものになるので ,それに従 って各 要素は必要 に応 じて副系に参加 し,系全体 として副系 を構築す る.必要 なだけの 叶 と Vが確保で きない場 合 には ,診断は失敗 となる ( 最低の t = lを満たすに

は,p=1または V=2が必要).

( 3) 副系 に参加 した要素は ,各々の検査結果 を系内の 他の要素に通知す る.各要素は ,その症候群 を解析 し て故障要素 を同定す る.ここで も ( それ らの要素 その

ものが異常でなければ)解析結果は同一の ものになる ので ,それ に従 って系全体 として故障要素 を同定す

る.

( 4) 正常 な要素 は故障 と同定 された要素にその旨 を通 知 し,自己修復 を期待す る.通知 を受 けた要素は自己 修復 を試み ,可能であればその旨を返答する.自己修 復が不可能 だった場合には ,正常な要素は故障要素 と の通信路 を速断 し,故障要素 を隔離 して系全体の秩序

を再構成す る.

5. 実験 と評価

前章 までで述べた故障診断 ･復旧機構の動作 を検証

58 _{沸 t j} 博三 ･下川 俊彦 ･吉田 紀彦

す る実巌例 として ,非常 に単純 な次の問題 を取 り上 げ て結果 を示す 【 9, 1 0】 .

自律的円環構成系

この系では ,構成要素 どうLが互 いに情報 を交換 し つつ ,中央集権制御 な しに自律的に ,無秩序 な初期状 態 か ら円周 とい う秩序的な形 を形成す る. ミルウォー キー大の鈴木によって考案 された分散 アル ゴ リズムで あり,その株安 は次の通 りである.

各要素 は次の情報および機能 を持つ.

･最終的に構成 され る円の直径 を知 っている.

･自分 と他の要素 との距離 を算出す る機能 を持つ.

そ して ,次の処理 を行 う.

( 1 )自分 と他 の要素 との距離 か ら,最 も近 い要素 と最 も遠い要素 を知 る.

(2)

最遠要素 との距離 が円直径 よ りも長 い場合 には , 最遠要素 に少 し近づ く.

( 3) 最遠要素 との距離 が円直径 よ りある割合 だけ短 い 場合 には ,最遠要素か ら少 し遠 ざかる.

( 4) 最遠要素 との距離 が円の直径 にほぼ等 しい場合 に は ,最近要素か ら少 し遠 ざかる.

( 5 ) 各要素 は上記の ( 1 ) 〜( 4) を繰 り返 し,全ての要素 が ( 4) の状態 に至 った ら終 了す る.

ここで ,次の故障 を入れ込 む.

･距離淵定機能の故障

･円直径情報の異常

いずれ も距離判断の異常 を引 き起 こし,円頚の形状 を 歪 ませ るが ,後者 は他の正常要素か ら正 しい直径情報

を受 け取 ることによって自己修復可能 としている.

この アル ゴ リズムの実行例 を Fi g.2に簡単 に示す.

石 工 ､ ､ ′ ′ ･ . 一 一 ･ ･ ･ ^{､ ､} ､ . 了 ∴ ､ ､ :

̀ ., : I t ､ , t も ､ ●

̲ モ

̀ ｣ ^{▲ ､ . ● ノ} ' ､ 亨 ^●

( a )Ⅰ m it ia lSt a t e.( b)I d飽lFi na lSt a t e.( C )Fa ul t yFi na lSt a t e.

Fi g. 2.Ci r c l eFo m i n gExa mpl e.

( a) の初期状態 か ら,全要素 が正常で あれば ( b) の最終 状態 に移行す るが ,例 えば 1 要素の持つ直径値 が誤 っ て大 きくなってい ると ,( C) が右上 にずれ てい くよ う な冶果 となって ,正 しい最終状態 が得 られない.

す なわち ,この アル ゴ リズムは中央集権制御 な しに 秩序 を形成す る自律分散協講系ではあるが ,一部の要 素の故障 が系全体 に波及す る可能性 を内在 し,一般 に 自律分散協調系 について言われ るような高 い対故障性 を持 たない.

実験では ,前章で述べた故障診断 ･復旧機構のプロ トタイプを各構成要素 に埋め込んで動作 させ ,故障診 断 ･復旧機構 が正 しく起動 され ること,故障要素 が正 しく同定 され ること (これは理論 モデルの動作の再確 認 に過 ぎない),および その結果 が正常要素 ( 秤 )に 正 しく通知 され ,故障要素 ( 群)が隔離 されて系が再 構成 され ること,修復可能 な故障につ いては当該要素 への通知 によって修復 がな され ること,要素の増減 に 故障診断 ･復旧機構 が正 しく追従す ることを検証 した

【 11 , 1 21 .

6.おわ りに

本論文では,自律分散協訴系における耐故障性の実 現 に向 けて ,自律分散協調 とい う特散 を活 かすぺ く, 分散 ネ ッ トワーク診断の理論 モデルの適用 を試み ,そ れ を実際 の系 に応 用す るに際 しての故障の検 出 ･同 定 ･隔離 ･復旧に関す る具体的な方式 について ,試案 を述べた.

自律分散協調系やマルチエージェン トシステムにお け る故障診断や障害復 旧 に関 しては ,舌 円 らの研究 [ 1 3 ] や L ec ki eらの研究 【 1 4 】があるが ,それ らに対 し て本論文は ,分散 ネ ッ トワーク診断理論の適用 とい う

ところに特徴 を持つ.

なれ ここでの議論 は ,故障要素 によって引 き起 こ され た他の要素や系全体の障害 について ,それ を復旧 す るために ,タイムワープ機構 を用いて分散 ロールバ

ックを行 うことなどまでは考 えていない.

分散 ネ ッ トワーク診断 は理論 としては一定の成果 を 産 んでいるが .実際への応用に際 しては様 々な開局 を 解決 しなければな らない.本論文では まず それ らの問 恵 を列挙 したが ,全てに最適 な解法 を与 え得 たとは考 えていない.例 えば ,よ り通信回数の少 ない ,すなわ ちよ り効率の より方式 を探求す るなどの努力 を今後 も 引 き続 き進める.

また ,本論文で取 り上 げた例鳥 は ,例題のための例 題 とも言 うべ きご く些細 な間者であって ,よ り本格的 な規模の同港に連用 しての評価 も行 ってい く.

蝉 辞

本研究の端緒 を開いて項 き,貴重 な助言 を頂 いた香 田教授 ( 九州大学)に感謝す る.

暮考文献

[ 1] P.Pr epar at a,G.Met z candR.T.Chi cn , " Ont he

Con ne c t io nA s s i gnme nt P r obl e mofDi a gnos a bl eSys t e m s " ,

I EEETr a ms .El e c t r om喝.a J I dCompu t . ,EC‑ 1 6: 6,8 48 ‑ 85 4

分散協調型 の故障診断 と秩序 再構成

( 1 967)

【 2】S.Mal l e l aa ndG.M.Mas s on ,… Di a gnos i swi t hout Re pa irf orHy br idFa ul tSi t u a t ions " ,T EEETr a ns ･Compu t ･ , C‑ 29: 6, 46ト470( 1 9$ 0)

【 3】C.L Ya nga ndG.M.Ma s s on , … A Gen e r a l i z a t i onof Hybr idFa ul tDi a gnos a bi l i t y" ,Pr o c. 1 5t hAnn. I nt ' lSymp.

onFa ul トTol e r a ntCompu t i ng,3 6‑ 41( 1 98 5)

【 4】C. L Ya nga ndG.M.Ma s s on , … A ne w Me a s u r ef b∫

Hybr i dFaul tDi a gnos a bi l i t y",I EEETr a ms .Compu t ･ ,C ‑ 3 6: 3 ,3 78‑ 38 3( 1 98 7)

【 5 1香 田 ,"t 重 故障 同時診断可能 システ ム",電 子通 信学会論 文誌 ,J 61 ‑ D: 9,68 0‑ 68 7( 1 978 )

【 6 1香 田 ,"t 重 故障逐次診断可能 システム",電 子通 信学会論 文誌 ,J 61 ‑ D: 9,688‑ 694( 1 978 )

【 7】T.Kohdaa nd K .Abi r u, " A Re c ur s i v ePr oc edu r ef b∫

Opt i ma ll yDe s i g nl ngaHy br idFa ul tDi a gn os a bl eSys t e m' ' , Pr o c. 1 8 t hAnn.I n t llSymp.onFa ul t ‑ Tol e r a n tCompu t l ng , 2 7 2‑ 2 77( 1 98 8)

【 8】T.Kohda , " A Si mpl eDi s c r i mi na t orf わrI dent i f yi ng Faul t si nHi ghl ySt r uc t ur edDi a gnos a bl eSys t ems ",J ･ Ci r c ui t s , Sys t e msa d I dCompu t e r s , 4: 3, 255‑ 2 7 7 ( 1 994)

59

【 9 】香田 ,吉 田 ,朱雀 ,吉 田 ,"自己診断可能 な自律分 散 系 ",第 20 回情報理論 とその応 用 シ ンポ ジウム論 文 隻 ,vol . Ⅰ ,1 93‑ 1 9 6( 1 9 97)

【 1 0 】香 田 ,吉 田 ,朱 雀 ,吉 田 ,"マル チエ ー ジェ ン ト システ ムにお け る故 障 の分散 的 自己診 断 ' ' ,第 6 回 マ ル チ ･エ ー ジ ェ ン トと協 調 計算 ワー ク シ ョップ論 文 i ,6pa ges . ,ht t p: / / www. kee l . nt t . c o. j p/ ms r g/ ma c c 97 / ( 1 998 )

【 11 】溝 口 ,下川 ,吉 田 ,牧之 内 ," 故障耐性 の あ る自 律 分 散 系 ",第 1 4 回 情 報 処 理 学 会 九 州 支 部 研 究 会 , 3 22‑ 329( 20 00)

[ 1 2] 溝 口 ," 分散 エ ー ジェ ン ト系 にお け る耐 故障性 ア ル ゴ リズ ムの実現 ' ' ,九州大学修士論 文 ( 2 ㈱ )

【 13 】吉 田 ,増 滞 ,藤 原 ,̀ ̀ 自律 ロボ ッ ト群 の ための停 止故障耐性 の あ る分散型 問題 解法 ",電 子情報 通信 学 会論 文誌 ,J 79‑ D‑ I : 6( 1 99 6)

[ 1 4 】C . L ec ki e,R. Se n j e n,B. Wa J da ndM. Zha o , " AMul t i ‑ Age n tSys t em f orDi s t r ibu t e dFa ul t Di a gnos i s " , Pr oc.2n d I n

' lConf .onPr a c t i c a l Appl i c a t i onofI nt e l l i g en tAge n t s a

ndMu l t i‑ Ag e n tTe c hnol o gy, 7I ‑ 8 5( 1 9 97)