Источники подтверждения: физические и логические

Урок 2 · Исполнительные устройства: интерлоки, таймауты · 30 мин · theory

Введение: Анатомия подтверждения (Ack)

> 🔗 Связанный материал: Этот урок является прямым продолжением урока "Шаблон 'Команда -> Подтверждение (Ack) -> Таймаут'", где мы впервые рассмотрели эту фундаментальную концепцию. Убедитесь, что вы полностью понимаете основы этого шаблона, прежде чем продолжить.

В предыдущих уроках мы установили, что надежная система автоматизации не может работать по принципу "отправил и забыл". Отправка команды исполнительному устройству — это лишь половина дела. Чтобы система была по-настоящему отказоустойчивой, мы должны быть уверены, что команда не просто была отправлена, но и получена, понята и, самое главное, исполнена.

Для решения этой задачи мы используем шаблон "Команда -> Подтверждение (Ack) -> Таймаут". Его логика проста:

Отправляем Команду: Посылаем сигнал на включение насоса, открытие клапана или изменение уставки термостата.

Ожидаем Подтверждение (Ack): Ждем ответного сигнала, который говорит: "Команда исполнена успешно".

Запускаем Таймаут: Если подтверждение не приходит в течение заданного времени, мы считаем операцию неудавшейся и запускаем аварийный сценарий (повторная отправка, логирование ошибки, оповещение администратора).

Центральным элементом этой троицы является подтверждение (Acknowledgement, Ack). Это любой сигнал, который система может однозначно интерпретировать как ответ на отправленную команду. Однако не все подтверждения одинаково полезны. Источник и природа этого сигнала имеют критическое значение для надежности всей системы. Ошибка в выборе источника подтверждения может создать опасную иллюзию контроля, когда система уверена, будто все в порядке, хотя на самом деле физическое оборудование не реагирует.

В этом уроке мы разберем два фундаментальных типа подтверждений:

Физическое подтверждение: Сигнал, приходящий непосредственно от "железа", подтверждающий реальное изменение его состояния.

Логическое подтверждение: Сигнал от промежуточного программного или аппаратного обеспечения, подтверждающий лишь получение* команды, но не ее фактическое исполнение.

Понимание разницы между ними и умение выбрать правильный тип для каждой задачи — ключевой навык инженера по автоматизации, отделяющий по-настоящему надежные инсталляции от хрупких и непредсказуемых.

---

Физическое подтверждение: обратная связь от 'железа'

> 💡 Подсказка: Многие промышленные и полупромышленные устройства, особенно в сегментах Modbus, KNX и DALI, требуют явной настройки для отправки статусов обратной связи. Всегда изучайте документацию на устройство (datasheet) на предмет наличия "Status Objects", "Feedback Flags", "Holding Registers for Status" или аналогичных параметров. Их использование — признак профессионального подхода.

Физическое подтверждение (Physical Ack) — это сигнал обратной связи, источником которого является само конечное исполнительное устройство и который недвусмысленно свидетельствует о фактическом изменении его физического состояния. Это не просто ответ "я получил команду", а отчет "я выполнил команду, и мое новое состояние — Х".

Это "золотой стандарт" надежности в системах автоматизации. Когда вы получаете физическое подтверждение, вы можете быть уверены, что действие действительно произошло в реальном мире.

Примеры источников физического подтверждения:

Modbus: После отправки команды `Write Single Coil` (FC5) для включения реле, система через мгновение отправляет запрос `Read Coils` (FC1) на чтение состояния этого же реле. Если в ответе приходит `true`, это и есть физическое подтверждение.

MQTT (для устройств Tasmota/ESPHome): Устройство получает команду в топике `cmnd/device/POWER ON`. После физического щелчка реле* оно публикует свое новое состояние в топик `stat/device/POWER ON`. Именно сообщение в топике `stat/` является физическим подтверждением, но только если прошивка устройства гарантирует отправку статуса после, а не до попытки переключения.

DALI: После отправки команды `GO TO SCENE X`, контроллер может отправить широковещательный запрос `QUERY ACTUAL LEVEL` и получить от светильников их реальный уровень яркости.
"Сухой контакт" обратной связи: Некоторые приводы (например, шаровые краны с электроприводом) имеют дополнительные контакты, которые замыкаются только тогда, когда привод достигает конечного положения (полностью открыт или полностью закрыт). Подключение этих контактов к универсальным входам контроллера HI дает 100% достоверное физическое подтверждение.

| Преимущества | Недостатки |

| ------------------------------------------------- | --------------------------------------------------------------------------- |

| ✅ Максимальная достоверность: Гарантирует, что действие физически произошло. | ❌ Повышенная задержка: Требуется время на исполнение и дополнительный запрос/ответ. |

| ✅ Исключает рассинхронизацию: Состояние в системе всегда соответствует реальному. | ❌ Не все устройства поддерживают: Дешевые или простые устройства могут не предоставлять обратную связь. |

| ✅ Основа для надежных систем: Единственный способ построить по-настоящему безопасную логику (например, для защиты от протечек). | ❌ Дополнительный трафик: Создает нагрузку на шину (например, RS-485) или сеть. Для больших систем это требует проектирования. |

Использование физического подтверждения — это философия проектирования. Она требует от инженера не просто отправить команду, а продумать полный цикл: Команда -> Пауза на исполнение -> Запрос статуса -> Валидация статуса. Этот подход сложнее в реализации, но он является единственным путем к созданию систем, которым можно доверять.

---

Логическое подтверждение: ответ от промежуточного ПО

> ⚠️ Внимание: Полагаться исключительно на логические подтверждения для управления критическими системами (котлы, насосы, клапаны защиты от протечек, системы безопасности) — грубейшая ошибка проектирования. Такое подтверждение говорит лишь "я тебя услышал", а не "я это сделал". Оно создает высокий риск рассинхронизации состояния и может привести к серьезным последствиям.

Логическое подтверждение (Logical Ack) — это ответ от любого промежуточного звена в цепи передачи команды, который подтверждает ее получение, валидность или пересылку, но не ее фактическое физическое исполнение. Это своего рода "почтовое уведомление о доставке", которое не гарантирует, что получатель прочитал письмо и выполнил изложенные в нем инструкции.

Логические подтверждения очень распространены, потому что они быстрые и простые в реализации. Однако их природа делает их ненадежными для верификации конечного результата.

Примеры источников логического подтверждения:

Modbus RTU/TCP: Вы отправляете команду `Write Single Coil`. Slave-устройство, получив кадр, проверяет его CRC, адрес и валидность данных. Если все в порядке, оно отправляет обратно ответный кадр, подтверждающий успешный прием. Это происходит до или во время* физического переключения реле. Если само реле неисправно, вы все равно получите успешный логический Ack. MQTT QoS 1: Вы публикуете команду с QoS 1. Ваш контроллер HI получает подтверждение `PUBACK` от MQTT-брокера. Это означает лишь, что брокер* успешно принял сообщение. Это не дает никакой гарантии, что конечное Wi-Fi устройство (например, умная розетка) вообще находится в сети, получило это сообщение и исполнило его.

HTTP API: Вы отправляете POST-запрос на `/api/v1/lights/1/turn_on`. Сервер немедленно отвечает `200 OK` с телом `{"status": "command_sent"}`. Этот ответ генерируется веб-сервером или приложением на нем, которое лишь поставило задачу в очередь на исполнение. Фактическое исполнение произойдет позже и может завершиться ошибкой.

| Преимущества | Недостатки |

| ------------------------------------------------- | --------------------------------------------------------------------------- |

| ✅ Высокая скорость: Ответ генерируется почти мгновенно, не дожидаясь физического действия. | ❌ Не гарантирует исполнение: Главный и самый опасный недостаток. |

| ✅ Простота реализации: Часто является поведением по умолчанию для многих протоколов. | ❌ Риск рассинхронизации состояния: Система может считать, что устройство включено, хотя на самом деле это не так. |

| ✅ Полезно для проверки связи: Позволяет быстро проверить, доступен ли шлюз, контроллер или устройство на сетевом уровне. | ❌ Создает иллюзию контроля: Вводит в заблуждение, маскируя реальные проблемы с оборудованием. |

Логическое подтверждение не является абсолютным злом. Оно полезно для быстрой реакции пользовательского интерфейса (кнопка в приложении мгновенно меняет цвет на "включается...") или для диагностики проблем со связью. Но оно никогда не должно быть единственным и финальным подтверждением для сколько-нибудь важной операции.

---

Практика: Управление реле с физическим подтверждением по Modbus

Давайте на практическом примере реализуем надежный цикл управления насосом с использованием физического подтверждения. Мы будем использовать контроллер HI, который по шине RS-485 управляет внешним модулем реле Modbus.

Сценарий: Необходимо включить насос, подключенный к реле №3 на Modbus-модуле с ID=15. Реле №3 управляется через `Coil` с адресом `2`. Наша цель: Создать поток в Node-RED, который не просто отправит команду на включение, но и убедится, что реле действительно замкнулось. Архитектура потока:

[Inject: ON] --(1)--> [Function: Build Write Cmd] --(2)--> [Modbus-Write] --(3)--> [Trigger: 5s] --(4)--> [Function: Build Read Cmd] --(5)--> [Modbus-Getter]
                                                                        (reset)
                                                                           ^
                                                                           |
                                                                           +---------------------+
                                                                                                 |
                                      [Modbus-Getter] --(6)--> [Function: Validate Ack] --(7a)--> [Debug: Success]
                                                                    |
                                                                    +-------(7b)----------------> [Function: Error Handler]

(1-2): Пользователь инициирует включение, формируется Modbus-команда на запись.
(3): После отправки команды записи узел `Modbus-Write` передает сообщение дальше, запуская узел `Trigger`.
(4-5): `Trigger` ждет 5 секунд. Если за это время его не "сбросят", он отправит сообщение для запуска чтения состояния реле (на случай, если автоматическое чтение не предусмотрено). В нашем более продвинутом варианте, мы будем читать статус сразу.
(6): Узел `Modbus-Getter` читает фактическое состояние `Coil 2`.
(7a/7b): Узел `Function` проверяет результат. Если реле включено (`true`), это успех (физический Ack). Если нет — это ошибка.

Пошаговая реализация в Node-RED:

Шаг 1: Отправка команды записи

Создаем узел `Function` ("Build Write Cmd"), который формирует команду на включение. Он будет принимать на вход простое сообщение, например `{"command": "ON"}`.

// Конфигурация узла Modbus-Write
// FC: 5 (Force Single Coil)
// Address: 2
// Unit-ID: 15

// Код в узле "Build Write Cmd"
const desiredState = msg.payload.command === "ON";

// Сохраняем желаемое состояние в контекст потока
// чтобы потом сравнить с ним реальное состояние
flow.set("pump_desired_state", desiredState);
flow.set("pump_last_command_ts", Date.now());

// Формируем сообщение для узла Modbus-Write
msg.payload = desiredState; // true для ON, false для OFF

return msg;

Шаг 2: Инициация чтения для получения физического Ack

Сразу после узла `Modbus-Write` мы ставим узел `Function` ("Build Read Cmd"), который сформирует запрос на чтение состояния этого же Coil.

// Конфигурация узла Modbus-Getter
// FC: 1 (Read Coils)
// Address: 2
// Quantity: 1
// Unit-ID: 15

// Код в узле "Build Read Cmd"
// Этот узел просто передает "пустышку", чтобы инициировать
// опрос узлом Modbus-Getter. Никакой код не нужен,
// достаточно просто соединить выход Modbus-Write с входом
// этого узла, а его — с Modbus-Getter.
// Для большей надежности можно добавить небольшую задержку (Delay)
// в 100-200 мс между Write и Read, чтобы дать реле время сработать.

return msg;

Шаг 3: Валидация физического подтверждения

Это самый важный шаг. Узел `Modbus-Getter` вернет нам реальное состояние реле. Мы должны сравнить его с тем, что мы хотели получить.

Входящее сообщение от `Modbus-Getter` будет выглядеть примерно так:

{
  "payload": {
    "data": [ true ],
    "buffer": ""
  },
  "topic": "read_pump_status",
  "...": "..."
}

Код для узла `Function` ("Validate Ack"):

// Получаем желаемое состояние, которое мы сохранили ранее
const desiredState = flow.get("pump_desired_state");
// Получаем фактическое состояние из ответа Modbus
const actualState = msg.payload.data[0];

// 1. Проверяем соответствие
if (actualState === desiredState) {
    // УСПЕХ! Физическое подтверждение получено.
    node.status({fill:"green", shape:"dot", text:"OK: Состояние подтверждено " + actualState});

    // Очищаем таймаут и переменные
    flow.set("pump_desired_state", null);

    // Формируем сообщение об успехе по контракту
    msg.payload = {
        status: "success",
        state: actualState ? "ON" : "OFF",
        source: "modbus-relay-15-2",
        ts: Date.now()
    };
    return msg; // Отправляем на выход 1 (успех)

} else {
    // ОШИБКА! Рассинхронизация состояния.
    const lastCmdTs = flow.get("pump_last_command_ts");
    const errorMsg = `Сбой подтверждения: хотели ${desiredState}, получили ${actualState}`;

    node.status({fill:"red", shape:"dot", text: errorMsg});

    // Формируем подробное сообщение об ошибке для узла Catch
    // и дальнейшей обработки (логирование, оповещение).
    node.error(errorMsg, { 
        original_payload: msg.payload,
        error_details: {
            desired: desiredState,
            actual: actualState,
            unitId: 15,
            address: 2,
            command_ts: lastCmdTs
        }
    });

    return null; // Останавливаем поток здесь, ошибка уже отправлена
}

Этот поток реализует надежный цикл управления. Он не просто командует, а проверяет исполнение, что является ключевым принципом промышленной автоматизации.

---

Пример: 'Ловушка' логического подтверждения с MQTT

Рассмотрим классический сценарий из мира "умного дома", который наглядно демонстрирует опасность слепого доверия логическим подтверждениям.

Участники:

Контроллер HI: Сердце системы, работает на Node-RED.
Wi-Fi выключатель: Недорогое устройство на базе чипа ESP8266 с популярной прошивкой Tasmota, управляет освещением на кухне.
Пользовательский интерфейс: Планшет на стене с дашбордом.

Нормальный ход событий:

Пользователь нажимает на иконку "Свет на кухне" в интерфейсе.

Контроллер HI публикует MQTT-сообщение в топик `cmnd/tasmota_kitchen/POWER` с `payload` = `ON`.

Wi-Fi выключатель получает это сообщение.

Прошивка Tasmota немедленно публикует ответное сообщение в "статусный" топик `stat/tasmota_kitchen/RESULT` с `payload` = `{"POWER":"ON"}`. Это логический Ack.

Контроллер HI видит это сообщение, и дашборд на планшете тут же меняет иконку на "включено". Пользователь доволен мгновенной реакцией.

Сразу после отправки статуса, Tasmota подает напряжение на GPIO, к которому подключено реле.

Реле щелкает, свет на кухне загорается. Все счастливы.

Что происходит при сбое:

Теперь представим, что физическое реле на плате Wi-Fi выключателя "залипло" или сгорело. Цепь управления светом разорвана.

Шаги 1-5 выполняются точно так же, как и в нормальном сценарии. Пользователь нажимает кнопку, контроллер отправляет команду, Tasmota получает ее и мгновенно отправляет логическое подтверждение `{"POWER":"ON"}`. Дашборд уверенно показывает, что свет включен.

Шаг 6: Tasmota пытается подать напряжение на GPIO.

Шаг 7 (сбой): Реле неисправно. Оно не щелкает. Свет на кухне не загорается.

Результат — рассинхронизация состояния:

Система автоматизации (контроллер, интерфейс) уверена, что свет включен. Она может даже запустить связанные сценарии, например, "если свет на кухне горит больше часа, отправить напоминание". Но в реальном мире в комнате темно. Пользователь видит на планшете одно, а глазами — другое. Доверие к системе падает.

Как этого избежать с помощью физического Ack?

Правильно настроенная прошивка Tasmota (или ESPHome) может отправлять отдельное сообщение в топик `tele/tasmota_kitchen/STATE` через заданные интервалы времени ИЛИ по факту изменения состояния. Более надежный подход — это иметь отдельное устройство, например, датчик освещенности, подключенный ко входу контроллера HI, который и будет являться источником настоящего физического подтверждения. В этом случае логика будет такой:

`Команда ON -> Ожидаем msg от датчика освещенности > 10 lux -> Если пришло — успех, если нет за 5 сек — ошибка`.

Этот пример наглядно показывает, что логический Ack, хоть и обеспечивает прекрасную скорость реакции интерфейса, является хрупкой основой для принятия решений в системе.

---

Заключение: Выбор правильной стратегии подтверждения

> 💡 Подсказка: Заведите хорошую привычку: в проектной документации для каждого интегрируемого устройства явно указывайте, какой тип подтверждения (физический или логический) используется для его управления и мониторинга. Это значительно упростит будущую диагностику и модернизацию системы.

Мы разобрали два кардинально разных подхода к получению обратной связи от системы. Выбор между ними — это не вопрос вкуса, а фундаментальное проектное решение, определяющее уровень надежности всей инсталляции.

Ключевые выводы:

Физическое подтверждение — это отчет о фактическом результате. Оно медленнее, но является единственным источником правды о состоянии оборудования.
Логическое подтверждение — это отчет о намерении или о доставке команды. Оно быстрое, но не дает никаких гарантий исполнения.

Золотое правило инженера по автоматизации: Всегда отдавайте предпочтение физическому подтверждению, если оно технически доступно. Для любых критически важных систем (безопасность, управление климатом, водоснабжение, дорогостоящее оборудование) использование физического Ack является обязательным. Когда допустимо использовать логический Ack?

Для некритичных функций: Управление декоративной подсветкой, воспроизведение музыки. Если команда не выполнится, ничего страшного не произойдет.

Для улучшения UX: Как мы видели в примере с MQTT, быстрый логический Ack можно использовать для мгновенной реакции интерфейса, чтобы пользователь не думал, что система "тормозит".

При отсутствии альтернатив: Если устройство в принципе не способно предоставить обратную связь о своем состоянии. В этом случае необходимо осознавать риски и, возможно, предусмотреть другие способы контроля (например, косвенный — по потреблению тока).

Стандарт проектирования Академии HI: Гибридный подход

Для достижения баланса между отзывчивостью интерфейса и надежностью системы мы рекомендуем применять гибридный подход:

Отправка команды: Контроллер отправляет команду устройству (например, `cmnd/.../POWER ON`).

Мгновенный логический Ack: Система может использовать быстрый ответ (например, `stat/.../RESULT`) для немедленного обновления интерфейса, переводя элемент в состояние "выполняется..." или "ожидание...".

Ожидание физического Ack: Параллельно запускается основной таймер, который ждет настоящего физического подтверждения (чтение Modbus-регистра, сообщение от датчика, статусный `tele/.../STATE`).

Финальная верификация:

* Если физический Ack приходит вовремя, состояние элемента в интерфейсе меняется на финальное "включено".

* Если по истечении таймаута физический Ack так и не пришел, система регистрирует ошибку, отправляет оповещение и переводит элемент в интерфейсе в состояние "ошибка" или возвращает в исходное.

Этот подход сочетает лучшее из двух миров: пользователь получает быструю реакцию, а система в своей core-логике оперирует только достоверными, проверенными данными.

Что дальше?

Теперь, когда вы понимаете разницу между источниками подтверждений и знаете, как реализовать надежный цикл проверки на практике, в следующем уроке мы сделаем следующий логический шаг: инкапсулируем эту логику в переиспользуемый компонент (субпоток), чтобы вы могли применять ее для управления десятками устройств, не дублируя код.