吳昕陽， 武小悅

（國防科技大學 信息系統(tǒng)與管理學院，湖南 長沙410073）

復雜系統(tǒng)的任務(wù)可靠性是指系統(tǒng)在執(zhí)行系統(tǒng)任務(wù)時，在規(guī)定任務(wù)剖面內(nèi)完成規(guī)定任務(wù)的能力。目前，復雜系統(tǒng)任務(wù)可靠性建模分析方法主要有以下3類：①基于狀態(tài)空間的方法，主要是基于Markov模型的方法［1］。該方法在分析復雜系統(tǒng)時，會面臨空間爆炸的問題。②基于組合模型的方法主要包括二元決策圖（binary decision diagram，BDD）、可靠性框圖（reliability block diagram，RBD）和故障樹（fault tree，F(xiàn)T）模型［2－3］。其缺點是難以考慮任務(wù)單元的維修活動。③仿真方法。它能夠避免上述問題，但是存在建模過程難以規(guī)范化，仿真計算量大的問題。

面向 對 象 的Petri網(wǎng)（object oriented Petri net，OOPN）在一定程度上降低了模型復雜性，已被廣泛應(yīng)用于各種復雜系統(tǒng)的可靠性建模［4－5］。OOPN模型的基本思想是將系統(tǒng)映射為相互協(xié)作的對象，并對各個對象的行為以及對象之間的通信關(guān)系進行建模。但是，現(xiàn)有的OOPN模型由于其元素有限、結(jié)構(gòu)關(guān)系相對簡單，在復雜系統(tǒng)可靠性建模時依然存在一些不足。包括：①多為2層次模型［6－7］，隨著系統(tǒng)組成部件的增多，仍面臨狀態(tài)空間爆炸的可能；②僅使用單一類型的變遷［8］，難以直觀地描述復雜的邏輯關(guān)系，不利于模型的重用和模型結(jié)構(gòu)的相對獨立。

針對組成復雜系統(tǒng)子系統(tǒng)或部件多、呈現(xiàn)層次性和邏輯關(guān)系類型多的特點，本文提出了一種擴展的面向?qū)ο蟮腜etri網(wǎng)模型（EOOPN），它將系統(tǒng)定義為可以嵌套子網(wǎng)的多層次網(wǎng)絡(luò)結(jié)構(gòu)。子網(wǎng)間通過消息進行通信與協(xié)作。子網(wǎng)類似于OOPN，但區(qū)別于OOPN，使用擴展的著色Petri網(wǎng)表示單個系統(tǒng)內(nèi)部的行為。EOOPN引入了邏輯門變遷的概念，用來直觀描述各個子系統(tǒng)之間的邏輯關(guān)系。它借鑒了分層著色Petri網(wǎng)模型中替代變遷（refined transition）的思想［9］，定義了可以擴展的邏輯門變遷。為了簡化復雜系統(tǒng)的Petri網(wǎng)結(jié)構(gòu)，EOOPN模型引入了廣播庫所，用來解決一個單元同時向大量單元傳遞信息的問題，可以大大簡化Petri網(wǎng)的拓撲結(jié)構(gòu)。此外，EOOPN模型還引入了狀態(tài)子網(wǎng)，用來解決子網(wǎng)中存在相同模塊的問題。

本文給出了EOOPN模型的形式化定義，以假想的一個反導系統(tǒng)（missile defense system）為示例，驗證了EOOPN模型在復雜系統(tǒng)任務(wù)可靠性分析中的應(yīng)用。

1 EOOPN模型

1.1 EOOPN模型的定義

定義2 一個著色Petri網(wǎng)是個7元組（P，T，F(xiàn)，C，Pre，Post，M0）：其 中P是 庫 所 集；T是變遷集；F?（P×T）∪（T×P）是弧的集合；C是顏色函數(shù)，C＝C（P）∪C（T）；Pre和Post分別是C（T）→μC（P）的輸入輸出函數(shù)。M0是初始標記，M0∈μC（P），μC（P）是C（P）上的多重集［10］。

定義3 擴展的分層著色Petri網(wǎng)是由著色Petri網(wǎng)經(jīng)擴展得到的：①定義邏輯門變遷，與變遷作用相似（見表1）。②定義令牌顏色為類（class），每種顏色可以有相應(yīng)的屬性和操作。③每一條弧都有一個多重集表達式，輸入弧的表達式規(guī)定變遷輸入庫所的顏色令牌狀態(tài)，輸出弧的表達式表示變遷輸出的令牌狀態(tài)。④定義I／O庫所MP，MP＝IMPUOMP，其中IMP是子網(wǎng)的輸入端口庫所集，OMP是子網(wǎng)的輸出端口庫所集；端口庫所出現(xiàn)且只能出現(xiàn)在子網(wǎng)邊界上。其功能及符號與普通庫所相同，在圖上用符號○表示。⑤定義廣播庫所GP。GP存儲消息令牌，用來向多個子網(wǎng)（子網(wǎng)庫所）同步傳遞信息，傳遞時不消耗令牌。此外，規(guī)定GP僅可儲存一個消息令牌，當有新的令牌到達時，將自動拋棄原有的消息令牌，在圖上用符號?表示。⑥每個變遷（含邏輯門變遷）都有一個表示變遷授權(quán)后激發(fā)前隨機延時的時間分布函數(shù)；每個變遷（含邏輯門變遷）的每種顏色都賦予一個表示變遷優(yōu)先權(quán)的屬性。

表1 邏輯門變遷與擴展的邏輯門變遷

1.2 EOOPN的變遷規(guī)則

定義4 EOOPN的變遷在某顏色下的授權(quán)條件：①符合邏輯門變遷規(guī)定的條件；②邏輯門變遷指定的各庫所中的各色令牌數(shù)滿足由流關(guān)系規(guī)定的數(shù)目。

定義5 門變遷規(guī)則。當邏輯門在某顏色下被授權(quán)時，經(jīng)隨機延時（由分布函數(shù)確定），依輸入弧上標記的規(guī)定數(shù)目，從門的觸發(fā)庫所移去對應(yīng)顏色的令牌，在各輸出庫所放入相應(yīng)的令牌。

定義6 當有多個變遷同時激發(fā)發(fā)生沖突時，EOOPN沖突消解策略是：①當某個庫所中令牌數(shù)目多于變遷激發(fā)所需數(shù)目時，依其令牌的優(yōu)先級取走相應(yīng)的令牌；②當有多個變遷授權(quán)模式時，依優(yōu)先權(quán)決定變遷授權(quán)模式的優(yōu)先次序。

1.3 建模分析流程

使用EOOPN模型分析復雜系統(tǒng)的可靠性問題時，其處理流程為：①分析復雜系統(tǒng)構(gòu)成與任務(wù)流程，根據(jù)系統(tǒng)任務(wù)分析子系統(tǒng)間的任務(wù)相關(guān)關(guān)系，建立系統(tǒng)的任務(wù)流程；②建立系統(tǒng)的頂層子網(wǎng)，頂層子網(wǎng)中使用子網(wǎng)表示子系統(tǒng)，使用邏輯門變遷和弧表示子網(wǎng)間的任務(wù)相關(guān)關(guān)系及信息交互；③建立子系統(tǒng)的狀態(tài)子網(wǎng)，在系統(tǒng)的任務(wù)可靠性建模中，狀態(tài)子網(wǎng)主要是用來反映子系統(tǒng)的故障、修復等狀態(tài)，該子網(wǎng)可以被所有子系統(tǒng)共用，降低模型復雜度；④建立各子系統(tǒng)的任務(wù)執(zhí)行子網(wǎng)，該子網(wǎng)主要用來反映子系統(tǒng)內(nèi)部的信息流交互關(guān)系，子網(wǎng)間的信息交互則通過端口庫所及廣播庫所來實現(xiàn)；⑤仿真運行，在前4個步驟建立的模型基礎(chǔ)上，按照客觀事實，初始化模型，開始仿真；⑥結(jié)果分析，得出結(jié)論。

2 反導系統(tǒng)任務(wù)可靠性模型

復雜系統(tǒng)具有以下特點：存在大量相互關(guān)聯(lián)的子系統(tǒng)及部件；大量不同的任務(wù)需要并發(fā)執(zhí)行；組成部件的可靠性受許多不確定性因素的影響；子系統(tǒng)及部件分為不同的層次，其邏輯關(guān)系復雜且隨時間變化。這些特點造成了復雜系統(tǒng)任務(wù)可靠性建模與分析的困難。

反導系統(tǒng)是一個典型的復雜系統(tǒng)，主要用于探測、跟蹤、攔截并摧毀正在高速飛行的彈道導彈彈頭，使彈頭失去進攻能力［11］。韓朝超等［12］使用著色Petri網(wǎng)建立了聯(lián)合反導作戰(zhàn)模型，但該模型缺乏層次性、模塊化等特點。下面，以一個假想的反導系統(tǒng)為示例，說明用EOOPN建立任務(wù)可靠性模型的流程。

2.1 系統(tǒng)構(gòu)成及作戰(zhàn)流程建模

反導系統(tǒng)的作戰(zhàn)流程如圖1所示，該反導系統(tǒng)配備有1顆預警衛(wèi)星（EWS），1部預警雷達（EWR），1顆中繼衛(wèi)星（RS），3部X－波 段 雷 達（X－R），1個戰(zhàn)場管理中心（BM／C3），3種地基攔截彈（GBI），圖1中的虛線表示通信鏈路。

圖1 反導系統(tǒng)的作戰(zhàn)流程

系統(tǒng)的作戰(zhàn)過程可以分為7個階段：①EWS獲取預警信息并傳回；②根據(jù)傳回數(shù)據(jù)，進行信息預處理，判斷是否為真實危險信息，若不是則放棄；③若是真實危險信息，啟動EWR進一步跟蹤；④EWR獲取更詳細的預警信息并傳回；⑤啟動X－R對目標持續(xù)跟蹤，在合適的距離發(fā)射GBI進行攔截；⑥再次啟動X－R在相應(yīng)空域檢測是否攔截成功，若成功，則完成任務(wù)；⑦若不成功，返回階段⑤。根據(jù)前述介紹，可將反導系統(tǒng)劃分為幾個相對獨立的子系統(tǒng)：EWS系統(tǒng)（s1）、RS系統(tǒng)（s2）、BM／C3（s3）、EWR系統(tǒng)（s4）、X－R系統(tǒng)（s5）、火力系統(tǒng)（s6）、任務(wù)評估系統(tǒng)（s7）。根據(jù)系統(tǒng)的作戰(zhàn)過程，確定系統(tǒng)信息交互關(guān)系，建立如圖2所示的反導系統(tǒng)任務(wù)可靠性模型。

圖2 反導系統(tǒng)任務(wù)可靠性模型

在圖2中，s9為敵方系統(tǒng)。當s9發(fā)射導彈且EWS處于正常工作狀態(tài)時，將在EWS發(fā)現(xiàn)目標時，由邏輯門變遷ADR1產(chǎn)生導彈信息；中繼衛(wèi)星（s2）接受預警消息并傳遞到戰(zhàn)場管理中心（s3）；s3接收來自s2的消息。若為s1傳來的預警信息，s3發(fā)送進一步預警命令經(jīng)s2至預警雷達（s4），s4開始跟蹤目標，穩(wěn)定后將進一步預警信息經(jīng)s2傳遞到s3；若為s4傳來的預警信息，s3發(fā)送跟蹤命令經(jīng)s2至X波段雷達（s5），s5開始跟蹤，并將跟蹤信息經(jīng)s2傳遞到s3，s3處理后發(fā)送攔截命令至火力系統(tǒng)（s6），s6將發(fā)射GBI攔截，并將攔截信息傳至s7進行攔截任務(wù)分析，s7將評估信息傳回s3，判斷是否需要再次攔截。

2.2 系統(tǒng)的狀態(tài)子網(wǎng)模型圖

圖3為系統(tǒng)狀態(tài)子網(wǎng)模型，是公用子網(wǎng)。

圖3 系統(tǒng)狀態(tài)子網(wǎng)模型

圖3中，p1存儲系統(tǒng)正常待用令牌，當輸入信息庫所含有處理請求令牌時，ADR1授權(quán)，系統(tǒng)進入被占用狀態(tài)并廣播被占用信息；此時當p5監(jiān)聽到處理完畢信息時，系統(tǒng)資源被釋放并廣播系統(tǒng)空閑信息；若系統(tǒng)處在占用狀態(tài)時，系統(tǒng)連續(xù)工作時間到達平均故障間隔時間時，t1授權(quán)，系統(tǒng)進入故障狀態(tài)并廣播故障信息；t2為修復工作，修復后的系統(tǒng)被輸入到p1中并廣播修復待用信息。

2.3 子系統(tǒng)的任務(wù)執(zhí)行網(wǎng)模型

對于上述各子系統(tǒng)，可以分別建立其任務(wù)執(zhí)行子網(wǎng)。由于篇幅限制，本文僅以圖2中的中繼衛(wèi)星（s2）、戰(zhàn)場管理中心（s3）為例，論述其建模流程，如圖4所示。

圖4 子系統(tǒng)狀態(tài)模型任務(wù)執(zhí)行網(wǎng)模型

圖4（a）中，當任意一個輸入端口庫所含有消息令牌時，ODR授權(quán)，并發(fā)送處理請求消息至p1。b1監(jiān)聽系統(tǒng)狀態(tài)信息，當系統(tǒng)狀態(tài)為待用，ADR1授權(quán)，啟動SR通信任務(wù)。p2表示系統(tǒng)處于處理狀態(tài)。

處理過程中，若b1監(jiān)聽到系統(tǒng)故障信息時，ADR2授權(quán)，處理任務(wù)失敗，直至b1監(jiān)聽到系統(tǒng)修復待用信息時，任務(wù)可以再次啟動；若b1沒有監(jiān)聽到系統(tǒng)故障信息，t1授權(quán)，發(fā)送處理信息到s3，并由b2廣播處理完畢信息。

同理，圖4（b）中，當任意一個輸入端口庫所含有消息令牌時，ODR被授權(quán)，并發(fā)送處理請求消息至p1。b1監(jiān)聽系統(tǒng)狀態(tài)信息，若系統(tǒng)狀態(tài)為待用時，ADR1授權(quán)，啟動BM／C3處理任務(wù)，p2表示系統(tǒng)處于處理狀態(tài)。

處理過程中，若b1監(jiān)聽到系統(tǒng)故障信息時，ADR2授權(quán)，處理任務(wù)失敗，直至b1監(jiān)聽到系統(tǒng)修復待用信息，任務(wù)可以再次啟動；若b1沒有監(jiān)聽到系統(tǒng)故障信息，t1授權(quán)，發(fā)送處理信息到s2，并由b3廣播處理完畢信息。

圖4中廣播庫所廣播的處理失敗信息將在任務(wù)評估系統(tǒng)中被記錄，便于分析任務(wù)可靠性和部件靈敏度。此外，還可根據(jù)仿真結(jié)果進行可靠性預計及可靠性分配，提升反導系統(tǒng)成功率。

3 結(jié) 束 語

本文提出了一種基于OOPN的EOOPN模型，引入了子網(wǎng)、狀態(tài)子網(wǎng)等模塊表示概念及邏輯門變遷、廣播庫所等更直觀化的元素，具有良好的模塊性、層次性、可重用性及可維護性，旨在為復雜系統(tǒng)的任務(wù)可靠性建模與仿真分析提供一種有效的方法。在本文研究的基礎(chǔ)上，筆者將進行EOOPN模型的規(guī)范化描述及建模仿真平臺的設(shè)計開發(fā)研究。

（

）

［1］郭波，武小悅.系統(tǒng)可靠性分析［M］.長沙：國防科技大學出版社，2002：38－45.

［2］XING Liudong，AMARI S V.Reliability of phased－mission systems［C］／／MISRA K B.Handbook of Performability Engineering.London：Springer－Verlag，2008，349－368.

［3］武小悅，陳忠貴.柔性制造系統(tǒng)的可靠性技術(shù)［M］.北京：兵器工業(yè)出版社，2000：217－241.

［4］張濤，武小悅，譚躍進.Petri網(wǎng)在系統(tǒng)可靠性分析中的應(yīng)用［J］.電子產(chǎn)品可靠性與實驗環(huán)境，2003，26（1）：60－65.

［5］張友生，李雄.基于Petri網(wǎng)的軟件體系結(jié)構(gòu)可靠性分析［J］.計算機工程與應(yīng)用，2006，42（25）：69－73.

［6］HUANG Chunche，LIANG Wenyau.Object－oriented development of the embedded system based on Petri－nets［J］.Computer Standards ＆Interfaces，2004，26（3）：187－203.

［7］劉敬，姜建國.面向?qū)ο笾玃etri網(wǎng)的板級電子產(chǎn)品擬實制造系統(tǒng)［J］.計算機工程，2004，30（23）：153－155.

［8］武小悅，沙基昌.柔性制造系統(tǒng)可靠性分析的GOOPN模型［J］.計算機集成制造系統(tǒng)，2000，6（2）：65－69.

［9］趙強，周林，陳維，等.基于分層著色Petri網(wǎng)的地空導彈裝備維修建模［J］.航空計算技術(shù)，2008，38（6）：28－31.

［10］ISO／IEC 15909－1：Software and system engineering－h(huán)igh level Petri nets，part 1：concepts，definitions and graphical notation［EB／OL］.［2012－07－24］.http：／／www.iso.org／iso／iso＿catalogue／catalogue＿tc／catalogue.detail.htm？csnumber＝38225.

［11］羅小明.彈道導彈攻防對抗的建模與仿真［M］.北京：國防工業(yè)出版社，2009：1－4.

［12］韓朝超，黃樹彩.基于著色Petri網(wǎng)的聯(lián)合反導作戰(zhàn)系統(tǒng)建模［J］.計算機工程與應(yīng)用，2011，47（6）：235－238.