复杂系统任务可靠性分析的EOOPN模型

吴昕阳， 武小悦

（国防科技大学 信息系统与管理学院，湖南 长沙410073）

复杂系统的任务可靠性是指系统在执行系统任务时，在规定任务剖面内完成规定任务的能力。目前，复杂系统任务可靠性建模分析方法主要有以下3类：①基于状态空间的方法，主要是基于Markov模型的方法［1］。该方法在分析复杂系统时，会面临空间爆炸的问题。②基于组合模型的方法主要包括二元决策图（binary decision diagram，BDD）、可靠性框图（reliability block diagram，RBD）和故障树（fault tree，FT）模型［2－3］。其缺点是难以考虑任务单元的维修活动。③仿真方法。它能够避免上述问题，但是存在建模过程难以规范化，仿真计算量大的问题。

面向 对 象 的Petri网（object oriented Petri net，OOPN）在一定程度上降低了模型复杂性，已被广泛应用于各种复杂系统的可靠性建模［4－5］。OOPN模型的基本思想是将系统映射为相互协作的对象，并对各个对象的行为以及对象之间的通信关系进行建模。但是，现有的OOPN模型由于其元素有限、结构关系相对简单，在复杂系统可靠性建模时依然存在一些不足。包括：①多为2层次模型［6－7］，随着系统组成部件的增多，仍面临状态空间爆炸的可能；②仅使用单一类型的变迁［8］，难以直观地描述复杂的逻辑关系，不利于模型的重用和模型结构的相对独立。

针对组成复杂系统子系统或部件多、呈现层次性和逻辑关系类型多的特点，本文提出了一种扩展的面向对象的Petri网模型（EOOPN），它将系统定义为可以嵌套子网的多层次网络结构。子网间通过消息进行通信与协作。子网类似于OOPN，但区别于OOPN，使用扩展的着色Petri网表示单个系统内部的行为。EOOPN引入了逻辑门变迁的概念，用来直观描述各个子系统之间的逻辑关系。它借鉴了分层着色Petri网模型中替代变迁（refined transition）的思想［9］，定义了可以扩展的逻辑门变迁。为了简化复杂系统的Petri网结构，EOOPN模型引入了广播库所，用来解决一个单元同时向大量单元传递信息的问题，可以大大简化Petri网的拓扑结构。此外，EOOPN模型还引入了状态子网，用来解决子网中存在相同模块的问题。

本文给出了EOOPN模型的形式化定义，以假想的一个反导系统（missile defense system）为示例，验证了EOOPN模型在复杂系统任务可靠性分析中的应用。

1 EOOPN模型

1.1 EOOPN模型的定义

定义2 一个着色Petri网是个7元组（P，T，F，C，Pre，Post，M0）：其 中P是 库 所 集；T是变迁集；F⊆（P×T）∪（T×P）是弧的集合；C是颜色函数，C＝C（P）∪C（T）；Pre和Post分别是C（T）→μC（P）的输入输出函数。M0是初始标记，M0∈μC（P），μC（P）是C（P）上的多重集［10］。

定义3 扩展的分层着色Petri网是由着色Petri网经扩展得到的：①定义逻辑门变迁，与变迁作用相似（见表1）。②定义令牌颜色为类（class），每种颜色可以有相应的属性和操作。③每一条弧都有一个多重集表达式，输入弧的表达式规定变迁输入库所的颜色令牌状态，输出弧的表达式表示变迁输出的令牌状态。④定义I／O库所MP，MP＝IMPUOMP，其中IMP是子网的输入端口库所集，OMP是子网的输出端口库所集；端口库所出现且只能出现在子网边界上。其功能及符号与普通库所相同，在图上用符号○表示。⑤定义广播库所GP。GP存储消息令牌，用来向多个子网（子网库所）同步传递信息，传递时不消耗令牌。此外，规定GP仅可储存一个消息令牌，当有新的令牌到达时，将自动抛弃原有的消息令牌，在图上用符号⊗表示。⑥每个变迁（含逻辑门变迁）都有一个表示变迁授权后激发前随机延时的时间分布函数；每个变迁（含逻辑门变迁）的每种颜色都赋予一个表示变迁优先权的属性。

表1 逻辑门变迁与扩展的逻辑门变迁

1.2 EOOPN的变迁规则

定义4 EOOPN的变迁在某颜色下的授权条件：①符合逻辑门变迁规定的条件；②逻辑门变迁指定的各库所中的各色令牌数满足由流关系规定的数目。

定义5 门变迁规则。当逻辑门在某颜色下被授权时，经随机延时（由分布函数确定），依输入弧上标记的规定数目，从门的触发库所移去对应颜色的令牌，在各输出库所放入相应的令牌。

定义6 当有多个变迁同时激发发生冲突时，EOOPN冲突消解策略是：①当某个库所中令牌数目多于变迁激发所需数目时，依其令牌的优先级取走相应的令牌；②当有多个变迁授权模式时，依优先权决定变迁授权模式的优先次序。

1.3 建模分析流程

使用EOOPN模型分析复杂系统的可靠性问题时，其处理流程为：①分析复杂系统构成与任务流程，根据系统任务分析子系统间的任务相关关系，建立系统的任务流程；②建立系统的顶层子网，顶层子网中使用子网表示子系统，使用逻辑门变迁和弧表示子网间的任务相关关系及信息交互；③建立子系统的状态子网，在系统的任务可靠性建模中，状态子网主要是用来反映子系统的故障、修复等状态，该子网可以被所有子系统共用，降低模型复杂度；④建立各子系统的任务执行子网，该子网主要用来反映子系统内部的信息流交互关系，子网间的信息交互则通过端口库所及广播库所来实现；⑤仿真运行，在前4个步骤建立的模型基础上，按照客观事实，初始化模型，开始仿真；⑥结果分析，得出结论。

2 反导系统任务可靠性模型

复杂系统具有以下特点：存在大量相互关联的子系统及部件；大量不同的任务需要并发执行；组成部件的可靠性受许多不确定性因素的影响；子系统及部件分为不同的层次，其逻辑关系复杂且随时间变化。这些特点造成了复杂系统任务可靠性建模与分析的困难。

反导系统是一个典型的复杂系统，主要用于探测、跟踪、拦截并摧毁正在高速飞行的弹道导弹弹头，使弹头失去进攻能力［11］。韩朝超等［12］使用着色Petri网建立了联合反导作战模型，但该模型缺乏层次性、模块化等特点。下面，以一个假想的反导系统为示例，说明用EOOPN建立任务可靠性模型的流程。

2.1 系统构成及作战流程建模

反导系统的作战流程如图1所示，该反导系统配备有1颗预警卫星（EWS），1部预警雷达（EWR），1颗中继卫星（RS），3部X－波 段 雷 达（X－R），1个战场管理中心（BM／C3），3种地基拦截弹（GBI），图1中的虚线表示通信链路。

图1 反导系统的作战流程

系统的作战过程可以分为7个阶段：①EWS获取预警信息并传回；②根据传回数据，进行信息预处理，判断是否为真实危险信息，若不是则放弃；③若是真实危险信息，启动EWR进一步跟踪；④EWR获取更详细的预警信息并传回；⑤启动X－R对目标持续跟踪，在合适的距离发射GBI进行拦截；⑥再次启动X－R在相应空域检测是否拦截成功，若成功，则完成任务；⑦若不成功，返回阶段⑤。根据前述介绍，可将反导系统划分为几个相对独立的子系统：EWS系统（s1）、RS系统（s2）、BM／C3（s3）、EWR系统（s4）、X－R系统（s5）、火力系统（s6）、任务评估系统（s7）。根据系统的作战过程，确定系统信息交互关系，建立如图2所示的反导系统任务可靠性模型。

图2 反导系统任务可靠性模型

在图2中，s9为敌方系统。当s9发射导弹且EWS处于正常工作状态时，将在EWS发现目标时，由逻辑门变迁ADR1产生导弹信息；中继卫星（s2）接受预警消息并传递到战场管理中心（s3）；s3接收来自s2的消息。若为s1传来的预警信息，s3发送进一步预警命令经s2至预警雷达（s4），s4开始跟踪目标，稳定后将进一步预警信息经s2传递到s3；若为s4传来的预警信息，s3发送跟踪命令经s2至X波段雷达（s5），s5开始跟踪，并将跟踪信息经s2传递到s3，s3处理后发送拦截命令至火力系统（s6），s6将发射GBI拦截，并将拦截信息传至s7进行拦截任务分析，s7将评估信息传回s3，判断是否需要再次拦截。

2.2 系统的状态子网模型图

图3为系统状态子网模型，是公用子网。

图3 系统状态子网模型

图3中，p1存储系统正常待用令牌，当输入信息库所含有处理请求令牌时，ADR1授权，系统进入被占用状态并广播被占用信息；此时当p5监听到处理完毕信息时，系统资源被释放并广播系统空闲信息；若系统处在占用状态时，系统连续工作时间到达平均故障间隔时间时，t1授权，系统进入故障状态并广播故障信息；t2为修复工作，修复后的系统被输入到p1中并广播修复待用信息。

2.3 子系统的任务执行网模型

对于上述各子系统，可以分别建立其任务执行子网。由于篇幅限制，本文仅以图2中的中继卫星（s2）、战场管理中心（s3）为例，论述其建模流程，如图4所示。

图4 子系统状态模型任务执行网模型

图4（a）中，当任意一个输入端口库所含有消息令牌时，ODR授权，并发送处理请求消息至p1。b1监听系统状态信息，当系统状态为待用，ADR1授权，启动SR通信任务。p2表示系统处于处理状态。

处理过程中，若b1监听到系统故障信息时，ADR2授权，处理任务失败，直至b1监听到系统修复待用信息时，任务可以再次启动；若b1没有监听到系统故障信息，t1授权，发送处理信息到s3，并由b2广播处理完毕信息。

同理，图4（b）中，当任意一个输入端口库所含有消息令牌时，ODR被授权，并发送处理请求消息至p1。b1监听系统状态信息，若系统状态为待用时，ADR1授权，启动BM／C3处理任务，p2表示系统处于处理状态。

处理过程中，若b1监听到系统故障信息时，ADR2授权，处理任务失败，直至b1监听到系统修复待用信息，任务可以再次启动；若b1没有监听到系统故障信息，t1授权，发送处理信息到s2，并由b3广播处理完毕信息。

图4中广播库所广播的处理失败信息将在任务评估系统中被记录，便于分析任务可靠性和部件灵敏度。此外，还可根据仿真结果进行可靠性预计及可靠性分配，提升反导系统成功率。

3 结 束 语

本文提出了一种基于OOPN的EOOPN模型，引入了子网、状态子网等模块表示概念及逻辑门变迁、广播库所等更直观化的元素，具有良好的模块性、层次性、可重用性及可维护性，旨在为复杂系统的任务可靠性建模与仿真分析提供一种有效的方法。在本文研究的基础上，笔者将进行EOOPN模型的规范化描述及建模仿真平台的设计开发研究。

（

）

［1］郭波，武小悦.系统可靠性分析［M］.长沙：国防科技大学出版社，2002：38－45.

［2］XING Liudong，AMARI S V.Reliability of phased－mission systems［C］／／MISRA K B.Handbook of Performability Engineering.London：Springer－Verlag，2008，349－368.

［3］武小悦，陈忠贵.柔性制造系统的可靠性技术［M］.北京：兵器工业出版社，2000：217－241.

［4］张涛，武小悦，谭跃进.Petri网在系统可靠性分析中的应用［J］.电子产品可靠性与实验环境，2003，26（1）：60－65.

［5］张友生，李雄.基于Petri网的软件体系结构可靠性分析［J］.计算机工程与应用，2006，42（25）：69－73.

［6］HUANG Chunche，LIANG Wenyau.Object－oriented development of the embedded system based on Petri－nets［J］.Computer Standards ＆Interfaces，2004，26（3）：187－203.

［7］刘敬，姜建国.面向对象着色Petri网的板级电子产品拟实制造系统［J］.计算机工程，2004，30（23）：153－155.

［8］武小悦，沙基昌.柔性制造系统可靠性分析的GOOPN模型［J］.计算机集成制造系统，2000，6（2）：65－69.

［9］赵强，周林，陈维，等.基于分层着色Petri网的地空导弹装备维修建模［J］.航空计算技术，2008，38（6）：28－31.

［10］ISO／IEC 15909－1：Software and system engineering－high level Petri nets，part 1：concepts，definitions and graphical notation［EB／OL］.［2012－07－24］.http：／／www.iso.org／iso／iso＿catalogue／catalogue＿tc／catalogue.detail.htm？csnumber＝38225.

［11］罗小明.弹道导弹攻防对抗的建模与仿真［M］.北京：国防工业出版社，2009：1－4.

［12］韩朝超，黄树彩.基于着色Petri网的联合反导作战系统建模［J］.计算机工程与应用，2011，47（6）：235－238.