Sistemi di Monitoraggio Distribuiti Automonitoranti
Aldo Franco Dragoni, Paolo Giorgini, Andrea Corsi
Istituto di Informatica, Università di Ancona,
via Brecce Bianche, 60131, Ancona (Italy)
{dragon,giorgini}@inform.unian.it
Abstract. La fusione e l’interpretazione di dati provenienti da sensori, sono
operazioni critiche in caso di conflitto. Se il modello descrittivo del sistema
monitorato è corretto ed i componenti lavorano correttamente, allora le
incompatibilità tra i dati possono essere imputate solo al deterioramento, o a
rotture permanenti, di uno o più sensori.
L’articolo introduce e discute tre semplice idee:
1. La “Model-Based Diagnosis” classica può essere estesa direttamente per
incorporare il modello dei sensori nella descrizione del sistema, in modo
tale da diagnosticare anche i malfunzionamenti degli stessi (sensors’
faults)
2. dall’analisi storica dei conflitti minimali diagnosticati tra i sensori, si
possono trarre interessanti conclusioni riguardanti la loro attendibilità
relativa (attraverso il Condizionamento Bayesiano)
3. l’attendibilità stimata dei sensori è utile per valutare (attraverso la Regola
di Combinazione di Dempster) lo stato attuale del sistema fisico
monitorato, anche in caso di dati conflittuali e non ridondanti.
1 Introduzione
Frequentemente, le attrezzature scientifiche, i sistemi di controllo industriali ed i
dispositivi diagnostici, elaborano dati provenienti da più sensori. Di solito, i dati
ricevuti sono confrontati con un modello teorico del processo/fenomeno monitorato in
modo tale da individuarne lo stato (in caso di un sistema di controllo) o per validare la
teoria (nel caso di esperimenti scientifici). Le discrepanze tra il modello teorico ed i
dati forniti dai sensori, possono essere imputati sia ai sensori, sia alla teoria (o ad
entrambi). Possiamo distinguere tre casi:
1. almeno un sensore non ha fornito il valore corretto della grandezza misurata
2. il modello teorico non è (completamente) applicabile al sistema monitorato
attuale poiché:
a) la teoria (scientifica) deve essere raffinata (interpretazione oggettiva)
b) il sistema fisico non sta lavorando come dovrebbe (interpretazione
teleonomica)
Il caso 1, spesso indicato come Sensor Data Validation (SDV), ha guadagnato molto
interesse negli ultimi anni [1,2,3,4]. Come illustrato in [5], i metodi presenti in
letteratura possono essere distinti in tre categorie:
SDV1. data-based: metodi che si basano su modelli statistici ottenuti dai dati
osservati

SDV2. model-based: metodi che si basano su un modello analitico del sistema
monitorato
SDV3. knowledge-based: metodi che si basano sulla conoscenza (esperienza) di
esperti
Il caso 2 è stato studiato approfonditamente nell’ambito dell’Intelligenza Artificiale, o
come un problema di Revisione della Conoscenza (Belief Revision, BR; si veda [6]
per una rassegna) o come un problema di diagnosi basata su modello (Model Based
Diagnosis, MBD; si veda [7] per una rassegna). Ci sembra evidente che la BR e la
MBD sono problemi duali. Nell’ultima decade, la MBD è passata dalla fondazione
teorica [8][9] ad alcune applicazioni pratiche (si veda ad esempio [10]). Nella MBD,
le diagnosi sono trovate come discrepanze tra le osservazioni e quello che ci si aspetta
di osservare. Il passo intermedio è la generazione esaustiva dei “conflict sets” per la
terna (SD,COMPS,OBS), nella quale la descrizione del sistema (System Description)
e le osservazioni (OBServations) sono insiemi di sentenze del primo ordine ed i
componenti (COMPonentS) un insieme finito di costanti ognuna delle quali
rappresenta un componente del sistema [11]. Una diagnosi è un sottoinsieme di
COMPS che copre tutti i conflict sets.
Un problema importante insito nella MBD, è che ognuno dei suoi tre passi
fondamentali, predizione, rilevazione dei conflitti e generazione di candidati, presenta
un’esplosione combinatoriale per dispositivi di grandi dimensioni [12]. Comunque, il
problema peggiore è relativo al caso 2a visto sopra: è difficile trovare un modello
corretto del sistema da diagnosticare. Questo articolo non tratta tali problemi: li
eluderemo entrambi imponendo la relativa semplicità dell’apparato che deve essere
controllato o diagnosticato. Invece, questo articolo introduce, discute e presenta
risultati sperimentali riguardo ai seguenti tre punti:
1. il problema dell’individuazione dei sensors’ faults, può essere interamente
ricondotto all’interno del framework della MBD (sezione 2)
2. dai sensors’ faults diagnosticati, si possono formulare interessanti conclusioni a
riguardo delle attendibilità relative dei sensori (sezione 3)
3. dall’attendibilità stimata dei sensori, si può ipotizzare lo stato del sistema fisico
monitorato anche in caso di dati conflittuali e non ridondanti (sezione 4).
Ai sensori sono associate delle importanti caratteristiche (precisione, tempo di vita
medio, ...) necessarie per stimarne le attendibilità a priori. Per attendibilità di un
sensore, intendiamo la probabilità che il sensore stia fornendo il valore corretto della
grandezza misurata (tenendo conto della precisione dello stesso). L’attendibilità
attuale di un sensore può essere minore di quella a priori a causa di eventi sconosciuti
o imprevedibili che possono essere occorsi nella fase di assemblaggio o nell’uso
corrente nel sistema monitorato. Naturalmente la condizione del sensore può essere
valutata attraverso un appropriato dispositivo di testing. Ma, a parte il problema
accademico della regressione infinita (quale dispositivo testerà il dispositivo di
testing, e così via ...), una questione concreta è che il testing ha i suoi costi. Per
esempio, nell’apparato di monitoraggio di una linea di produzione automatica, alcuni
sensori ottici possono essere alterati in conseguenza ad una temporanea rottura del
dispositivo di condizionamento che ripulisce l’aria dalle particelle di polvere prodotte

dal generatore di potenza. Poiché testare i sensori implica fermare il processo di
produzione, alcune informazioni riguardo al loro possibile malfunzionamento,
saranno sicuramente utili. Nel caso di sensori termici situati in prossimità del nucleo
di una centrale nucleare, una evidenza circa il deterioramento di un numero limitato
di sensori, ridurrà drasticamente i costi di manutenzione. Il punto 2 sopra menzionato,
suggerisce che tale evidenza, può essere estratta dal modello teorico del
processo/fenomeno monitorato e dal dato globale fornito dall’apparato di
monitoraggio distribuito. Il gruppo dei sensori agisce come un dispositivo di testing
per ognuno dei suoi membri. Naturalmente, la valutazione dipende dalla media delle
attendibilità di tutti i sensori del gruppo (inclusi quelli corrotti) e dalla precisione del
modello del sistema monitorato. In ogni caso, queste stime non saranno comparabili
(né per qualità né per tipologia) con le valutazioni effettuate da specifici dispositivi di
testing. Così facendo, non si interferisce in alcun modo nel processo di produzione e
gli unici costi da sostenere sono quelli per una CPU, per alcune schede di
acquisizione dati e per un dispositivo di memorizzazione. L’idea chiave di questo
lavoro è il “minimal conflict”. Intuitivamente, se si è rilevato un conflitto minimale
tra i sensori A e B (confrontando i dati ricevuti con il modello teorico) e,
successivamente, un’altra incompatibilità minimale coinvolge B e C, è ragionevole
supporre come più probabile il deterioramento di B piuttosto che quello
contemporaneo di A e C. Trattando con le probabilità, non vogliamo reinventare la
ruota poiché il Condizionamento Bayesiano [13] (sezione 3) sembra uno strumento
appropriato per eseguire tale compito. Semplicemente, la nuova attendibilità di un
sensore S, sarà calcolata come la probabilità che S abbia fornito il valore corretto, alla
luce del fatto che esso sia stato coinvolto in qualche minimal conflicts. Più grande è la
cardinalità di questi minimal conflicts, più grande sarà la probabilità che S sta
lavorando correttamente. Il caso peggiore è quando S viene coinvolto in un minimal
conflict di cardinalità uno (ad esempio quando S esce dal range dei valori compatibili
con il modello teorico) cosicché la sua nuova attendibilità è zero. L’attendibilità
corrente di ogni sensore verrà stimata statisticamente.
Ci sono dei casi in cui il costo per testare un sensore è infinito, ovvero la valutazione
delle condizioni del sensore è impossibile o non conveniente. Pensiamo, ad esempio,
all’apparato sensoriale di una stazione satellitare priva di personale a bordo o a
domini real-time, nei quali si ricevono dati impossibili (o altamente improbabili) e
non si ha il tempo per controllare i sensori. Questi casi ricadono nella classica
disciplina del supporto alle decisioni sotto incertezza. In queste circostanze, la
graduatoria delle attendibilità stimate gioca un ruolo importante, benché rozzo: essa
fornisce una stima più giustificata ed aggiornata di quella a priori. In aggiunta, le
attendibilità stimate possono essere utilizzate per determinare la credibilità dei dati.
Eseguiamo tale compito attraverso lo strumento della Regola di Combinazione di
Dempster così come Shafer e Srivastava l’hanno applicata nel campo dell’“auditing”
[14] (sezione 4).
La sezione 5 descrive due tra i vari esperimenti simulati condotti nell’ultimo anno; la
sezione 7 riporta alcune conclusioni che possono essere tratte dai nostri esperimenti,
puntando l’attenzione al più grande ostacolo che ci siamo trovati ad affrontare: la
sovraesposizione relativa di alcuni sensori.

2 Diagnosi dei sensors’ faults
Benché queste idee provengono da una linea indipendente di ricerca [15], la diagnosi
dei sensors’ faults può essere fatta all’interno del framework della MBD estendendo
la descrizione del sistema (Fig. 1-A) per incorporare i modelli dei sensori (Fig. 1-B).
A B
Fig. 1. Si estende la nozione di sistema per incorporare i modelli dei sensori
Naturalmente, la SD sarà estesa congruentemente (sotto in neretto):
COMP :{ A1, A2, O1, NX1, SA, SB, SC, Sa, Sb, Sc, Sd }
SD : ANDG(x) ∧ ¬AB(x) ⇒ out(x) = and(in1(x), in2(x))
NXORG(x) ∧ ¬AB(x) ⇒ out(x) = nxor(in1(x),in2(x))
ORG(x) ∧ ¬AB(x) ⇒ out(x) = or(in1(x),in2(x))
SENS(x) ∧ ¬AB(x) ⇒ out(x) = in(x)
ANDG(A1), ANDG(A2), NXORG(NX1), ORG(O1)
SENS(SA), SENS(SB), SENS(SC), SENS(Sa), SENS(Sb), SENS(Sc), SENS(Sd)
out(A1) = in1(O1), out(A1) = in1(A2), out(A2) = in2(NX1), out(O1) = in1(NX1)
in2(A1) = in2(O1), in(SA) = IN1(A1), in(SB) = IN2(A1), in(SC) = IN2(A2),
in(Sa) = OUT(A1), in(Sb) = OUT(A2), in(Sc) = OUT(O1), in(Sd) = OUT(NX1)
in1(A1) = 0 ∨ in1(A1) = 1, in2(A1) = 0 ∨ in2(A1) = 1, in2(A2) = 0 ∨ in2(A2) = 1
OBS : un insieme finito di sentenze del primo ordine ground
Ricordando da [9], un conflict set per (SD,COMPS,OBS) è un sottoinsieme {x1,…,xk}
di COMPS tale che SD∪OBS∪{¬AB(x1),…,¬AB(xk)} è inconsistente. Un conflict set
per (SD,COMPS,OBS) è minimale se e solo se nessun suo sottoinsieme proprio è un
conflict set per (SD,COMPS,OBS). Ogni minimal hitting set per la collezione di tutti i
minimal conflict sets sarà una diagnosi per (SD,COMPS,OBS).
La potenza di questo framework è la capacità di diagnosticare contemporaneamente il
malfunzionamento dei componenti e dei sensori (trattando così entrambi i casi 1 e 2a
visti in precedenza). Comunque, spesso i sensori osservano sistemi fisici in cui manca
la nozione di componente (ad esempio un sistema di monitoraggio sismico distribuito
[17,18]). In questi casi, COMPS contiene solo i sensori, SD si riduce al modello
matematico (magari molto complesso) del fenomeno osservato e OBS è un semplice
vettore di dati numerici e/o booleani. Come esempio, consideriamo una barra

metallica, riscaldata ad una estremità e monitorata attraverso dei termometri come
mostrato in Fig. 2.
Fig. 2. Diagnosi di faults in un sistema sensoriale puro
Anche ignorando l’equazione di trasferimento del calore nella barra, possiamo ancora
modellare il sistema con semplici vincoli (in neretto il caso di soli tre sensori):
COMP :{S1, S2, S3}
SD : SENSOR(x) ∧ ¬AB(x) ⇒ out(x) = in(x), SENS(S1), SENS(S2), SENS(S3)
out(S1) ≥ out(S2), out(S2) ≥ out(S3)
OBS : una tripla di valori numerici
Per esempio, da OBS={out(S1)=153°C, out(S2)=175°C, out(S3)=168°C} possiamo
derivare i minimal conflict sets {{S1, S2}, {S1, S3}} e le diagnosi {{S1}, {S2, S3}}.
Un concetto importante nell’utilizzo della MBD nel SDV, è quello di good (così
come lo abbiamo chiamato per l’ovvia dualità con il nogood di de Kleer,
chiamato“minimal conflict set” da Reiter), cioè un sottoinsieme {x1,…,xk} di COMPS
tale che SD∪OBS∪{¬AB(x1),…,¬AB(xk)} è consistente e tale che lo stesso è
inconsistente per i superinsiemi propri di {x1,…,xk}. Ogni good è il complemento di
una diagnosi rispetto a COMP, cioè, un insieme massimamente consistente di sensori.
I goods giocano un ruolo importante quando si cerca di valutare lo stato del sistema in
presenza di dati conflittuali. Infatti, a causa della dualità tra goods e diagnosi,
scegliere la diagnosi più probabile, significa scegliere il good più probabile e cioè la
ricostruzione dello stato del sistema più probabile (e completa).
Un problema della MBD applicata al SDV è che, indipendentemente dall’accuratezza
di SD, la teoria SD∪OBS∪{¬AB(x)| x∈COMPS} può essere consistente anche in caso
di sensors’ faults. Questi faults nascosti possono verificarsi, ad esempio, nel caso
della rottura contemporanea di più sensori, tale che l’output globale sia ancora
possibile (benché errato).
3 Stima dell’attendibilità attuale dei sensori
Poiché i faults nascosti costituiscono un problema, la rilevazione con successo di
minimal conflicts offre una grande opportunità per stimare, statisticamente,
l’attendibilità attuale dei sensori a partire da quella a “priori”. Il modo più ovvio per
far questo, è attraverso il Condizionamento Bayesiano, poiché abbiamo definito
l’attendibilità del sensore, come la probabilità che il sensore fornisca il valore corretto
della grandezza misurata. Indichiamo con Ri e NRi, rispettivamente, l’attendibilità a
“priori” ed a “posteriori” del sensore Si, e indichiamo con S l’insieme COMPS
ristretto ai sensori. Sotto l’assunzione che il deterioramento di ogni sensore è un
evento indipendente (!?!), l’ipotesi che solo quei sensori appartenenti a Φ⊆S stiano
funzionando correttamente, ha la probabilità combinata a “priori”
R(Φ)= ( )R Ri
S
i
Si i∈ ∉
∏ ∏⋅ −
Φ Φ
1 . Risulta che ( )R
S
Φ
Φ∈
∑
2
=1.

Naturalmente, dopo l’identificazione di un minimal conflict φ, NR(Φ)=0 per ogni
Φ⊇φ, ed ogni altro Φ è soggetto al Condizionamento Bayesiano cosicché
( )NR
S
Φ
Φ Φ∈ ∧ ⊄
∑
2 φ
=1. L’attendibilità a “posteriori” di Si è definita come NRi= ( )NR
Si
Φ
Φ∈
∑ .
Se Si è coinvolto in un minimal conflicts, allora NRi≤Ri, altrimenti NRi=Ri.
Stimando le attendibilità correnti CRi di un sensore Si da Ri e dalla storia dei minimal
conflicts individuati, seguiamo un procedimento statistico. Negli esperimenti della
sezione 5, prendiamo per CRi la media di tutte le NRi calcolate durante la vita del
sistema di monitoraggio distribuito1. Come vedremo, tale CRi fornisce un interessante
ordinamento relativo delle attendibilità. Il sistema sensoriale distribuito, agisce come
un dispositivo di testing per ognuno dei suoi membri, da cui il titolo di questo
articolo.
4 Scegliere il good preferito
Nella versione multi-sorgente di Shafer e Srivastava del framework delle “Belief
Function” (funzioni di credibilità) [14], i gradi di attendibilità delle sorgenti sono
tradotti in valori delle Belief Function sui dati forniti. Nel nostro metodo seguiamo i
sopra citati, considerando l’attendibilità stimata CRi come un’evidenza primaria in
favore del dato si fornito da Si. Sia Ω l’insieme di tutte le possibili configurazioni del
sistema monitorato, con [si]⊆Ω indichiamo solo quelle compatibili con si.
L’assunzione chiave è che un sensore attendibile non può fornire informazioni false,
mentre un sensore non attendibile può fornire dati corretti; l’ipotesi che “Si è
attendibile” è compatibile solo con [si], mentre l’ipotesi che “Si è non attendibile” è
compatibile con Ω intero. Ogni Si dà un’evidenza per Ω e genera il seguente
assegnamento di probabilità base (basic probability assignment; bpa) mi sugli
elementi X di 2Ω:
[ ]
mi X
CRi si
CRi( ) =
=
− =



se X
se X
altrimenti
1
0
Ω
Tutte queste bpa saranno combinate attraverso la Regola di Combinazione di
Dempster (DRC):
m(X)=m1(X)⊗…⊗mn(X)=

( ) ( )
( ) ( )
m X m X
m X m X
n n
X X X
n n
X X
n
n
1 1
1 1
1
1
⋅ ⋅
⋅ ⋅
∩ ∩ =
∩ ∩ ≠∅
∑
∑









1

NRi è calcolata solo alla rilevazione di dati conflittuali. Un’altra questione importante riguarda le
dimensioni della finestra temporale, cioè, quanto ci dobbiamo spingere nel passato per registrare i dati
conflittuali; intuitivamente, più grande è la finestra, maggiore è l’inerzia del meccanismo
nell’individuare il deterioramento dei sensori.

Dalla bpa m, la credibilità di un insieme di dati s (e quindi anche di un good) è data
da: Bel(s) = ( )
[ ]
m X
X s⊆
∑
Un importante problema insito nel formalismo delle funzioni di credibilità è la
complessità computazionale della DRC; l’applicazione diretta della regola è
esponenziale nella cardinalità di Ω e nel numero dei sensori. Comunque, molti sforzi
sono stati compiuti nel ridurne la complessità. Tali metodi vanno da implementazioni
efficienti, [19] ad approcci qualitativi [20] ed a tecniche approssimate [21].
5 Esperimenti e risultati
Abbiamo sviluppato un simulatore per studiare le prestazioni del meccanismo
proposto. Abbiamo eseguito una serie di esperimenti mirati a valutare la sua
sensibilità (capacità di distinguere piccole differenze tra le attendibilità dei sensori) e
la sua robustezza (capacità di fornire prestazioni accettabili in presenza di situazioni
molto degradate). Il simulatore prende in input il reale grado di capacità dei sensori
(Ci), il loro grado di attendibilità a “priori” (Ri), il modello del sistema monitorato e la
lunghezza della simulazione. Ad ogni ciclo esso:
1. simula una acquisizione dati corretta
2. simula un errore (altera il dato di ogni sensore Si in accordo con Ci presa come
frequenza di errore)
3. se i dati risultanti contrastano con R, esegue il meccanismo proposto.
Negli esperimenti che seguono, il grado delle attendibilità a “priori” sono fissati a
Ri=0.9.
5.1 Esperimenti con la barra riscaldata simulata
Abbiamo eseguito diversi esperimenti con la barra riscaldata di Fig. 2 modellata come
descritto nella sezione 2. Per valutare l’eventuale dipendenza delle prestazioni del
sistema dal numero dei sensori e dal range dei loro possibili valori di output (discreti),
abbiamo eseguito le seguenti differenti simulazioni:
A. Tre sensori con valori di output {0,1,2,3,4,5,6,7,8,9}
B. Cinque sensori con valori di output {0,1,2,3,4}
C. Cinque sensori con valori di output {0,1,2}
D. Sette sensori con valori di output {0,1,2}.
Sensibilità
Per valutare la sensibilità del sistema, abbiamo realizzato alcune simulazioni con un
solo sensore deteriorato. La Fig. 3 mostra un tipico andamento del caso B.

0
2 0
4 0
6 0
8 0
1 0 0
1 1 1 2 1 3 1 4 1
1
2
3
4
5
Fig. 3
Ricapitoliamo qui i risultati principali:
• il sistema è in grado di individuare il sensore corrotto con sufficiente velocità ed
indipendentemente dalla sua capacità
• il tempo necessario per individuare il sensore corrotto aumenta con la sua capacità
• i risultati non dipendono dal range dei valori di output (probabilmente, ciò è
dovuto alla particolare tipologia dell’errore considerata)
• i risultati migliorano con il numero dei sensori.
Naturalmente, individuando sempre il sensore corrotto, il meccanismo è in grado di
scegliere l’insieme corretto di dati massimamente consistente attraverso la DRC.
Robustezza
Abbiamo fatto altre simulazioni con due o più sensori deteriorati. Le Fig. 4 e Fig. 5
mostrano andamenti tipici; in particolare, la Fig. 4 riguarda un caso di due sensori
corrotti (S1 e S3: C1=C3=0.2), e la Fig. 5 un caso con tre sensori malfunzionanti (S1,
S2 e S3: C1=C2=C3=0.2). Si può dedurre che:
• il meccanismo è ancora capace di individuare i sensori corrotti
• i gradi di attendibilità stimati dei sensori corrotti non sono così marcatamente
diversi da quelli dei sensori che lavorano correttamente
• il meccanismo necessita di un tempo maggiore per scoprire i sensori corrotti
• i sensori corrotti sono innocentemente coinvolti in più minimal conflicts cosicché
il loro grado di attendibilità diminuisce.
0
20
40
60
80
100
1 21 41 61 81
1
2
3
4
5

0
10
20
30
40
50
60
70
80
90
100
1 21 41 61 81
1
2
3
4
5
Fig. 4 Fig. 5
In Fig. 6, ogni curva rappresenta la percentuale dei good corretti ottenuti con la DRC
(dopo 50 cicli) per un dato numero di sensori deteriorati (2,3,4 e 5) con differenti

capacità (0.9, …,0.2). Possiamo comparare i risultati ottenuti con quelli ricavati
attraverso una scelta casuale (Fig. 7).
0
20
40
60
80
100
90 80 70 60 50 40 30 20
2
3
4
5

0
20
40
60
80
100
90 80 70 60 50 40 30 20
2
3
4
5
Fig. 6 Fig. 7
5.2 Esperimenti con un circuito digitale
Sensibilità
Abbiamo simulato il sistema monitorante per il circuito digitale di Fig. 1.B. Ancora,
abbiamo compiuto alcune simulazioni con un solo sensore deteriorato (con una
capacità di 0.5); per esempio, il sensore d in Fig. 8 e il sensore A in Fig. 9.
In questi casi si può dedurre che:
• il meccanismo è ancora capace di individuare il sensore corrotto abbastanza
rapidamente ed indipendentemente dalla sua capacità
• il meccanismo trova il sensore corrotto ma l’attendibilità stimata dipende dal
particolare sensore (si notino in Fig. 8 e 9 i differenti andamenti per i sensori A e
d).
Ancora, trovando sempre il sensore corrotto, il sistema sceglie sempre l’insieme di
dati massimamente consistente corretto.
0
20
40
60
80
100
1 11 21 31 41
A
B
C
a
b
c
d

0
20
40
60
80
100
1 11 21 31 41
A
B
C
a
b
c
d
Fig. 8 Fig. 9
Robustezza
In questo caso per valutare la robustezza, abbiamo eseguito alcune simulazioni con
due o più sensori con capacità 0.5. Tab. 1 e Tab. 2 mostrano i risultati di due prove
significative con due sensori deteriorati.

Sensore Capacità Attendibilità
stimata
A 100 86.7
B 50 56.3
C 100 84.1
a 50 45.4
b 100 84.7
c 100 82.6
d 100 84.9
Sensore Capacità Attendibilità
stimata
A 100 83.67
B 100 71.68
C 50 80.42
a 50 37,9
b 100 85.76
c 100 88.81
d 100 87.55
Tab. 1 Tab. 2
Si può notare che nella prima simulazione (Tab. 1) il sistema individua correttamente
i sensori deteriorati, ma nella seconda (Tab. 2) attribuisce un valore di attendibilità
troppo alto al sensore C.
La Fig. 10 mostra la percentuale di scelte corrette ottenute con la DRC al variare della
particolare coppia di sensori corrotti. Possiamo comparare i risultati ottenuti con
quelli ricavati attraverso una scelta casuale (Fig. 11).
0
10
20
30
40
50
60
70
80
90
100
A
B
A
C
A
a
A
b
A
c
A
d
B
C
B
a
B
b
B
c
B
d
C
a
C
b
C
c
C
d
a
b
a
c
a
d
b
c
b
d
c
d

0
10
20
30
40
50
60
70
80
90
100
A
B
A
C
A
a
A
b
A
c
A
d
B
C
B
a
B
b
B
c
B
d
C
a
C
b
C
c
C
d
a
b
a
c
a
d
b
c
b
d
c
d
Fig. 10 Fig. 11
Dalla Fig. 10 possiamo osservare che c’è una dipendenza delle prestazioni del sistema
dai particolari (coppia) sensori corrotti. Abbiamo chiamato questo effetto sovra-
esposizione: per sovra-esposizione di un sensore intendiamo la sua alta probabilità di
essere coinvolto in minimal conflicts. Abbiamo tentato di individuare alcuni fattori di
correzione per limitare l’impatto di questo effetto indesiderato; il problema sta nel
fatto che tali fattori non sono numeri fissi ma funzioni delle reali capacità (non
conosciute) dei sensori.
6 Lavori connessi
I lavori del SDV confrontabili con il sistema da noi proposto, appartengono alle
categorie SDV1 e SDV2. I metodi model-based presuppongono l’esistenza di un
modello analitico del sistema e condividono una metodologia comune: generazione di
segnali che sono sensibili ai faults (residui) ed analisi degli stessi. Gli approcci
principali proposti per la generazione dei residui si possono classificare in approcci

che fanno uso della ridondanza analitica (es.: parity space) e approcci con
l’osservatore (es.: filtro di Kalman [1]). I metodi model-based sono efficienti
specialmente in quei casi in cui si dispone di un modello del sistema ben conosciuto e
lineare. Parallelamente ai metodi sviluppati nell’ambito dei controlli automatici, si
possono trovare in letteratura approcci al problema che fanno riferimento
all’Intelligenza Artificiale. Sicuramente interessante è il lavoro svolto da S. C. Lee in
[2]. In questo lavoro viene presentata una tecnica di validazione basata sulla
ridondanza analitica. La tecnica presentata necessita di una conoscenza perfetta del
processo fisico in esame. Anche il lavoro svolto da Washio in [22] propone un
approccio basato sul modello del processo da monitorare per l’individuazione dei
sensors’ faults. I sensors’ faults vengono individuati contestualmente alla diagnosi dei
componenti all’interno dello stesso framework. In particolare tramite l’approccio
proposto dall’autore è possibile diagnosticare: componenti non lineari, sensori e
componenti e ampiezza del fault.
Esistono sicuramente delle applicazioni in cui la variabile tempo non compare ed il
modello del processo da monitorare risulta statico. Ad esempio, Scarl et altri [16]
hanno realizzato il sistema LES per il controllo del caricamento dell’ossigeno liquido
nei serbatoi esterni dello Shuttle. LES opera su un dominio che può essere
rappresentato come una gerarchia di controllo diretta senza anelli di retroazione ed in
cui non sono presenti oggetti che hanno a che fare con lo stato. Conoscendo le
relazioni funzionali tra comandi impartiti, componenti del sistema monitorato e le
grandezze misurate, LES analizza la discrepanza tra valori attesi e misurati e
determina lo stato di funzionamento dei componenti e dei sensori. Un limite di LES è
quello di diagnosticare solo single-fault.
Anche se i metodi appartenenti all’area dell’intelligenza artificiale superano il
problema delle non linearità, tutti i metodi model-based sono però sensibili agli errori
di modellizzazione. Di conseguenza quando non è disponibile un modello preciso del
sistema, una via alternativa è quella di utilizzare una descrizione qualitativa costituita
da un insieme di regole derivate dall’esperienza umana: i metodi di validazione
knowledge-based. Esempi tipici di tali metodi possono essere i sistemi esperti classici
(costituiti da una base della conoscenza e da un motore inferenziale) e sistemi esperti
fuzzy. Ad esempio, i sistemi model-based non possono essere applicati quando del
processo si conoscono solo determinate relazioni espresse sotto forma di
disequazione.
Noi abbiamo proposto un metodo che si basa sulla conoscenza del
fenomeno/processo non necessariamente in termini di modello matematico così come
inteso nei controlli automatici. Esso richiede un qualsiasi tipo di conoscenza dalla
quale poter estrarre i minimal conflicts. Di conseguenza è possibile trattare oltre che
con equazioni anche con vincoli di disuguaglianza ricalcando delle situazioni reali del
tipo “se la temperatura è più alta di 100 °C la spia deve accendersi”; i sistemi model-
based non possono gestire tale tipo di vincoli.
Nel SDV si assumono i componenti del sistema perfettamente funzionanti; questo
vincolo può essere superato dall’approccio presentato, effettuando un’opportuna
estensione.

Il sistema presentato si basa su un’analisi storica dei dati. Ciò consente di utilizzare le
informazioni ricavate in precedenza per risolvere le situazioni di incertezza future che
si presentano nel momento in cui bisogna scegliere tra una serie di possibili diagnosi
per spiegare un insieme di dati inconsistente. I sistemi proposti in [22] e [16] non
forniscono indicazioni su come effettuare queste scelte né introducono il concetto di
attendibilità come strumento di selezione.
7 Conclusioni
L’elaborazione dei dati provenienti da più sorgenti risulta critica quando emergono
conflitti tra i dati ricevuti. Questo articolo ha introdotto, discusso e riportato risultati
sperimentali a riguardo dei seguenti tre punti:
1. il problema dell’individuazione dei sensors’ faults, può essere interamente
ricondotto all’interno del framework della model-based diagnosis
2. dalla storia dei sensors’ faults è possibile formulare interessanti conclusioni a
riguardo delle attendibilità relative dei sensori, attraverso l’uso del
Condizionamento Bayesiano
3. dall’attendibilità stimata dei sensori, si può ipotizzare lo stato del sistema fisico
monitorato anche in caso di dati conflittuali e non ridondanti, attraverso lo
strumento della Regola di Combinazione di Dempster.
Il problema più grande presente in questo metodo è quello che abbiamo chiamato
“effetto della sovra-esposizione”. Crediamo che la soluzione di questo problema
dipenda dal particolare dominio applicativo.
Bibliografia
[1] Alag S. and A. M. Agogino, “A Methodology for Intelligent Sensor Validation,
Fusion and Sensor Fault Detection for Dynamic Systems” #95-0301-P, 1995.
[2] S. C. Lee, “Sensor Value Validation Based on Systematic Exploration of the
Sensor Redundancy for Fault Diagnosis KBS”, IEEE Transactions on Systems,
Man, and Cybernetics, Vol 24, n° 4, April 1994.
[3] S. Iksch, W. Horn, C. Popow, F. Paky, “Context-sensitive data validation and
data abstraction for knowledge-based monitoring”, in ECAI 94. 11th European
Conference on Artificial Intelligence, 1994, pp. 48-52.
[4] D. Himmelblau and M. Bhalodia, “On-Line Sensor Validation of Single Sensor
Using Artificial Neural Networks”, in Proceedings of the 1995 American Control
Conference, vol. 1, 1995, pp 766-770.
[5] Stephane Canu,”Sensor Data Validation: a Review”, in EM2S Esprit European
Project.
[6] Dragoni A.F., Belief Revision: from theory to practice, “The Knoledge
Engineering Review”, vol 12, n° 2, Cambridge University Press, 1997.
[7] de Kleer, J., Hamsher, W. C., Console, L., (Eds.): Readings in Model-Based
Diagnosis, Morgan Kaufmann, 1992.
[8] de Kleer, B., C., Williams, Diagnosing Multiple Faults, Artificial Intelligence 32,
pp. 97-130, 1987.
[9] R. Reiter, A Theory of Diagnosis from First Principles, Artificial Intelligence 32,
pp. 57-95, 1987.

[10]Beschta, A., Dressler, O., Freitag, H., Montag, M., Stru§, P., A model-based
approach to fault localisation in power transmission networks, Intelligent
Systems Engineering, 2(1), IEE Publisher, pp. 3-14, 1993.
[11]de Kleer, J., Mackworth, A. K., Reiter, R., Characterizing Diagnoses,
Proceedings of 1990 Conference of the American Association for Artificial
Intelligence, pp 324-330, 1990.
[12] Johan de Kleer, Focusing on Probable Diagnoses, Proceedings of 1991
Conference of the American Association for Artificial Intelligence, pp 842-848,
1991.
[13]T. Bayes, “An essay towards solving a problem in the doctrine of chances.”
Philosophical Transactions Royal Soc’y London 53:370-418, 1763. Reprinted in
various publications, e.g. Biometrika 45:293-315.
[14]Shafer G. and Srivastava R., The Bayesian and Belief-Function Formalisms a
General Perpsective for Auditing, in G. Shafer and J. Pearl (eds.), Readings in
Uncertain Reasoning, Morgan Kaufmann Publishers, 1990.
[15]A.F. Dragoni, P. Giorgini, P. Puliti, "Finding Inconsistencies as a Basis for
Evaluating the Reliability of Different Information Sources", in Binaghi, E.,
Brivio, P.A. and Rampini, A. (Eds.), Soft Computing in Remote Sensing Data
Analysis, Series in Remote Sensing, vol 1, World Scientific Publishing, 1996.
[16]Scarl Ethan a., Jamieson, Delaune. “Diagnosis and Sensor Validation trough
Knoledge of Stucture and Function”. IEEE Transactions on Systems, Man and
Cybernetics, Vol 17, n° 3, May/June 1987.
[17]Mason, C., An Intelligent Assistant for Nuclear Test Ban Treaty Verification,
IEEE Expert, vol 10, no 6, 1995.
[18]Cindy L. Mason and Rowland R. Johnson, datms: A Framework for Distributed
Assumption Based Reasoning, in L. Gasser and M. N. Huhns eds., Distributed
Artificial Intelligence 2, Pitman/Morgan Kaufmann, London, pp 293-318, 1989.
[19]Kennes, R., Computational Aspects of the Möbius Transform of a Graph, IEEE
Transactions in Systems, Man and Cybernetics, 22, pp 201-223, 1992.
[20]Parson, S., Some qualitative approaches to applying the Demster-Shafer theory,
Information and Decision Technologies, 19, pp 321-337, 1994.
[21]Moral, S. and Wilson, N., Importance Sampling Monte-Carlo Algorithms for the
Calculation of Dempster-Shafer Belief, Proceeding of IPMU’96, Granada, 1996.
[22]Washio, Sakuma, Kitamura. “A new approch to quantitative and credible
diagnosis for multiple faults of components and sensors”. Arificial Intelligence
Vol 91 pp. 103-130.