陳寬 李元元 羅云峰 王明哲

近年來,體系(System of System,SoS)作為一類由眾多地域分散的組件系統(tǒng)(Component System)集結(jié)而成的大型工程系統(tǒng)[1],越來越受到人們的關(guān)注.組件系統(tǒng)的“互動、松耦合”特性[2?3],成為人們研究這樣一類大型集成系統(tǒng)“韌性(Resilience)”的主動力[4],已經(jīng)發(fā)表了不少相關(guān)論文.

文獻(xiàn)[5]討論了韌性的4個基本屬性:容量,容忍程度,可伸縮性和組件系統(tǒng)的協(xié)調(diào)程度.文獻(xiàn)[6]指出了韌性應(yīng)該具有的3個特點:降低受損的可能性,減少受損帶來的影響和縮短恢復(fù)所需的時間.文獻(xiàn)[7]在文獻(xiàn)[5]的基礎(chǔ)上提出了一種定量評估指控系統(tǒng)韌性的方法.文獻(xiàn)[8]將時間的概念引入體系的韌性評估指標(biāo)中并從多個維度來評估SoS韌性.文獻(xiàn)[9]提出系統(tǒng)操作依賴分析方法對不同體系結(jié)構(gòu)方案的韌性比較.國內(nèi)研究體系韌性的文章較少,有學(xué)者提出了韌性指揮信息系統(tǒng)的概念[10],也有部分學(xué)者從復(fù)雜網(wǎng)絡(luò)的角度來考慮韌性[11].在體系韌性的定義與評估指標(biāo)方面,可以把不同的定義歸納為體系的容忍能力和生存恢復(fù)能力[7],即魯棒性和可恢復(fù)性.因此,文獻(xiàn)[7?11]中提出的評價指標(biāo)都存在某些缺陷.體系韌性關(guān)注的重點之一是某系統(tǒng)遭遇破壞后的體系恢復(fù)能力[12].而體系的可恢復(fù)程度的限制規(guī)則是體系結(jié)構(gòu)測評和韌性度量應(yīng)該明確的前提條件.本文提出可恢復(fù)程度的概念,采用功能依賴網(wǎng)絡(luò)分析(Functional Dependency Network Analysis,FDNA)體系效能定量化計算,展示一種新的體系韌性分析方法.

1 FDNA方法及韌性概念介紹

在2009年麻省理工大學(xué)(MIT)舉辦的第二屆系統(tǒng)工程國際討論會上,Garvey和Pinto提出了一種能較好展現(xiàn)體系(SoS)“互動、松耦合”特性的體系效能評估方法-功能依賴網(wǎng)絡(luò)分析(FDNA)[13].該方法是基于VNM效用理論和最弱環(huán)規(guī)則(Weakest link rule,WLR)的,它不僅可以對正常運作時的體系效能進行評估,也可以分析當(dāng)體系中的一個或多個組件系統(tǒng)發(fā)生功能性受損后的體系效能.如圖1所示為一個單層FDNA功能依賴網(wǎng)絡(luò)模型,定義了接受節(jié)點與供給節(jié)點間兩類依賴關(guān)系:依賴強度 (Strength of dependency,SOD)和依賴關(guān)鍵度(Criticality of dependency,COD),分別由兩個參數(shù)α和β表示,0≤α≤1,0≤β≤100 utils.

圖1 單層功能依賴網(wǎng)絡(luò)模型

FDNA由式(1)～式(5)計算接受節(jié)點Nj的可操作水平(效能):

韌性是一個系統(tǒng)或組織受到損傷并在恢復(fù)過程中對系統(tǒng)穩(wěn)定性產(chǎn)生最小影響的能力.在SoS系統(tǒng)中,一般通過功能冗余特性來增加系統(tǒng)對外界破壞的韌性[14?16].

2 體系韌性分析

基于FDNA,給出最低有效可操作水平和最大可恢復(fù)程度的定義如下:

定義1.FDNA節(jié)點的最低有效可操作水平(Minimum effective Operability Level,MEOL)是一個與節(jié)點最低性能水平相聯(lián)系的效能值,表示評估者對該節(jié)點效能的最低可接受程度[17].

在體系效能空間中通?？蓪⒆畹涂山邮芩?MEOL)置為0 util.

定義2.體系的最大可恢復(fù)程度(Maximum Recoverable Degree,MRD)是組件系統(tǒng)受到損傷后體系效能下降,通過補償冗余(Stand-in)恢復(fù)體系效能的最大可能值.

2.1 基于FDNA的MRD估算

由h個葉節(jié)點組成的多層FDNA網(wǎng)絡(luò)模型,如圖2所示,節(jié)點Nγ表示人們關(guān)注的某一體系能力.

假設(shè)葉節(jié)點N2的功能失效(P2=0 util),基于FDNA的最弱環(huán)規(guī)則(WLR),體系韌性的最大可恢復(fù)程度(MRD)為葉節(jié)點N2到節(jié)點Nγ所有功能依賴路徑中β值累加和的最小值,即:

圖2 多層功能依賴網(wǎng)絡(luò)模型

式(6)中,2→γ表示由節(jié)點N2到節(jié)點Nγ的所有可能依賴路徑；β2···rγ表示 2→ ···→r→ γ 這條路徑上各依賴關(guān)鍵度β值的累加和.依據(jù)圖2,MRD推論證明如下:

分別用P0,P1,···,Ph表示葉節(jié)點效能

1)FDNA網(wǎng)絡(luò)層數(shù)n=1時,葉節(jié)點N2的功能失效后P2=0,體系能力節(jié)點的效能值:

命題成立

2)假設(shè)FDNA網(wǎng)絡(luò)層數(shù)n=k時,葉節(jié)點N2的功能失效后滿足以下不等式:

Pγ ≤MRDk=Min(β2···aγ,β2···bγ,···,β2···dγ)

那么當(dāng)n=k+1時,應(yīng)用式(1)～式(5)成立以下不等式關(guān)系.

上式中的Pr,Ps,Pt就是n=k時的Pγ,因此,滿足以下關(guān)系,

同理Ps≤ β2···s,Pt≤ β2···t代入原不等式得到,

因此,式(6)成立.

優(yōu)先估算MRD的存在,以區(qū)分出圖3和圖4體系韌性的不同.雖然兩張圖中體系效能的走勢一致,但是應(yīng)該盡力在體系結(jié)構(gòu)設(shè)計時避免圖3所示的情形.

圖中,Pn是體系正常時的效能,td是節(jié)點2功能失效的時刻,tmin是體系效能下降到最低點時刻,trec是體系效能恢復(fù)完成時刻.

圖3 MRD小于Pn時體系韌性

圖4 MRD大于Pn時體系韌性

2.2 基于FDNA的體系韌性度量

選擇最簡單的體系魯棒性和可恢復(fù)性(如圖3、圖4)指標(biāo)評估體系韌性.

1)用Robi表示系統(tǒng)i受損時體系的魯棒性度量:

上式表示體系某系統(tǒng)受損后效能下降的程度,Robi的取值范圍在0和1之間.Robi值越接近1,則體系魯棒性越強.

2)用Reci表示體系的可恢復(fù)性度量:

Reci的取值也在0和1之間,Reci值越接近1,則體系可恢復(fù)力越強.

在體系韌性評估中,可根據(jù)需求設(shè)置Robi和Reci的權(quán)重,以體現(xiàn)決策者的偏好.

3 實例分析

以宙斯盾艦為主體的“跨地平線”導(dǎo)彈防御體系主要由指揮與控制、作戰(zhàn)管理和通信(Command and Control,Battle Management and Communication,C2BMC)、預(yù)警衛(wèi)星、P波段雷達(dá)、X波段雷達(dá)和宙斯盾艦等組件系統(tǒng)構(gòu)成[18?20].

該防御體系的物理組件為FDNA網(wǎng)絡(luò)實體節(jié)點,并用SM-3節(jié)點表示所關(guān)注的體系攔截能力.假設(shè)實例中的來襲彈可以同時被多部P雷達(dá)和SPY-1雷達(dá)監(jiān)測到.簡單地由兩種想定分析P組網(wǎng)雷達(dá)或SPY-1雷達(dá)受到干擾功能失效后的體系韌性.

步驟1:建立FDNA功能依賴網(wǎng)絡(luò)模型

建立以指揮控制(C2BMC)為中心的FDNA網(wǎng)絡(luò)模型,如圖5所示.

圖5 宙斯盾防御作戰(zhàn)體系FDNA網(wǎng)絡(luò)模型

步驟2:構(gòu)建性能與效能的映射關(guān)系

FDNA中每個節(jié)點的性能水平都使用可操作水平(效能)來表示.一般通過效用函數(shù)得到性能和效能的映射關(guān)系.

比如,評估者關(guān)注雷達(dá)探測目標(biāo)的連續(xù)跟蹤時長,那么在連續(xù)跟蹤時長和該節(jié)點效能之間建立映射關(guān)系:效能0 util表示評估者對雷達(dá)性能的最小可接受水平(MEOL),效能100 utils表示評估者對雷達(dá)性能的最大滿意水平,如圖6所示.

圖6 雷達(dá)性能與效能之間的映射關(guān)系

其他節(jié)點效能值的獲取與以上過程相同,選取評估者關(guān)注的性能與該節(jié)點的效能建立映射關(guān)系.

步驟3:得到FDNA網(wǎng)絡(luò)依賴參數(shù)

獲取參數(shù)可以通過專家評估,歷史數(shù)據(jù)推斷或仿真的方法得到.本文使用可執(zhí)行模型仿真后得到依賴參數(shù)如表1.

步驟4:計算體系最大可恢復(fù)程度

根據(jù)式(6)求出兩種想定下的MRD:

P組網(wǎng)雷達(dá)失效時,最大可恢復(fù)程度取N1→N4→N8,N1→N4→N6→N7→N8,N1→N5→N6→N7→N8這3條路徑上β累加和最小的值為85.30 utils.此時體系最大可恢復(fù)程度受到了N1→N4→N8這條路徑的限制,即P雷達(dá)→FBX雷達(dá)→SM3.此時P組網(wǎng)雷達(dá)損壞導(dǎo)致FBX雷達(dá)的最大可恢復(fù)程度下降到了一個較低的水平,因為FBX雷達(dá)不僅需要向C2傳送目標(biāo)彈道及參數(shù),也要引導(dǎo)SM-3不斷調(diào)整彈道,所以整個體系的最大可恢復(fù)程度都會隨之下降.

表1 FDNA網(wǎng)絡(luò)依賴參數(shù)

在第2種想定下SPY-1雷達(dá)失效,由于N2到N8只有一條路徑而且該路徑上β累加值為132 utils,遠(yuǎn)大于100 utils,所以此時體系不存在最大可恢復(fù)程度的限制.對應(yīng)到實際系統(tǒng)中的結(jié)構(gòu),說明SPY-1雷達(dá)→C2→MK-1→SM-3這條路徑并不是一條關(guān)鍵路徑,因為這條路徑的依賴關(guān)系可以通過其他路徑來補償.

步驟5:體系韌性分析

體系正常運作時P雷達(dá),SPY-1雷達(dá)和衛(wèi)星的效能值分別為58.51,61.34和60.53 utils,然后將步驟3給出的參數(shù)α和β代入式(1)～式(5)求得節(jié)點N4······N8的效能值分別為:73.45,83.82,82.73,88.43,88.00 utils.

想定1:P組網(wǎng)雷達(dá)受到攻擊逐漸失效.此時通過衛(wèi)星引導(dǎo)SPY-1雷達(dá)縮小搜索范圍增大搜索掃描頻率,增大連續(xù)跟蹤時長為體系提供恢復(fù)力(補償冗余).同理,想定2:SPY-1雷達(dá)受到攻擊逐漸失效,通過衛(wèi)星引導(dǎo)P雷達(dá)縮小搜索范圍增大搜索掃描頻率,增大P組網(wǎng)雷達(dá)效能提供恢復(fù)力.根據(jù)仿真結(jié)果可以得到兩種想定下體系攔截能力隨時間的變化.上述步驟中由于體系受損和恢復(fù)都是隨時間變化的動態(tài)過程,抽取部分時刻各節(jié)點的效能,如表2所示.

由表1得到P(td)=88.00 utils,P(tmin1)=74.78 utils,P(trec1)=75.80 utils；P(tmin2)=82.01 utils；P(trec2)=87.65 utils.將表1中的所有數(shù)據(jù)代入式(7)和式(8),分別計算出兩種想定下體系的魯棒性和可恢復(fù)性大小.為了方便比較,將數(shù)據(jù)結(jié)果放入表3.

表2 兩種想定下各節(jié)點的效能值(utils)

表3 不同想定下韌性屬性評估指標(biāo)比較

由表3可以發(fā)現(xiàn):想定1下體系魯棒性和可恢復(fù)性的兩個指標(biāo)都明顯差于想定2下的指標(biāo).即P雷達(dá)受損時的體系韌性小于SPY-1雷達(dá)受損時的體系韌性.在構(gòu)建“宙斯盾”防御體系的過程中,應(yīng)該著重考慮P組網(wǎng)雷達(dá)的保護措施.一旦體系對攔截的精度要求提高,P組網(wǎng)雷達(dá)受損會導(dǎo)致攔截任務(wù)的失敗,而且此時體系的最大可恢復(fù)程度有限,無法完全補償體系受損后所缺失的效能.

綜合以上分析,本文建議應(yīng)注重P組網(wǎng)雷達(dá)的備份冗余即部署多部P雷達(dá),或者在SPY-1雷達(dá)和SBX雷達(dá)、FBX雷達(dá)之間實現(xiàn)通信,建立依賴關(guān)系避免體系存在最大可恢復(fù)程度的限制.

4 結(jié)論

本文將FDNA應(yīng)用于體系韌性評估分析,依據(jù)FDNA依賴關(guān)鍵度提出體系最大可恢復(fù)程度MRD,并以最低有效可操作水平和最大可恢復(fù)程度作為體系韌性評估的一種分析依據(jù).最后以C2BMC為中心的宙斯盾防御作戰(zhàn)體系為例展示了FDNA在體系韌性評估分析中的應(yīng)用,進一步驗證了MRD和體系韌性分析在構(gòu)建大型組件系統(tǒng)中的意義.

本文對以C2BMC為中心的宙斯盾防御作戰(zhàn)體系的韌性討論是簡單和初步的,需要進一步完善.MRD的運用,探討受損節(jié)點需從葉節(jié)點擴展到中間節(jié)點尋找最大可恢復(fù)程度的規(guī)則,并研究FDNA更深層次的應(yīng)用問題.