基于多视图建模的武器装备系统安全性分析
2022-04-24聂兆伟陈志伟马晓东徐诚
聂兆伟,陈志伟,马晓东,徐诚
(1. 南京理工大学 机械学院,江苏,南京 210094;2. 中国运载火箭技术研究院,北京 100076;3. 西北工业大学 无人系统技术研究院,陕西,西安 710072)
未来战争充斥着高新技术装备间的全面抗衡.战争涉及的作战地域、作战时域、作战样式、作战原则、作战方法、作战环境将具有极大的不确定性. 而武器装备系统是一个包括典型装备、人员、工具、备件等资源以及维修、供应、储存、训练、战备等活动的复杂系统,其危险物质密集、人机交互复杂,在任务过程中给作战人员带来了极大的安全隐患[1-4]. 武器装备系统的任务剖面环节多,耦合关系复杂,任务形式多样,实战化需求高,传统的以任务框图法表示的任务剖面模型已无法满足现代化、实战化的作战需求. 为了评估和提升武器装备的安全性,必须对装备的作战任务剖面进行有效建模.
多视图建模从不同角度对系统或剖面进行描述,它是复杂系统建模的典型策略之一,可很好描述系统中各方面的信息及其关联. 目前,应用多视图理论是对体系结构和任务过程进行建模的典型方法[5-6],最早是在第四届软件工程国际会议中由Mullery 提出并应用于软件系统的需求分析当中. 包括Zachman 和美国国防部体系结构框架(department of defense architecture framework,DoDAF)等众多体系结构框架都是以多视图作为其核心的方法论[7-8]. STOLZ[9]利用多视图建模方法在软件领域提出了一个潜在的可重排序模型转换的概念,它可以帮助开发人员完成设计过程,并跟踪不同建模步骤的语义依赖性.LAMSWEERDE[10]为模型驱动的工程构建工程多视图模型,模型集成了正在开发系统的目标、结构、功能和行为. 曹哲豪等[11]应用多视图建模方法,建立舰船装备保障系统的装备、资源、组织、过程、任务5类视图,然后分析各个视图之间的逻辑与关联关系,最后研究实现对舰船装备保障系统进行分析与优化.周永华等[12]根据智能交通系统的设计需求利用Rational Rose 软件建立组织、功能、过程、信息和资源5 种视图模型支持智能交通系统设计. 多视图建模通过不同视角的描述来构建对流程的认识,即建立一组子模型或视图模型,并建立各模型之间的关联,实现模型的一体化,这样才能对作业流程的功能、组成、结构,以及流程运行中资源(包括信息资源)的交互、影响和约束提供整体全面的认识. 在此基础上,可对作业流程进行危险分析、结果验证和评估,为流程的安全风险评价、设计改进可提供理论基础和指导.
统一形式化系统建模语言(systems modeling language,SysML)是一种采用多视图面向对象思想的建模,具有直观、无歧义、模块化、可重用等优点,适用于复杂系统的安全性分析的建模[13]. SysML 包括了一些可以相互组合为图表的图形元素,每一种图就代表了一个模型要素,提供这些图的目的是用多个视图来展示一个系统[14-15]. 虽然人们已经进行了成熟的基于利用统一建模语言(unified modeling language,UML)和传统安全性分析方法相结合的相关研究,但大都集中在软件系统方面,面对硬件结构和软件结构更加复杂的系统UML 就不太适用,SysML 为面向基于模型的安全性建模及分析提供了便利[2,13-14].张学波等[15]采用SysML 及其建模工具从任务角度对TacSat-3 系统进行建模与仿真,体现了系统任务行为的可视化. 崔乃刚等[16]提出了以模型为中心的系统工程分析方法,通过SysML 建模、参数图表示、分析模型生成、需求建模及仿真等过程分析了空射弹道导弹控制系统的过程集成与设计优化框架. 陈洪辉等[17]应用SysML 对C4ISR 对系统的组成、接口与通信关系、系统功能、状态转移以及事件跟踪进行了描述,详细分析了基于SysML 的C4ISR 系统建模过程. 周山山[14]建立了基于SysML 的事故过程建模,并结合HAZOP 以飞行控制系统为例进行了安全性分析. WANG 等[18]通过转换规则将半形式化模型SysML 转化为新的符号模型检查器或验证器,实现了将模型检查与SysML 相结合的方法来分析复杂系统的安全性. HU 等[19]提出了一个面向SysML 的系统设计与安全分析的框架和原型工具,并实现了SysML 设计模型与AltaRica 分析模型之间的映射规则. KRISHNAN 等[20]利用基于模型的系统工程方法将整个系统设计与安全生命周期进行结合,通过将系统设计和安全数据捕获在单一的SysML 模型中,从而自动生成诸如故障模式和影响分析(FMEA)和故障树等安全性文件. 该框架不需要模型转换来确保系统设计和安全分析之间的一致性,从而减少了安全分析所需的资源. SysML 通常是形式化建模语言的一种手段,其本身不提供有关正确性保证的证据,但现阶段针对SysML 的安全性分析大多利用有限状态机实现定性分析,发现耦合危险因素. 基于SysML 的安全性分析在一定程度上是对实体系统试验验证的补充,通过仿真试验更多起到的是摸底作用,可以和其他安全性分析手段互为补充和验证支撑.
综上所述,现阶段对基于SysML 的系统安全性分析的研究较为侧重产品或系统本身,而缺乏对任务过程和人机交互过程中的安全性分析. 本文针对武器装备任务过程与人机交互过程中,任务剖面难以全面描述和安全性问题分析不够全面等问题,开展基于多视图的武器装备剖面建模方法研究,提出基于多视图的任务剖面建模与安全性分析技术,从不同角度对武器装备复杂任务剖面进行更加完整的描述,并利用统一化的建模语言消除各领域的歧义.然后,利用基于SysML 的多视图模型对武器装备系统人机环交互过程的安全性进行分析,为评估和提升武器装备的安全性和战备完好性等提供技术支撑.
1 武器装备多视图任务剖面建模
现代战争中,随着侦察技术的发展和各种精确打击武器的出现,武器装备系统的生存能力受到严重威胁. 为提高武器装备系统的生存能力、快速反应能力,优化作战系统结构,缩短任务平均完成时间,提高作战效率与效能,就必须分析、优化武器装备系统的任务剖面. 然而,现有的任务剖面建模通常以流程图或示意图的形式表示,没有统一的形式与建模标准,缺乏对装备体系结构与任务过程的统一形式化建模方法. 同时,武器装备体系结构巨大、耦合关系复杂,对体系结构难以分解和解耦,作战任务过程涌现性难以预测. 如图1 所示为某型导弹典型任务剖面明细图,各利益攸关方无法从该任务剖面中及时有效地获取所需信息,且该剖面无法涵盖任务中的各个实体属性,如人员和设备的交互信息等. 同时,框图法构建的任务剖面也无法支撑后续对作战任务的仿真与安全性分析等工作.
图1 陆基导弹典型任务剖面示意图Fig. 1 Mission profile of land-based missile
基于多视图的装备安全性分析在一定程度上是对实体武器装备开展相关安全性试验验证的一种有效补充,通常情况下可以利用模型检查等方法实现安全性的定量仿真,本文主要针对导弹发射过程中的人机耦合作用安全性分析,采用的是定性的分析手段,旨在发现导弹发射任务过程中的耦合危险因素,采用多视图思想,并利用SysML 建模可以一定程度上保证分析的完备性和歧义性问题,保证各个利益攸关方可以利用统一的建模语言对导弹发射任务过程的安全性进行分析.
1.1 多视图武器装备系统模型
多视图模型是对复杂装备系统在任务过程中任务过程的描述,从过程、功能、组织、资源和信息等方面分别展开,建立对任务过程的多维一体的清晰认识. 因此,本节建立一种基于多视图的武器装备系统任务剖面建模方法,全面有效地对实战任务剖面下的各方面信息进行梳理,实现对实战条件下武器装备系统复杂任务剖面的建模,增强建模的全面性.
由于武器装备任务过程自身的复杂性决定了对其描述和分析的复杂性,难以通过系统的单个方式的单个模型来建立,必须对应过程视图的概念,通过不同视角的描述来构建对流程的认识,即建立一组子模型或视图模型,并建立各模型之间的关联,实现模型的一体化. 这样才能对任务过程的功能、组成、结构,以及流程运行中信息与资源的交互、影响和约束提供整体全面的认识. 在此基础上可对任务过程进行安全性分析、运行演示、结果验证和评估,为流程的安全风险分析、设计改进提供理论基础和指导.
本文以过程视图为核心,以功能视图、组织视图、信息视图、资源视图和时序逻辑视图为补充,从装备系统组成、任务流程、维修保障等多个维度描述装备的作战使用任务剖面,形成适用于武器装备系统的任务剖面建模方法. 根据多视图任务剖面模型概念,该模型由一组子模型组成,包括过程视图模型、功能视图、组织视图、信息视图和资源视图等,过程视图是由任务过程的事件和活动构成,组织视图是由人员及其组织结构构成,资源视图是由任务过程中所需设备构成,包括作战和维修保障资源. 由于任务剖面是对武器装备任务过程的时序描述,时序逻辑视图用以描述任务过程中事件和资源的时序关系.
该多视图任务剖面模型可形式化以9 元组表示
式中:E为任务过程的组成事件(活动),可由过程视图分解得到;TL为事件(活动)之间的时序逻辑视图关系;I为任务过程中的信息传递与交互;M-E为任务过程硬件设备与事件(活动)的关系;M-I为任务过程硬件设备与信息的关系;P-E为任务过程人员与事件(活动)的关系;P-I为任务过程人员与信息的关系;P-M为任务过程人员与硬件设备的关系;E-Er为事件(活动)与自然或人工环境的关系.
1.2 视图模型关系
为了适应分析任务过程的人、机、环各因素之间耦合关系的需要,还包括设备-事件视图模型、设备-信息视图模型、人员-事件视图模型、人员-信息视图模型、人员-设备视图模型和事件-环境视图模型. 每个子模型完成流程某个局部特征和侧面的描述,不同的视图之间相互补充,按照一定的约束和连接关系,组成在一起构成整个流程模型,具体分解视图如图2 所示.
图2 多视图流程模型示意图Fig. 2 Multi-view process model
不同视图间的逻辑关联是多视图流程模型所固有的,视图之间的关联分为强关联(用实线表示)和弱关联(用虚线表示),如图3 所示.
图3 任务过程中各视图之间的关系Fig. 3 The relationship between the different views
事件视图表示组成任务过程的事件或者活动,可以梳理任务过程中发生事件的隶属关系. 同时,时序逻辑视图可以梳理事件和活动的发生次序与逻辑关系. 任务过程中信息的产生与传递在时序逻辑视图中以事件或活动的状态改变来表示,信息视图也可以专门表示人员与人员和人员与设备之间的信息交互. 各个视图之间具有的耦合关系可以形成新的耦合关系视图可以用于人、机、环耦合的安全性分析.
2 基于SysML 的装备任务剖面建模
SysML 针对系统工程领域的需求和特点,为系统的描述提供了多视角的可视化图形,它综合了面向对象方法和面向过程方法在系统设计中的优点,提高了建模的正确性,减少了描述的二义性,增强了模型的可读性. SysML 的图形主要包括三大部分:行为图、结构图和需求图. 其中,行为图用来描述系统对象的动态行为结构;结构图用来描述系统对象的静态结构;需求图是交叉结构的一种,它既可以用来描述静态结构,也可以用来描述动态行为. SysML 所构建模型的功能/物理结构更加贴近于真实的系统,能够从需求到性能、从静态结构到动态行为等多种角度来开展安全分析工作.
现有武器装备任务剖面未充分考虑人机环耦合关系,导致任务剖面层次分解不够细化,模型构建过于宽泛或者单一,缺乏较为完整、统一的武器装备系统任务剖面的建模描述方法. SysML 是一种功能强大、应用广泛的形式化标准建模语言,对武器装备体系任务剖面建模有着良好的适用性,也可以支持任务过程的安全性分析. 本节给出基于SysML 的武器装备任务剖面建模的实施流程如图4 所示. 首先,进行武器系统组成识别,任务过程、组织结构分解和时序逻辑分解,然后利用分解结果和统一形式化建模语言SysML 中的结构图、状态图、活动图和顺序图等进行多视图描述. 其中,功能视图和资源视图可用结构图描述,过程视图可用活动图描述,组织视图可用状态图和活动图描述,信息和时序逻辑视图可用顺序图描述等,最终形成基于SysML 的任务剖面模型.
图4 基于SysML 的武器装备任务剖面建模流程Fig. 4 Modeling process of weapon mission profile based on SysML
本文以某陆基导弹武器系统发射过程为例进行基于SysML 的多视图任务剖面建模. 发射系统涉及发射车、导弹、保障系统和若干操作人员. 导弹发射过程复杂,涉及因素较多,包括设备部分:如发射车、导弹、保障系统等;人员:驾驶员、操作员、指挥官等;环境:风、雨、大雾、沙尘、雷电等. 本节基于多视图建模思想,确定所需描述武器装备系统作战任务所需的功能、资源、过程、信息等多视图模型,然后选取适当的SysML 图对武器装备组成的功能、资源、过程等视图进行描述,从而消除了不同方法在对武器装备任务过程描述及属于上的差异,避免了符号表示于利益攸关方在理解上的混乱. 导弹的SysML建模实施方式如下.
2.1 导弹块定义图和结构图建模
导弹包含的危险源主要为:发动机、弹射动力装置和火工品. 这些导弹的状态本身包含的危险源可通过SysML 中的块定义图(block definition diagram,BDD)表现出来,块定义图分析导弹使用过程所涉及到的各类因素,包括人员、外部设备和导弹内部危险源等,明确各因素之间的层次关系和隶属关系,以及各因素的特有属性. 在此基础上,用例图(use case,UC)可以建立起人员、设备和设备执行的任务的桥梁.
陆基导弹发射过程结构视图示例如图5、图6所示.
图5 陆基导弹发射过程块定义图Fig. 5 Block definition diagram of missile launching
图6 发射阶段行为过程活动结构图Fig. 6 Structure diagram of missile launching behavior
2.2 导弹状态图建模
在陆基导弹发射过程中,体现了复杂的人-机-环的耦合关系,发射指挥官根据陆基导弹及发射车状态给操作员提出具体的发射指令. 操作员在指令以及发射控制系统的指示下,通过指控系统控制导弹突防信息和战斗部参数等,同时陆基导弹的实时的状态又要反馈到指挥官,形成闭环.
陆基导弹发射的状态图如图7 所示.
图7 陆基导弹发射过程状态图Fig. 7 State diagram of land-based missile launching
陆基导弹测试系统状态图示例如图8 所示.
图8 导弹测试系统状态图Fig. 8 State diagram of missile test system
操作员状态图示例如图9 所示.
图9 操作员状态图Fig. 9 State diagram of operator
2.3 导弹活动图建模
在对导弹发射过程进行描述分析的基础上,基于SysML 的活动图开展过程逻辑建模,明确关键活动之间的输入输出逻辑关系. 基于SysML 中的活动图,在过程分解结构的基础上,分析各行为单元之间的因果逻辑关系,具体描述行为过程中各基本行为单元的逻辑序列,行为单元之间的输入输出关系,建立行为过程的动态描述.
操作员的活动图示例如图10 所示.
图10 操作员活动图Fig. 10 Activity diagram of operator
导弹活动图示例如图11 所示.
图11 车载导弹活动图Fig. 11 Activity diagram of vehicular missile
2.4 导弹顺序图建模
基于SysML 的顺序图,在过程分解结构的基础上,针对行为过程中的各类因素之间的信息及控制的传递关系,进行时序逻辑描述. 对行为过程中的输入和输出信息对象的关系以及时间上的逻辑关系进行描述,包括信息对象的属性及其操作、继承和关联关系;以及信息传递、行为操作在时间上的先后、交互关系等. 在对陆基导弹任务过程进行描述分析的基础上,基于SysML 的顺序图开展时序建模,明确关键发射车、导弹、操作与指挥人员以及保障系统等各对象之间交互的时序关系以及信息传递关系,如图12 所示.
图12 陆基导弹发射过程时序关系图Fig. 12 Process sequence diagram of land-based missile launching
3 基于SysML 的装备安全性分析
基于SysML 的多视图建模,一般包括以下过程:首先开展武器装备系统行为过程分析,在明确系统行为过程所涉及的实体属性的基础上,开展人员、设备、环境单因素危险分析,进而开展人、机、环耦合的安全性分析;然后,结合行为过程时序逻辑与因果逻辑关系建立过程模型,进而分析导致事故发生的因素及因素组合,具体如图13 所示.
图13 武器装备系统任务过程风险分析Fig. 13 Risk analysis of weapon mission process
人、机、环耦合关系分析主要用于分析武器装备任务过程中与人员和环境交互过程的时序关系和因果逻辑,为了描述与分析人、机、环实体间的耦合关联关系,利用设备-事件视图模型、设备-信息视图模型、人员-事件视图模型、人员-信息视图模型、人员-设备视图模型和事件-环境视图模型进行详细地描述和耦合危险分析,从而实现导弹武器发射过程的风险分析. 本文提出的耦合风险分析过程,首先,利用块定义图和结果图对通过对人、机、环耦合关系进行确定. 然后,识别其中的耦合危险因素,并识别出耦合危险的原因、涉及的能量和危险物质. 最后,确定耦合危险后果的严重性等级,从而形成基于SysML 的导弹发射过程安全性分析表,指导设计人员对耦合危险进行设计改进,从而提高武器装备的安全性设计水平. 由于论文篇幅限制,本文以陆基导弹武器系统发射过程为典型研究对象,针对人员-事件视图(P-Emod)和人员-设备视图(P-Mmod)进行安全性分析过程说明.
3.1 人员-事件视图(P-E mod)的耦合危险分析
设备-事件视图的耦合关系主要有以下两类:
①CP-E1:同一事件涉及多个人员. 识别方式:对人员-事件关系视图进行横向扫描. 例如,导弹发射准备这一事件需要指挥员和操作员协调配合完成.
②CP-E2:同一人员涉及多个事件. 识别方式:对人员-事件关系视图进行纵向扫描. 例如,操作员既需要进行起竖下放导弹,又需要执行发射前的综合检查等,该类事件需要明确其时序的先后关系.
通过对导弹SysML 图分析得出导弹发射过程人员-事件视图的耦合危险分析如表1 所示.
表1 导弹发射人员-事件的耦合危险Tab. 1 Risk analysis of missile operator-event coupling
3.2 人员-设备视图(P-M mod)的耦合危险分析
导弹发射过程人员-设备视图的耦合有以下三类:
①CP-M1:人机耦合,即人员对设备的操纵,设备对人员的响应.
②CP-M2:同一设备涉及多个人员.
③CP-M3:同一人员涉及多个设备.
通过对导弹SysML 图分析得出导弹发射过程中的操作员和发射车的耦合危险如表2 所示.
表2 导弹发射过程人员-设备耦合危险识别Tab. 2 Operator-weapon coupling hazard identification in missile launching
同理,对导弹武器系统SysML 的结构图、状态图、活动图和顺序图进行分析,可以按照上述耦合关系识别、耦合危险识别、耦合危险原因分析的过程对事件视图(E)、信息视图(I)、时序逻辑视图(TL)及补充视图M-E,M-I,P-E,P-I,P-M和E-Er进行分析.
综合上述9 类视图,以导弹武器系统的I、II 类危险源识别结果为输入,识别{E, TL, I, M-E, M-I, P-E,P-I, P-M, E-Er}9 类视图中实体或耦合环节可能造成的危险源失控的后果和影响,具体结果如表3 所示.根据分析得到,由于人、机、环耦合错误或缺失导致无法形成合作会导致的耦合危险后果为任务失败,而形成错误的合作则可能导致任务失败或弹毁人亡.因此,在安全性设计的时候尤其要注重导致合作错误的人、机、环耦合危险因素.
表3 基于SysML 的导弹发射过程安全性分析表Tab. 3 Safety analysis table of missile launching based on SysML
4 结 论
本文针对武器装备系统行为过程的时空性、层次性、结构性以及实体性等特性,通过不同的视角对武器装备的任务过程进行描述,从而对不同作业过程的功能、结构、活动,以及作业过程中资源(包括信息资源)的交互、状态和约束形成整体、全面的认识. 然后,提出了基于多视图的武器装备系统任务剖面建模方法,利用统一形式化建模语言SysML 对多视图模型进行描述进而实现对武器装备任务过程整体的描述,即建立一组子模型或图模型,并建立各模型之间的关联,实现模型的一体化,从而全面有效地对实战任务剖面下的各方面信息进行全面梳理,实现对战条件下的武器装备任务剖面建模,从而保证建模的全面性和完整性. 最后,以某型陆基导弹武器系统为例,根据SysML 中的结构图、状态图等,对导弹发射过程中人员、发射车等实体耦合的安全性进行分析,并验证了提出方法的可行性与适用性,为武器装备安全性与作战效能提升提供技术支持.