復(fù)雜系統(tǒng)任務(wù)可靠性分析的EOOPN模型

吳昕陽(yáng)， 武小悅

（國(guó)防科技大學(xué) 信息系統(tǒng)與管理學(xué)院，湖南 長(zhǎng)沙410073）

復(fù)雜系統(tǒng)的任務(wù)可靠性是指系統(tǒng)在執(zhí)行系統(tǒng)任務(wù)時(shí)，在規(guī)定任務(wù)剖面內(nèi)完成規(guī)定任務(wù)的能力。目前，復(fù)雜系統(tǒng)任務(wù)可靠性建模分析方法主要有以下3類(lèi)：①基于狀態(tài)空間的方法，主要是基于Markov模型的方法［1］。該方法在分析復(fù)雜系統(tǒng)時(shí)，會(huì)面臨空間爆炸的問(wèn)題。②基于組合模型的方法主要包括二元決策圖（binary decision diagram，BDD）、可靠性框圖（reliability block diagram，RBD）和故障樹(shù)（fault tree，F(xiàn)T）模型［2－3］。其缺點(diǎn)是難以考慮任務(wù)單元的維修活動(dòng)。③仿真方法。它能夠避免上述問(wèn)題，但是存在建模過(guò)程難以規(guī)范化，仿真計(jì)算量大的問(wèn)題。

面向 對(duì) 象 的Petri網(wǎng)（object oriented Petri net，OOPN）在一定程度上降低了模型復(fù)雜性，已被廣泛應(yīng)用于各種復(fù)雜系統(tǒng)的可靠性建模［4－5］。OOPN模型的基本思想是將系統(tǒng)映射為相互協(xié)作的對(duì)象，并對(duì)各個(gè)對(duì)象的行為以及對(duì)象之間的通信關(guān)系進(jìn)行建模。但是，現(xiàn)有的OOPN模型由于其元素有限、結(jié)構(gòu)關(guān)系相對(duì)簡(jiǎn)單，在復(fù)雜系統(tǒng)可靠性建模時(shí)依然存在一些不足。包括：①多為2層次模型［6－7］，隨著系統(tǒng)組成部件的增多，仍面臨狀態(tài)空間爆炸的可能；②僅使用單一類(lèi)型的變遷［8］，難以直觀(guān)地描述復(fù)雜的邏輯關(guān)系，不利于模型的重用和模型結(jié)構(gòu)的相對(duì)獨(dú)立。

針對(duì)組成復(fù)雜系統(tǒng)子系統(tǒng)或部件多、呈現(xiàn)層次性和邏輯關(guān)系類(lèi)型多的特點(diǎn)，本文提出了一種擴(kuò)展的面向?qū)ο蟮腜etri網(wǎng)模型（EOOPN），它將系統(tǒng)定義為可以嵌套子網(wǎng)的多層次網(wǎng)絡(luò)結(jié)構(gòu)。子網(wǎng)間通過(guò)消息進(jìn)行通信與協(xié)作。子網(wǎng)類(lèi)似于OOPN，但區(qū)別于OOPN，使用擴(kuò)展的著色Petri網(wǎng)表示單個(gè)系統(tǒng)內(nèi)部的行為。EOOPN引入了邏輯門(mén)變遷的概念，用來(lái)直觀(guān)描述各個(gè)子系統(tǒng)之間的邏輯關(guān)系。它借鑒了分層著色Petri網(wǎng)模型中替代變遷（refined transition）的思想［9］，定義了可以擴(kuò)展的邏輯門(mén)變遷。為了簡(jiǎn)化復(fù)雜系統(tǒng)的Petri網(wǎng)結(jié)構(gòu)，EOOPN模型引入了廣播庫(kù)所，用來(lái)解決一個(gè)單元同時(shí)向大量單元傳遞信息的問(wèn)題，可以大大簡(jiǎn)化Petri網(wǎng)的拓?fù)浣Y(jié)構(gòu)。此外，EOOPN模型還引入了狀態(tài)子網(wǎng)，用來(lái)解決子網(wǎng)中存在相同模塊的問(wèn)題。

本文給出了EOOPN模型的形式化定義，以假想的一個(gè)反導(dǎo)系統(tǒng)（missile defense system）為示例，驗(yàn)證了EOOPN模型在復(fù)雜系統(tǒng)任務(wù)可靠性分析中的應(yīng)用。

1 EOOPN模型

1.1 EOOPN模型的定義

定義2 一個(gè)著色Petri網(wǎng)是個(gè)7元組（P，T，F(xiàn)，C，Pre，Post，M0）：其 中P是 庫(kù) 所 集；T是變遷集；F?（P×T）∪（T×P）是弧的集合；C是顏色函數(shù)，C＝C（P）∪C（T）；Pre和Post分別是C（T）→μC（P）的輸入輸出函數(shù)。M0是初始標(biāo)記，M0∈μC（P），μC（P）是C（P）上的多重集［10］。

定義3 擴(kuò)展的分層著色Petri網(wǎng)是由著色Petri網(wǎng)經(jīng)擴(kuò)展得到的：①定義邏輯門(mén)變遷，與變遷作用相似（見(jiàn)表1）。②定義令牌顏色為類(lèi)（class），每種顏色可以有相應(yīng)的屬性和操作。③每一條弧都有一個(gè)多重集表達(dá)式，輸入弧的表達(dá)式規(guī)定變遷輸入庫(kù)所的顏色令牌狀態(tài)，輸出弧的表達(dá)式表示變遷輸出的令牌狀態(tài)。④定義I／O庫(kù)所MP，MP＝IMPUOMP，其中IMP是子網(wǎng)的輸入端口庫(kù)所集，OMP是子網(wǎng)的輸出端口庫(kù)所集；端口庫(kù)所出現(xiàn)且只能出現(xiàn)在子網(wǎng)邊界上。其功能及符號(hào)與普通庫(kù)所相同，在圖上用符號(hào)○表示。⑤定義廣播庫(kù)所GP。GP存儲(chǔ)消息令牌，用來(lái)向多個(gè)子網(wǎng)（子網(wǎng)庫(kù)所）同步傳遞信息，傳遞時(shí)不消耗令牌。此外，規(guī)定GP僅可儲(chǔ)存一個(gè)消息令牌，當(dāng)有新的令牌到達(dá)時(shí)，將自動(dòng)拋棄原有的消息令牌，在圖上用符號(hào)?表示。⑥每個(gè)變遷（含邏輯門(mén)變遷）都有一個(gè)表示變遷授權(quán)后激發(fā)前隨機(jī)延時(shí)的時(shí)間分布函數(shù)；每個(gè)變遷（含邏輯門(mén)變遷）的每種顏色都賦予一個(gè)表示變遷優(yōu)先權(quán)的屬性。

表1 邏輯門(mén)變遷與擴(kuò)展的邏輯門(mén)變遷

1.2 EOOPN的變遷規(guī)則

定義4 EOOPN的變遷在某顏色下的授權(quán)條件：①符合邏輯門(mén)變遷規(guī)定的條件；②邏輯門(mén)變遷指定的各庫(kù)所中的各色令牌數(shù)滿(mǎn)足由流關(guān)系規(guī)定的數(shù)目。

定義5 門(mén)變遷規(guī)則。當(dāng)邏輯門(mén)在某顏色下被授權(quán)時(shí)，經(jīng)隨機(jī)延時(shí)（由分布函數(shù)確定），依輸入弧上標(biāo)記的規(guī)定數(shù)目，從門(mén)的觸發(fā)庫(kù)所移去對(duì)應(yīng)顏色的令牌，在各輸出庫(kù)所放入相應(yīng)的令牌。

定義6 當(dāng)有多個(gè)變遷同時(shí)激發(fā)發(fā)生沖突時(shí)，EOOPN沖突消解策略是：①當(dāng)某個(gè)庫(kù)所中令牌數(shù)目多于變遷激發(fā)所需數(shù)目時(shí)，依其令牌的優(yōu)先級(jí)取走相應(yīng)的令牌；②當(dāng)有多個(gè)變遷授權(quán)模式時(shí)，依優(yōu)先權(quán)決定變遷授權(quán)模式的優(yōu)先次序。

1.3 建模分析流程

使用EOOPN模型分析復(fù)雜系統(tǒng)的可靠性問(wèn)題時(shí)，其處理流程為：①分析復(fù)雜系統(tǒng)構(gòu)成與任務(wù)流程，根據(jù)系統(tǒng)任務(wù)分析子系統(tǒng)間的任務(wù)相關(guān)關(guān)系，建立系統(tǒng)的任務(wù)流程；②建立系統(tǒng)的頂層子網(wǎng)，頂層子網(wǎng)中使用子網(wǎng)表示子系統(tǒng)，使用邏輯門(mén)變遷和弧表示子網(wǎng)間的任務(wù)相關(guān)關(guān)系及信息交互；③建立子系統(tǒng)的狀態(tài)子網(wǎng)，在系統(tǒng)的任務(wù)可靠性建模中，狀態(tài)子網(wǎng)主要是用來(lái)反映子系統(tǒng)的故障、修復(fù)等狀態(tài)，該子網(wǎng)可以被所有子系統(tǒng)共用，降低模型復(fù)雜度；④建立各子系統(tǒng)的任務(wù)執(zhí)行子網(wǎng)，該子網(wǎng)主要用來(lái)反映子系統(tǒng)內(nèi)部的信息流交互關(guān)系，子網(wǎng)間的信息交互則通過(guò)端口庫(kù)所及廣播庫(kù)所來(lái)實(shí)現(xiàn)；⑤仿真運(yùn)行，在前4個(gè)步驟建立的模型基礎(chǔ)上，按照客觀(guān)事實(shí)，初始化模型，開(kāi)始仿真；⑥結(jié)果分析，得出結(jié)論。

2 反導(dǎo)系統(tǒng)任務(wù)可靠性模型

復(fù)雜系統(tǒng)具有以下特點(diǎn)：存在大量相互關(guān)聯(lián)的子系統(tǒng)及部件；大量不同的任務(wù)需要并發(fā)執(zhí)行；組成部件的可靠性受許多不確定性因素的影響；子系統(tǒng)及部件分為不同的層次，其邏輯關(guān)系復(fù)雜且隨時(shí)間變化。這些特點(diǎn)造成了復(fù)雜系統(tǒng)任務(wù)可靠性建模與分析的困難。

反導(dǎo)系統(tǒng)是一個(gè)典型的復(fù)雜系統(tǒng)，主要用于探測(cè)、跟蹤、攔截并摧毀正在高速飛行的彈道導(dǎo)彈彈頭，使彈頭失去進(jìn)攻能力［11］。韓朝超等［12］使用著色Petri網(wǎng)建立了聯(lián)合反導(dǎo)作戰(zhàn)模型，但該模型缺乏層次性、模塊化等特點(diǎn)。下面，以一個(gè)假想的反導(dǎo)系統(tǒng)為示例，說(shuō)明用EOOPN建立任務(wù)可靠性模型的流程。

2.1 系統(tǒng)構(gòu)成及作戰(zhàn)流程建模

反導(dǎo)系統(tǒng)的作戰(zhàn)流程如圖1所示，該反導(dǎo)系統(tǒng)配備有1顆預(yù)警衛(wèi)星（EWS），1部預(yù)警雷達(dá)（EWR），1顆中繼衛(wèi)星（RS），3部X－波 段 雷 達(dá)（X－R），1個(gè)戰(zhàn)場(chǎng)管理中心（BM／C3），3種地基攔截彈（GBI），圖1中的虛線(xiàn)表示通信鏈路。

圖1 反導(dǎo)系統(tǒng)的作戰(zhàn)流程

系統(tǒng)的作戰(zhàn)過(guò)程可以分為7個(gè)階段：①EWS獲取預(yù)警信息并傳回；②根據(jù)傳回?cái)?shù)據(jù)，進(jìn)行信息預(yù)處理，判斷是否為真實(shí)危險(xiǎn)信息，若不是則放棄；③若是真實(shí)危險(xiǎn)信息，啟動(dòng)EWR進(jìn)一步跟蹤；④EWR獲取更詳細(xì)的預(yù)警信息并傳回；⑤啟動(dòng)X－R對(duì)目標(biāo)持續(xù)跟蹤，在合適的距離發(fā)射GBI進(jìn)行攔截；⑥再次啟動(dòng)X－R在相應(yīng)空域檢測(cè)是否攔截成功，若成功，則完成任務(wù)；⑦若不成功，返回階段⑤。根據(jù)前述介紹，可將反導(dǎo)系統(tǒng)劃分為幾個(gè)相對(duì)獨(dú)立的子系統(tǒng)：EWS系統(tǒng)（s1）、RS系統(tǒng)（s2）、BM／C3（s3）、EWR系統(tǒng)（s4）、X－R系統(tǒng)（s5）、火力系統(tǒng)（s6）、任務(wù)評(píng)估系統(tǒng)（s7）。根據(jù)系統(tǒng)的作戰(zhàn)過(guò)程，確定系統(tǒng)信息交互關(guān)系，建立如圖2所示的反導(dǎo)系統(tǒng)任務(wù)可靠性模型。

圖2 反導(dǎo)系統(tǒng)任務(wù)可靠性模型

在圖2中，s9為敵方系統(tǒng)。當(dāng)s9發(fā)射導(dǎo)彈且EWS處于正常工作狀態(tài)時(shí)，將在EWS發(fā)現(xiàn)目標(biāo)時(shí)，由邏輯門(mén)變遷ADR1產(chǎn)生導(dǎo)彈信息；中繼衛(wèi)星（s2）接受預(yù)警消息并傳遞到戰(zhàn)場(chǎng)管理中心（s3）；s3接收來(lái)自s2的消息。若為s1傳來(lái)的預(yù)警信息，s3發(fā)送進(jìn)一步預(yù)警命令經(jīng)s2至預(yù)警雷達(dá)（s4），s4開(kāi)始跟蹤目標(biāo)，穩(wěn)定后將進(jìn)一步預(yù)警信息經(jīng)s2傳遞到s3；若為s4傳來(lái)的預(yù)警信息，s3發(fā)送跟蹤命令經(jīng)s2至X波段雷達(dá)（s5），s5開(kāi)始跟蹤，并將跟蹤信息經(jīng)s2傳遞到s3，s3處理后發(fā)送攔截命令至火力系統(tǒng)（s6），s6將發(fā)射GBI攔截，并將攔截信息傳至s7進(jìn)行攔截任務(wù)分析，s7將評(píng)估信息傳回s3，判斷是否需要再次攔截。

2.2 系統(tǒng)的狀態(tài)子網(wǎng)模型圖

圖3為系統(tǒng)狀態(tài)子網(wǎng)模型，是公用子網(wǎng)。

圖3 系統(tǒng)狀態(tài)子網(wǎng)模型

圖3中，p1存儲(chǔ)系統(tǒng)正常待用令牌，當(dāng)輸入信息庫(kù)所含有處理請(qǐng)求令牌時(shí)，ADR1授權(quán)，系統(tǒng)進(jìn)入被占用狀態(tài)并廣播被占用信息；此時(shí)當(dāng)p5監(jiān)聽(tīng)到處理完畢信息時(shí)，系統(tǒng)資源被釋放并廣播系統(tǒng)空閑信息；若系統(tǒng)處在占用狀態(tài)時(shí)，系統(tǒng)連續(xù)工作時(shí)間到達(dá)平均故障間隔時(shí)間時(shí)，t1授權(quán)，系統(tǒng)進(jìn)入故障狀態(tài)并廣播故障信息；t2為修復(fù)工作，修復(fù)后的系統(tǒng)被輸入到p1中并廣播修復(fù)待用信息。

2.3 子系統(tǒng)的任務(wù)執(zhí)行網(wǎng)模型

對(duì)于上述各子系統(tǒng)，可以分別建立其任務(wù)執(zhí)行子網(wǎng)。由于篇幅限制，本文僅以圖2中的中繼衛(wèi)星（s2）、戰(zhàn)場(chǎng)管理中心（s3）為例，論述其建模流程，如圖4所示。

圖4 子系統(tǒng)狀態(tài)模型任務(wù)執(zhí)行網(wǎng)模型

圖4（a）中，當(dāng)任意一個(gè)輸入端口庫(kù)所含有消息令牌時(shí)，ODR授權(quán)，并發(fā)送處理請(qǐng)求消息至p1。b1監(jiān)聽(tīng)系統(tǒng)狀態(tài)信息，當(dāng)系統(tǒng)狀態(tài)為待用，ADR1授權(quán)，啟動(dòng)SR通信任務(wù)。p2表示系統(tǒng)處于處理狀態(tài)。

處理過(guò)程中，若b1監(jiān)聽(tīng)到系統(tǒng)故障信息時(shí)，ADR2授權(quán)，處理任務(wù)失敗，直至b1監(jiān)聽(tīng)到系統(tǒng)修復(fù)待用信息時(shí)，任務(wù)可以再次啟動(dòng)；若b1沒(méi)有監(jiān)聽(tīng)到系統(tǒng)故障信息，t1授權(quán)，發(fā)送處理信息到s3，并由b2廣播處理完畢信息。

同理，圖4（b）中，當(dāng)任意一個(gè)輸入端口庫(kù)所含有消息令牌時(shí)，ODR被授權(quán)，并發(fā)送處理請(qǐng)求消息至p1。b1監(jiān)聽(tīng)系統(tǒng)狀態(tài)信息，若系統(tǒng)狀態(tài)為待用時(shí)，ADR1授權(quán)，啟動(dòng)BM／C3處理任務(wù)，p2表示系統(tǒng)處于處理狀態(tài)。

處理過(guò)程中，若b1監(jiān)聽(tīng)到系統(tǒng)故障信息時(shí)，ADR2授權(quán)，處理任務(wù)失敗，直至b1監(jiān)聽(tīng)到系統(tǒng)修復(fù)待用信息，任務(wù)可以再次啟動(dòng)；若b1沒(méi)有監(jiān)聽(tīng)到系統(tǒng)故障信息，t1授權(quán)，發(fā)送處理信息到s2，并由b3廣播處理完畢信息。

圖4中廣播庫(kù)所廣播的處理失敗信息將在任務(wù)評(píng)估系統(tǒng)中被記錄，便于分析任務(wù)可靠性和部件靈敏度。此外，還可根據(jù)仿真結(jié)果進(jìn)行可靠性預(yù)計(jì)及可靠性分配，提升反導(dǎo)系統(tǒng)成功率。

3 結(jié) 束 語(yǔ)

本文提出了一種基于OOPN的EOOPN模型，引入了子網(wǎng)、狀態(tài)子網(wǎng)等模塊表示概念及邏輯門(mén)變遷、廣播庫(kù)所等更直觀(guān)化的元素，具有良好的模塊性、層次性、可重用性及可維護(hù)性，旨在為復(fù)雜系統(tǒng)的任務(wù)可靠性建模與仿真分析提供一種有效的方法。在本文研究的基礎(chǔ)上，筆者將進(jìn)行EOOPN模型的規(guī)范化描述及建模仿真平臺(tái)的設(shè)計(jì)開(kāi)發(fā)研究。

（

）

［1］郭波，武小悅.系統(tǒng)可靠性分析［M］.長(zhǎng)沙：國(guó)防科技大學(xué)出版社，2002：38－45.

［2］XING Liudong，AMARI S V.Reliability of phased－mission systems［C］／／MISRA K B.Handbook of Performability Engineering.London：Springer－Verlag，2008，349－368.

［3］武小悅，陳忠貴.柔性制造系統(tǒng)的可靠性技術(shù)［M］.北京：兵器工業(yè)出版社，2000：217－241.

［4］張濤，武小悅，譚躍進(jìn).Petri網(wǎng)在系統(tǒng)可靠性分析中的應(yīng)用［J］.電子產(chǎn)品可靠性與實(shí)驗(yàn)環(huán)境，2003，26（1）：60－65.

［5］張友生，李雄.基于Petri網(wǎng)的軟件體系結(jié)構(gòu)可靠性分析［J］.計(jì)算機(jī)工程與應(yīng)用，2006，42（25）：69－73.

［6］HUANG Chunche，LIANG Wenyau.Object－oriented development of the embedded system based on Petri－nets［J］.Computer Standards ＆Interfaces，2004，26（3）：187－203.

［7］劉敬，姜建國(guó).面向?qū)ο笾玃etri網(wǎng)的板級(jí)電子產(chǎn)品擬實(shí)制造系統(tǒng)［J］.計(jì)算機(jī)工程，2004，30（23）：153－155.

［8］武小悅，沙基昌.柔性制造系統(tǒng)可靠性分析的GOOPN模型［J］.計(jì)算機(jī)集成制造系統(tǒng)，2000，6（2）：65－69.

［9］趙強(qiáng)，周林，陳維，等.基于分層著色Petri網(wǎng)的地空導(dǎo)彈裝備維修建模［J］.航空計(jì)算技術(shù)，2008，38（6）：28－31.

［10］ISO／IEC 15909－1：Software and system engineering－h(huán)igh level Petri nets，part 1：concepts，definitions and graphical notation［EB／OL］.［2012－07－24］.http：／／www.iso.org／iso／iso＿catalogue／catalogue＿tc／catalogue.detail.htm？csnumber＝38225.

［11］羅小明.彈道導(dǎo)彈攻防對(duì)抗的建模與仿真［M］.北京：國(guó)防工業(yè)出版社，2009：1－4.

［12］韓朝超，黃樹(shù)彩.基于著色Petri網(wǎng)的聯(lián)合反導(dǎo)作戰(zhàn)系統(tǒng)建模［J］.計(jì)算機(jī)工程與應(yīng)用，2011，47（6）：235－238.