Организация Digital Twin Consortium, разрабатывающая стандарт для цифровых двойников, предлагает следующее определение: цифровой близнец, или двойник (digital twin), — это виртуальная репрезентация объектов и процессов реального мира, синхронизируемая с ними с определенной частотой и степенью точности. Цифровые близнецы меняют бизнес благодаря возможности быстрее увидеть картину в целом, оптимизации принятия решений и повышению эффективности действий. Цифровые близнецы с помощью данных, получаемых в реальном времени и на основе накопленной ретроспективной информации, создают репрезентацию прошлого и настоящего и позволяют моделировать прогнозируемое будущее.

Цифровые близнецы создаются с расчетом на получение конкретных результатов и адаптируются для конкретных случаев применения. Их двигатели — интеграция, данные и знания в конкретной предметной области. Цифровые близнецы — системы, реализуемые на основе информационных и операционных технологий [1].

Рассмотрим 14 факторов доверия, которые следует учитывать при создании любых цифровых близнецов [2]. Они не имеют прямого отношения к оценке и устранению рисков — речь идет именно о доверии к системе. Способен ли цифровой близнец обеспечить желательную функциональность с достаточным уровнем качества?

Доверие — это вероятность того, что расчетное и реальное поведение будут эквивалентны в конкретном фиксированном контексте, в фиксированной среде и в фиксированный момент времени. Доверие к цифровому близнецу определяется несколькими характеристиками: его функциональной эквивалентностью физическому объекту, возможностью компоновки с другими цифровыми близнецами, наличием достаточного объема информации об окружающей среде и контексте физического объекта и соответствием стандартам, позволяющим провести сертификацию.

Очередность создания цифрового близнеца

Момент времени, в который создается цифровой близнец, влияет на его корректность. Близнец может быть создан еще до появления физического объекта или путем обратной разработки в качестве зеркала уже существующего объекта. Оба подхода имеют право на существование, но во втором случае степень достоверности близнеца может быть меньше, так как объект может иметь внутренние особенности, не известные разработчику. В качестве аналогии можно привести коммерчески доступное ПО — такие продукты являются «черными ящиками», поскольку исходный код недоступен клиенту и системному интегратору, и те не в курсе, каким образом он работает.

Время

Физический объект, копируемый цифровым близнецом, имеет определенный срок службы. Со временем он изнашивается и его характеристики ухудшаются. Физические системы со временем портятся, даже если простаивают. К примеру, если автомобилем не пользовались несколько лет, его аккумулятор скорее всего сядет, оборудование подвергнется коррозии и окислению, возможны повреждения грызунами или насекомыми-вредителями.

Но цифровой близнец со временем не изнашивается. Соответственно, в какой-то момент времени он перестанет соответствовать оригиналу и понадобится его синхронизация. К примеру, в металлической детали со временем могут появиться микротрещины, не отраженные в цифровом близнеце. Чтобы учесть подобные изменения, может потребоваться его переработка или перенастройка. Другими словами, состояние физического объекта в момент времени t+1 скорее всего будет отличаться от момента t, но цифровой близнец будет оставаться одинаковым и в t, и в t + 1, если в нем не предусмотрено динамическое обновление в соответствии с данными, поступающими от оригинала. Наличие доступа к точным отметкам времени для физического объекта и его цифрового близнеца — фактор доверия к последнему.

Окружающая среда

Цифровой близнец обязан иметь компонент, обеспечивающий отражение условий окружающей среды. Физический оригинал чаще всего сопровождается описанием допустимых условий окружающей среды и эксплуатации, что помимо прочего имеет значение для интероперабельности [3]. Пример — кирпичи, используемые для строительства здания, могут быть изготовлены из разных материалов. Какие-то из них разрушаются под нагрузкой быстрее других, какие-то лучше подходят для конкретных температурно-климатических условий, и эти сведения должны быть отражены в цифровом близнеце. Без такой информации будет сложно определить, соответствует ли объект целевому назначению. Непредвиденное влияние условий окружающей среды может пагубно воздействовать на критичные к безопасности системы. Пример — работа PowerPoint во время презентации, когда ведущий обычно лишь нажимает кнопки перелистывания страниц. Можно утверждать, что эксплуатационный профиль работы PowerPoint в это время двойной: загруженная презентация и ввод данных ведущим путем нажатия кнопок. Гладкость хода презентации является функцией всех входных данных, которые PowerPoint получает от диска, памяти и ОС в режиме реального времени. Если, к примеру, презентация зависает при переходе от слайда к слайду, причиной этого является непредвиденное влияние среды, скажем, другой процесс, выполняемый на компьютере в то же время и перетягивающий на себя системные ресурсы. Возможность точно определить максимально возможное количество параметров окружающей среды является фактором доверия.

Дефекты производства

Цифровые близнецы могут использоваться для контроля производственного процесса. Пример — у фабрики по производству лампочек есть определенная доля брака на тысячу единиц продукции. При этом лампочки без брака ненамного отличаются друг от друга, и эти различия могут влиять на срок службы конкретного изделия. На упаковке с лампочками присутствует указание их приблизительного срока службы. Цифровой близнец может не только описывать внутренние компоненты лампочки, но и предлагать рекомендации по ее изготовлению, если у цифровой репрезентации есть сведения о соответствующих характеристиках, таких как время до выгорания. Наличие функций, обеспечивающих выпуск изделий с расчетным сроком службы, является фактором доверия к цифровому близнецу.

Функциональная эквивалентность

Технологии, используемые для реализации цифрового близнеца, должны предусматривать возможность определить его функциональную эквивалентность оригиналу; без этого доверие к близнецу снижается. Если цифровой близнец представлен в виде исполняемой спецификации, то, получив определенные входные данные, он должен выдавать такие же выходные, как и физический объект с теми же данными на входе. Если это не так, значит, функциональной эквивалентности нет. Это может происходить по разным причинам, например, в связи с износом, производственными отклонениями или из-за влияния окружающей среды на физический объект. Без оценки уровня функциональной эквивалентности доверять цифровому близнецу невозможно. Для подтверждения функциональной эквивалентности можно применять методы верификации и валидации.

Компонуемость и сложность

Размер и сложность цифрового близнеца тоже являются факторами доверия к нему. Чересчур сложный цифровой близнец может создать проблему, связанную с компонуемостью, когда сложно прогнозировать степень доверия к финальной системе, состоящей более чем из одного близнеца. Допустим, у системы пять физических компонентов и у каждого есть свой цифровой близнец. Соединение самих компонентов может быть простым, в отличие от соединения близнецов, особенно если каждый содержит информацию о допустимых отклонениях и расчетных режимах эксплуатации. Для удаления лишней информации, содержащейся в цифровом близнеце, могут быть полезны стандарты, определяющие необходимые межсоединения компонентов составного близнеца, что позволит моделировать и тестировать его. Возможен подход, при котором информация делится на категории, например, «обязательное», «необходимые знания» и «излишнее».

Измерения и мониторинг

Контрольно-измерительные функции — возможность отображения эксплуатационных параметров на информационной панели — составляют одно из уникальных преимуществ цифрового близнеца. При этом таких функций может не быть у физического объекта-оригинала. Однако реализовать их для близнеца верным образом может быть непросто — для этого может пригодиться опыт разработки ПО, критичного к безопасности. Прежде всего нужно определить, какие конкретно компоненты требуют «зондов», зачастую это довольно сложная задача. Кроме того, нужно оценить, сколько всего нужно таких зондов, учитывая, что, как известно на опыте систем реального времени, они могут снижать производительность, из-за чего возможны проблемы синхронизации с физическим объектом. Негативное влияние можно уменьшить, если зонды будут собирать только сырые данные без внутренних расчетов, выполнения самопроверок и др. Сбор нужной информации при работе цифрового близнеца может быть ресурсоемким и подверженным ошибкам. Размещение зондов в реальных системах может влиять на их производительность, и это не всегда может быть отражено в близнеце. К тому же виртуальные зонды, размещенные в цифровом близнеце, вряд ли будут верно воспроизводить работу зондов в реальной системе.

Разнообразие стандартов

Из-за существования большого количества форматов цифровых близнецов могут возникать проблемы, связанные с компонуемостью. Если производители не согласуют стандарты, используемые для цифровых близнецов компонентов, возможна ситуация, когда не удастся построить из них составного близнеца. Соответственно, разнообразие стандартов — один из факторов доверия к составному цифровому близнецу.

Нефункциональные требования

Один из факторов доверия к цифровым близнецам, состоящим из большого числа компонентов, касается характеристик качества. Функциональные требования указывают, что должна делать система, негативные требования — чего не должна, а нефункциональные задают уровни качества выполнения первых и вторых. Эти требования применяются как к компонентам, так и к системе в целом. К числу нефункциональных требований относятся доступность, компонуемость, совместимость, безотказность, возможность обнаружения, долговечность, отказоустойчивость, гибкость, интероперабельность, возможность страхования, ответственность, ремонтопригодность, возможность наблюдения, приватность, производительность, переносимость, предсказуемость, вероятность отказа, удобочитаемость, надежность, сопротивляемость, достижимость, безопасность, масштабируемость, кибербезопасность, устойчивость, тестируемость, отслеживаемость, удобство использования, видимость и уязвимость [3]. В случае цифровых близнецов сложность в том, чтобы определить количество нефункциональных требований для функциональных и негативных и тем самым задать соответствующие уровни качества. От возможности указания нужных нефункциональных требований зависит степень доверия к составной системе.

Точность цифрового близнеца

Если точность цифрового близнеца под сомнением, очевидно, что доверие к нему падает. В мире ПО неверные спецификации приводят к ошибочному проекту и некорректной реализации. В случае цифрового близнеца степень его корректности является фактором доверия. В каких-то ситуациях можно рассмотреть вариант независимого создания нескольких цифровых близнецов для конкретного физического объекта. Существует концепция многоверсионного программирования, согласно которой для высококритичных систем создают несколько независимых реализаций ПО. Все они работают в параллельном режиме, и их выходные данные отправляются в систему голосования, которая выбирает из них те, что будут отправлены системе.

Тестируемость

Тестируемость цифрового близнеца — мера вероятности обнаружения ошибки или дефекта при тестировании. Системы, у которых такая вероятность меньше, считаются менее тестируемыми. Физические объекты являются тестируемыми в различной степени, но сегодня не определены методы тестирования цифровых близнецов, которые гарантированно покажут их корректность. Как вариант, можно проигнорировать этот фактор доверия и предположить, что цифровой близнец является нетестируемым и, соответственно, считается «золотым стандартом». Кроме того, при тестировании стоит учитывать не только расчетные сценарии применения, но и вероятные случаи злоупотребления.

Сертификация

Сертификация может происходить двумя способами — сертифицируется либо процесс разработки, либо его результат. В случае цифрового близнеца это значит, что можно сертифицировать процедуру его создания либо точность его самого. Такая сертификация будет непростой. К примеру, в фармацевтической индустрии жалуются на проблему информационной перегрузки. В инструкциях к большинству лекарств рецептурного отпуска приведены ограничения по полу, возрасту, заболеваниям и другим факторам, а также описания побочных эффектов и указания о том, в каких случаях следует прекратить прием. Эта информация предоставляется пациентам, врачам, фармацевтам и т. д. Проблема в том, что о каждом средстве уже имеется большое количество информации и в дальнейшем этот объем сведений будет только расти. Кроме того, большая часть информации понятна только медицинским специалистам, но при этом вся она важна для того, чтобы определить соответствие лекарства целевому назначению. В случае цифрового близнеца фактором доверия будет количество информации, которое можно предоставить без перегрузки пользователя лишними сведениями, которые приведут к недопониманию принципов работы с ним и, возможно, самого его назначения.

Распространение ошибок

Один из важнейших факторов доверия к любой составной системе — характер распространения ошибок и неверных данных при выполнении. Он играет особенно большую роль, когда объединяют несколько цифровых близнецов, представляющих разные физические объекты. Возможное решение — составление предусловий и постусловий, определяющих, подходят ли выходные данные одного цифрового близнеца в качестве входных для другого.

Фальсификация

Есть вероятность, что цифровой близнец может быть искажен или подделан. Для защиты определение цифрового близнеца можно подвергнуть хешированию, а значение хеша разместить на общедоступном сайте. Пользователи цифрового близнеца смогут выполнить хеширование своей копии и сравнить с опубликованным значением. Но общедоступные онлайн-ресурсы могут быть взломаны. Для укрепления доверия можно воспользоваться блокчейном — публиковать хеш определения цифрового близнеца в виде структуры данных, которую невозможно изменить. Как вариант, можно хранить идентичные копии определения цифрового близнеца и связанных данных в разных местах, например, в форме резервных копий, к которым нет доступа по сети.

***

Перечисленные факторы доверия применимы не только к цифровым близнецам, но и к любым виртуальным системам, так что им стоит уделять внимание во всех соответствующих случаях.

Литература

1. The definition of a digital twin, Digital Twin Consortium, 2022. https://www.digitaltwinconsortium.org/hot-topics/the-definition-of-a-digital-twin.htm

2. J. Voas, P. Mell, V. Piroumian. Considerations for digital twin technology and emerging standards. Nat. Inst. Standards Technol., Gaithersburg, MD, USA, NISTIR 8356, 2021. [Online]. Available: https://csrc.nist.gov/publications/detail/nistir/8356/draft

3. J. Voas. Software’ s secret sauce: The ‘-ilities’ [Software Quality] // IEEE Softw. 2004, vol. 21, no. 6, pp. 2–3. DOI: 10.1109/MS.2004.54/

Филип Лапланте (plaplante@psu.edu) – профессор, Университет штата Пенсильвания.

Phil Laplante, Trusting Digital Twins, IEEE Computer, July 2022, IEEE Computer Society. All rights reserved. Reprinted with permission.