张婷婷 王智学

体系(System-of-systems,SoS)也称为系统的系统[1−2],是一个分布式计算机集成系统组合,其特征是组成体系的单独系统操作和管理上是独立的,同时系统之间也是互相依赖的,成员系统的功能以及系统间相互依赖的关系形成体系层的能力.C4ISR系统[3−4],我军称为指挥信息系统,是一类由一组大规模、并发、分布式系统组成的复杂信息系统,其特征构成军事信息系统体系,从技术角度看就是以软件为核心的信息处理系统,是各类军事指挥机构实施指挥决策和作战部署的核心技术工具.这类系统的研制受自身结构以及生产、维修能力、经费预算等到多种因素的制约,在建设过程中呈现出渐进式发展的特点,系统内各组成元素存在着从无到有的形成,从不完整到完整的进化,以及从有到无的退化等一系列现象,建成以后以面临着由于技术的更新以及系统需要升级满足新版本的需求.因此,期望能够监控成员系统运行发展情况对整个体系能力的影响.

在体系演化过程中体系内部实体或节点可能发生性能下降或失败的情况,需要考虑更新、维修或通过选择其他体系结构来弥补整个SoS性能,体系的恢复力是应对失败情况的快速应对能力,是体系应对骚动使其产生最小影响的反应和恢复能力,使体系具有动态的稳定性.这需要考虑费用、时间周期以及最终能达到的性能水平等多种因素.对于体系的恢复力依赖于体系成员系统的可靠性,但是传统的可靠性分析并不能充分地量化C4ISR体系的可靠性.因为C4ISR通常是由不同类别的系统构成,比较分散,且地域分布广,如果设计传统的冗余系统不仅花费巨大而且不切实际.针对体系内某一系统失败,通过对其他的成员系统重新配置来弥补丢失的功能,定量评估这种新的结构对失败系统弥补达到的性能效果,从而使决策者从开发成本和风险出发找出最优的恢复力C4ISR体系结构,使C4ISR体系发展演化过程中具备应对失败的能力.

在选择再分配方案时需要考虑几个问题:1)成员系统失效,如何选择最优的方案弥补损失？2)更新后的系统结构如何恢复SoS的性能水平？3)方案的开发成本和风险评估.因此,需要在SoS性能水平和可靠性水平之间找出平衡点,从而帮助决策者识别最优恢复力的SoS体系结构.

为了实现上述目标需要做以下几方面的研究:

1)构建具有恢复力的使命体系能够快速升级和较低花费.

2)基于恢复力分析的系统描述.

3)分析系统间的相互依赖关系.

4)度量体系的恢复力.

1 C4ISR体系层次划分

构建体系的目的是完成使命任务,成员系统的故障不一定会造成整个体系的失败,而成员系统没有发生故障也不一定能够保证使命任务良好地完成.这说明,成员系统故障与体系功能的实现没有绝对的必然一一对应关系.判断SoS是否可靠,往往是据其功能实现情况来判断.

一个SoS是由n个系统构成,为了清晰描述SoS的构架,以SoS能力为视角,将SoS划分为3个层次,最低层是系统功能层,第2层是能力需求层,最高层为SoS能力层.在SoS能力层根据任务需求要求收集可以提供这些能力的系统集,而每个系统性能都来源于系统功能的聚集,最低层是每个系统能够实现的功能.总的来说,底层为上层提供聚合的能力.这种层次结构可以用复杂网络模型来进行表示,节点表示体系中的成员系统,节点之间的边表示节点之间的相互依赖关系,通过网络结节的聚合最终形成SoS层的能力.如图1所示.

图1 SoS的功能描述

例如为了实现目标识别使命,构建的SoS体系由人造卫星和无人驾驶飞机组成,地球同步人造卫星的功能是大面积长时间对地球拍照,无人驾驶飞机功能为观测敌方环境.多架无人驾驶飞机与人造卫星连接构成系统网络提供SoS层面的能力,使得SoS体系不仅能提供大区域监视功能,而且提供高清晰成像能力,是单一系统无法实现的.

2 C4ISR体系演化过程

由于SoS的发展通常不遵循DoDI 5000.02中的一般项目获取过程[5−6],随着环境和需求的不断变化,体系结构在不断地发展演化.为了描述体系的演化过程,本文采用Dahmann和Rebovich[5]提出的波模型作为基础,将C4ISR体系演化过程划分为6个阶段,图2描述SoS体系演化过程模型.

第1阶段,初始的SoS阶段.理解体系建设目标需求,构建SoS可以使用的资源以及受到的约束.此外,收集核心系统的信息用于支持SoS想得到的能力.第2阶段,引导SoS分析阶段.根据SoS的需求、工作指标、工作计划为SoS开发建立一个初始SoS基线结构.第3阶段,SoS体系结构发展和演化阶段.演化初始SoS基线,发展SoS体系结构.SoS体系结构包括单独的系统、SoS关键功能、互相依赖的系统.为了实现目标SoS体系结构,这个模型必须识别关键系统需要的接口和功能改变.第4阶段,计划SoS更新阶段.由于外部环境的改变,计划下一个SoS提升周期.SoS根据优先权、选择项和备用进行选择.第5阶段,实现SoS更新.根据现有SoS能力水平和系统的执行能力,建立一个新的SoS基线.这一步是一个阶段SoS更新结束,完成单独的系统更新与体系连接.第6阶段,下一波SoS演化分析.开始下阶段演化循环,为将来的SoS演化继续分析当前SoS结构.

3 C4ISR体系可靠性分析模型

传统的系统工程通过传统的可靠性模型应对系统的[7−9],比如在组件层加入冗余,在系统层定期维护设备.可靠性分析技术在系统设计时加入故障树和事件树用于判定冗余的层次和类型,发展技术维护计划用于减少系统层失败的可能性[9−10].但这些方法都不能满足演化发展的SoS体系的可靠性需求.除了体系固有的特性外,体系成员系统具有较高的相互依赖性会增加失败的风险,并通过体系的层次结构层层传播.所以,在设计体系结构时需要SoS具备恢复能力以应付SoS发展中的风险.但是我们发现对于上述例子,使命任务的关键需求是监视.在实际运行过程中,在人造卫星无法正常工作的情况下,人造卫星的维修期长,花费巨大.反应最快且花费最小的方案是使用无人驾驶飞机,无人驾驶飞机可以完成适当的监视功能,无需外援帮助使体系仍然具备完成使命任务的能力.

另外,给定一个SoS架构,一个简单系统功能失效并不能导致一个大的SoS体系完全失效,整个性能水平归零.然而,选择重新配置可以使最小化相关性能的丢失,这样在特定外部环境下,不用维修或更新这些失效的系统.失效系统的功能,通过选择其他系统重新配置也能完成同样的功能,即对这些系统组合重新分配任务或升级改造来实现失效的功能.因此,需要提前分析重新配置后SoS能力层的可靠性和性能水平,对两者进行有效的平衡,从而选择最优的新体系结构.本文通过插入冗余来改进体系可靠性,设体系层性能水平为Lop,可靠性水平为LoR,在花费和时间周期最小的情况下选择SoS重新配置的性能与可靠性最优,目标函数如下:

其中,SoS花费根据SoS演化发展过程面临的状况,分为3种情况:

1)完全的功能情况:初始阶段SoS架构系统正常运行,其成员系统的功能完全实现.SoS花费包括成员系统的运行成本.

2)系统损失情况:SoS成员系统一个或多个失效导致性能水平下降,SoS花费包括其他系统的运行成本和修补失效系统的费用.

3)重新分配任务状况:通过重新配置其他系统实现失效的功能,SoS的花费包括其他系统的运行成本和增加重新配置功能的系统运行成本.

体系的性能由多种要素决定,包括成员系统所构成的体系结构、系统的有效性、每个系统的性能以及每个系统能完成的功能等等.对体系每个能力进行可靠性分析,对于函数目标值需要定义取值范围.

期望值:SoS实现全部的能力,系统组合可以提供每个能力的最高的目标值.

可接受目标值:用于描述系统可提供的可接受的最小的性能水平.

4 实例论证

4.1 构建分层的C4ISR体系

为了完成使命任务“对敌方区域进行大面积侦查并消除敌方特定目标”,由4个系统构成1个C4ISR体系:地球同步人造卫星、3个UAV.地球同步人造卫星监视敌方区域,UAV-1是一个不携带武器的监视器,同步人造卫星与UAV-1实现目标识别.UAV-2和UAV-3携带基础照像机用于目标确认,并配备武器实现目标打击.地球同步人造卫星联合UAV-1、UAV-2和UAV-3的功能为C4ISR体系提供3个主要能力:1)区域监视;2)目标识别;3)目标打击,从而完成使命任务.由此看来SoS的能力是由系统提供的功能聚合而成.

4.2 C4ISR体系能力与系统功能映射

根据实际情况分析出地球同步人造卫星不易损坏或不轻易升级改造,而UAV可以为了提升其性能而进行升级改造,但出现问题的概率比人造卫星大,比如通信装配出现问题,成像像素过低需要升级等等.通过列表将各系统能提供的功能一一列出,并指出哪些系统可能会升级或是容易出现哪些问题,应对功能的影响度是多少.如表1所示.

4.3 C4ISR体系性能水平与可靠性水平度量

确定每个能力的性能水平和可靠性水平.根据SoS的需求,给系统分配任务,由系统提供功能,系统之间的相互连接为系统提供能力.设一个体系的能力为Ci,Ci由一组系统提供的功能实现,设功能组为Sfn,设S为可能的Sfn组合.为了简化问题这里将每个系统的功能实现分为两种情况,一种为全功能实现,另一种为0功能实现.体系能力的实现概率取决于系统的状况以及系统所能提供的功能决定.评估每个能力的性能水平Lop(Ci)公式如下:

体系的可靠性依赖于系统的可靠性.由于实际情况的多样化,可靠性更为复杂.比如运行系统的数目,系统之间合作度,系统内子系统的有效性等等.每一个系统的可靠性要参考以往运行情况的失败率信息,评估每个能力的可靠性水平Lop(Ci)式如下:

在系统运行过程中如果没有失效就选择初始的基于使命任务的SoS体系结构设计.当一个系统失效,其他一个或多个系统重新分配任务以实现缺失系统的功能.

4.4 系统失效的影响和插入冗余

分析结果如图3所示,横坐标为失效的系统,纵坐标为性能水平.首先体系初始阶段系统的性能水平最高,体系演化过程中,系统出现失效导致体系整体性能下降,通过对其他系统的重新配置使体系达到能接受的最低性能水平.比如,为了实现监视能力,在体系设计之初由人造卫星实现这个功能并能实现100%的监视功能,随着C4ISR发展,如果人造卫星失效了,UAV-1带有高清晰成像能力,能够提供55%的监视能力.如果系统升级改造UAV-1安装高像素照像装置,通过改进程序增加UAV-2的访问率,UAV-1和UAV-2联合代替人造卫星功能,从而为体系提供72.5%的监视能力,已能达到预期效果,这种方案比修理人造卫星周期短并且花费降低很多,能够快速应对人造卫星的失效,依然能完成使命任务.图3仅给出人造卫星失效的分析,同样对每一个系统如果出现失效提出应冗余结构并分析该结构能达到的某一能力的水平.然后结合花费和改造时间进行综合比对,以花费最小周期最短性能和可靠性最优为选择依据,找出最优的冗余结构.

图3 人造卫星系统失效的影响和插入冗余的性能分析

表1 系统提供功能映射

5 结论

根据SoS不断发展演化的特征,传统的体系结构设计已不能完全应对体系演化中的风险.由于体系层的能力来源于系统的功能,系统间的相互联系以及体系结构设计对体系层的能力会有影响,因此,体系内部某一系统失效插入冗余代替原有功能,为了使重新配置结构性能能够达到可接受的目标性能水平,这里包括升级改造现有系统,通过重新给其他系统分配任务并重新配置SoS的体系结构,通过性能水平恢复程度、资金花费以及改造时间等因素对插入冗余进行评估,从而得到最优的弥补方案.从而使体系在面临系统失败时,损失降到最低,使SoS可以应对体系发展带来的风险.