基于xUML與DODAF的指揮信息系統可執行體系結構建模研究

楊雙澤 趙有華 朱丹 陳啟航

摘? 要：針對體系結構視圖產品在驗證系統動態行為及狀態轉換等方面存在的不足，難以有效保證所建模型與具體軍事需求的一致性，提出了基于xUML與DODAF的可執行體系結構建模及驗證方法，分析了該方法的可行性與適用性，及其在驗證系統動態行為方面的優勢，給出了利用該方法進行建模的具體步驟。最后結合區域防空指揮信息系統開發實例，通過建模對該系統的部分動態行為進行了驗證和分析，進一步證明了該方法的有效性。

關鍵詞：可執行體系結構；體系結構驗證；可執行統一建模語言；動作規約語言

中圖分類號：TP399? ? 文獻標識碼：A? ? 文章編號：2096-4706（2023）05-0024-06

Research on Executable Architecture Modeling of Command Information System Based on xUML and DODAF

YANG Shuangze， ZHAO Youhua， ZHU Dan， CHEN Qihang

（Army Engineering University of PLA， Chongqing? 400035， China）

Abstract： In view of the existing shortcomings of architecture view products in verifying system dynamic behavior and state transition， it is difficult to effectively ensure the consistency between the built model and specific military requirements， and an executable architecture modeling and verification method based on xUML （executable Unified Modeling Language） and DODAF （Department of Defense Architecture Framework） is proposed. The feasibility and applicability of this method and its advantages in verifying the dynamic behavior of the system are analyzed. The specific steps of modeling using this method are given. Finally， it combines the example of the development of regional air defense command information system， and verifies and analyzes some dynamic behaviors of the system by modeling， which further proves the effectiveness of the method.

Keywords： executable architecture; architecture validation; executable unified modeling language; action specification language

0? 引? 言

體系架構[1]是系統各組成部分的結構、它們之間的關系以及制約其設計與隨時間演進的原則和指南。體系結構框架是體系結構的開發指南和規范，規定了體系結構的描述方法，表現方式和開發步驟等。在軍事領域，美國國防部體系結構框架（Department of Defense Architecture Framework， DODAF）[2]采用多視角的描述方法從不同角度展現系統全貌，能夠很好地反映指揮員、系統使用人員、技術人員等不同角色的需求，打破了部門、項目、領域等層次界限，實現有序的信息共享，是當前最具代表性的體系結構框架，目前已發展至v2.05版本。多國和組織在借鑒DODAF的基礎上，結合自身實際，也分別研究制定了符合自身特點的體系結構框架，如英國國防部體系架構（MODAF）、北約體系架構（NAF）、統一體系架構（UAF）等。

體系結構驗證是體系結構開發階段的重要工作，是體系結構質量的重要保障。其任務主要是檢查體系結構設計的正確性，確保所設計的體系結構能夠滿足系統各項功能性與非功能性需求[3]。當前各體系結構框架大多采用多視圖的描述方法，各視圖之間存在多種關聯關系，能夠更加全面的展現系統的整體面貌，但也增加了開發和驗證的難度。且開發的視圖產品都是靜態的，雖然有描述系統動態行為的視圖產品，但對于指揮信息系統這類分布異構、功能多樣且結構復雜的巨系統來說，其體系結構描述中必然包含大量內容和信息，對其動態行為的驗證必然是復雜且困難的。因此，將體系結構產品通過一定的規則轉化為可執行模型，通過模擬仿真驗證系統動態行為是當前體系結構驗證的熱點和趨勢。如，文獻[4-9]分別基于著色Petri網（CPN）、對象Petri網（OPN）及ExtendSim仿真工具的方式對體系結構動態行為如邏輯運行規則、狀態變遷、資源競爭及沖突死鎖等方面的建模與驗證進行了一定的研究，取得了較好的效果。其基本思路都是將部分描述系統動態行為的視圖產品轉化為可執行模型，通過仿真模型的運行來完成體系結構驗證的。但這種方式在轉換的過程中會產生中間件，存在轉換風險，不能絕對保證轉換后的模型與原模型完全一致，且這種轉換風險會隨系統復雜度的提高而增加。此外，轉換后的模型可讀性較差，需要相關人員具備深厚的數學功底，不利于非專業人員理解和掌握。

因此，本文借鑒模型驅動架構（Model Driving Architecture，MDA）思想，以區域防空指揮信息系統為實例，利用xUML（Executable Unified Modeling Language）進行體系結構相關視圖產品的構建，通過動作規約語言（Action Specification Language， ASL）精準定義系統動態行為，進而自動生成可執行代碼，通過激勵測試，驗證系統對特定信號事件的響應、狀態轉換、信息流程等系統動態行為。擬降低模型轉化的風險，提高可執行模型的可讀性，實現體系結構開發與驗證的一體化。

1? MDA、xUML與ASL

1.1? ?模型驅動架構

模型驅動架構（MDA）是由對象管理組織（OMG）提出的應用軟件開發方法，其思想是將系統的業務功能需求與具體的實現細節相分離，通過對不同的問題域進行精確的建模，并以這些模型為核心，驅動包括分析、設計及實現等在內的整個軟件開發過程。

MDA中包括兩種基本形式的模型：平臺無關模型（Platform-Independent Model， PIM）與平臺相關模型（Platform-Specific Model， PSM）。PIM獨立于任何實現平臺，它詳述了系統的所有業務需求，每個PIM描述了系統的一個方面，在MDA中用“域”來表述，所有的PIM主題域組合在一起就是對系統的完整描述。在基于MDA的開發過程中，第一階段是將系統劃分為多個PIM主題事務域；第二階段則是通過對PIM添加針對特定平臺技術體制的映射規則和輔助工具，轉換成與特定實現技術相關的應用模型，即PSM，再將經過充實的PSM轉換成代碼。這樣，當系統非功能性需求發生變化時，只需要重寫映射規則就可以應對這些變化，而不需要逐一修改同一個系統模型在不同抽象層次上的冗余表示。

可以看到，基于MDA的開方法不僅與DODAF多視圖的描述方法不謀而合，且使得開發人員能夠更加專注于系統需求，而不需要為特定的實現技術和平臺而分散注意力，有利于開發人員準確地掌握系統需要做什么，從而分析設計出更加精確的模型，提高開發效率，還能將技術的變更對系統的影響降至最低。

1.2? ?xUML

xUML是OMG指定的MDA建模方法之一。xUML是UML的一個子集，它去除了UML當中的弱語義部分，并添加了精確定義的動作語義，xUML通過這些精確的動作語義來描述系統中對象之間的交互和行為，使之變為了可執行的模型。圖1非正式地表示了xUML的概念。

xUML的模型包括包圖、用例圖、時序圖、類圖、類交互圖和類狀態圖。在仿真環境中，類狀態圖是可執行模型的核心，它通過狀態和轉移實現模型的執行。其他模型為其提供操作、信號、數據等支撐。

1.3? ?動作規約語言ASL

動作規約語言（Action Specification Language， ASL）是一種獨立于實現的動作語言，它與任何平臺無關，用于定義面向對象系統的所有動態行為，為系統的動態行為提供精準、簡明、可讀的定義。ASL可以通過多種不同的技術映射到特定的軟件體系結構和實現語言當中，可自動轉譯成包括ObjC、Java、C、C++、SQL、Ada等在內的多種計算機語言。

ASL支持以下行為語義的定義：

類操作與對象操作——對應狀態無關的行為。

狀態動作——對應狀態相關行為。

域操作——對應域提供的服務。

橋操作——橋操作用于將多個域連接到一起。

初始化片段——用于完成系統初始對象的定義，確定系統初始狀態。

測試例程——在仿真環境下用于激勵模型的驅動程序段。

利用ASL詳述的xUML是無歧義、可執行的。在仿真環境中，通過提前定義的測試例程來測試系統對于不同信號事件的狀態轉換來檢測系統行為的正確性、內容的完備性以及邏輯的合理性等，進而達到體系結構驗證的目的。

2? 可執行體系結構的構建與驗證

2.1? 體系結構驗證的內容

構建可執行體系結構的目的在于驗證體系結構的正確性，實現體系結構開發與驗證的一體化。目前，各類文獻對于體系結構驗證的內容沒有權威的定義，大多數學者是參照國防科技大學信息系統工程重點實驗室提出的體系結構驗證內容[10，11]來展開相關研究。其將體系結構驗證分為語法、語義和語用3個層次。語法層的驗證是靜態的，主要是驗證體系結構描述“對不對”，例如，開發的各類體系結構產品是否符合框架的標準規范，描述的內容有無缺失等；語義層的驗證是動態的，主要是驗證體系結構“行不行”，例如，系統是否按照想定的順序處理相關事件，系統功能流程是否合理等；語用層的驗證也是動態的，主要驗證體系結構“好不好”，包括系統滿足需求的程度如何，各類功能性與非功能性需求能否達標等。驗證的具體內容大致可歸納為以下幾項，如表1所示。

基于xUML與ASL的可執行體系結構對上述各層次的驗證內容有較好地支持作用，一是對語法層的支持，xUML指定的建模工具iUML Modeler能夠智能地維護模型的完整性，不完整的模型是無法在仿真環境下運行的。此外，它能自動提示使用上下文的選取列表，以確保使用者不會輸入與現有模型不一致的信息，這就很大程度上確保了數據的完整性與一致性；二是對語義層的支持，xUML仿真環境iUML Simulator提供了實例數據庫、信號隊列和跟蹤歷史等功能，且可以在所有對象的任何狀態、信號和類上設置斷點，這保證了開發人員能夠根據需求驗證作戰/系統流程的正確性與合理性；三是語用層的支持，開發人員可以將系統相關參數寫入模型當中，達到對系統部分性能的驗證評估。

2.2? 可執行體系結構的構建方法

當前，美國國防部體系結構框架最新版本DODAF 2.0只給出了用于描述體系結構的多視圖產品模型、開發思想和總體步驟等，但沒有指定具體的開發方法和工具。目前主要的體系結構開發方法是面向過程的開發方法與面向對象的開發方法。其中，面向對象的開發方法作為軟件開發的成熟方法，其通過從現實世界客觀存在的事物出發來認識問題域和構造系統的方法更加接近人的思維。UML是面向對象開發方法的主流方法，它定義良好、表達清晰、功能強大且普遍適用，受到多數學者的青睞。與此同時，DODAF本體文件在視圖產品的推薦建模方法中也提及了UML方法對部分視圖產品的支持。文獻[12-14]等，在構建DODAF視圖產品中均用到了UML的模型。

xUML作為UML的子集，他不僅繼承了UML的大多數功能，還通過引入動作規約語言（ASL）彌補了UML語言在表述上的模糊性和不可執行性，使之成為了更加“精準”的且可執行的模型。可以看出，xUML的模型同樣能夠為DODAF的較多視圖產品提供支持，而且在ASL的精確描述下，模型是可執行的，能夠更好地驗證系統的動態行為。因此，基于xUML開發DODAF體系結構視圖產品是可行的。

xUML可執行模型的核心是類的狀態圖，DODAF 2.0中關于狀態轉換的視圖模型（OV-6b、SV-10b、SvcV-10b）均可用類的狀態圖來表示。而規則模型（OV-6a、SV-10a、SvcV-10a）則可以通過轉換為‘if-then的形式，結合ASL語法規則，寫入到狀態圖當中，可實現了兩者的統一。DODAF2.0中作戰視圖、系統視圖和服務視圖的部分視圖產品與xUML模型的對應關系如表2所示。

2.3? 可執行體系結構建模的步驟

結合DODAF2.0體系結構開發思想與視圖模型特點、xUML模型及其仿真環境（iUMLite2.20）的功能特點，基于xUML與DODAF的可執行體系結構建模步驟大致可分為以下幾步：

（1）利用用例圖詳述系統需求。體系結構開發從系統需求分析入手，必須細化頂層作戰概念，明確系統需要做什么。用例圖是系統搭建的藍圖，它為“系統需要做什么”提供了簡化的圖形表示，提綱挈領地讓用戶了解和掌握系統的概況。因此，它能有效地捕獲作戰概念，為捕獲用戶需求提供支持。例如，對于區域防空指揮信息系統來說，通過分解其高層作戰概念，可以得到以下作戰活動：預警探測、精準識別與跟蹤、打擊攔截和效果評估等。可利用例圖構建其高級作戰概念圖OV-1。

（2）利用順序圖詳述每個用例對應的系統線程。用例圖描述了系統需要做什么，順序圖則對其進行了進一步細化，它描述了一個用例的主要參與者與完整流程，參照表2內容，利用順序圖可構建相應的事件跟蹤描述。

（3）分解主題事物域。首先，利用面向對象的方法進行系統級別的對象閃電戰，抽象出整個系統的全體類圖；然后根據類的性質進行主題事務域的劃分，將整個系統劃分為若干個相對獨立的域模型，域之間通過“橋”進行鏈接。參照DODAF視角模型，可初步將其劃分為作戰域、服務域、系統域、能力域等。域中的類圖展示了實體的連接關系，以此可以構建OV-2、SV-2、SvcV-2。

（4）填充系統動態模型。前文提到，xUML模型仿真運行的必要條件是模型必須是完整的，因此需要利用動作規約語言（ASL）對類中的操作、狀態的入口動作等進行詳細定義，使狀態圖全面完善。

（5）利用ASL編寫初始化片段和測試方法。模型運行前，還需要利用ASL對初始化片段進行描述以確定系統的初始場景。并根據實際需求，編寫相應的測試方法。

（6）生成代碼。利用iUMLite 2.20內置可自動編譯并生成代碼。在此過程中，如果模型各部分定義正確，則能直接生成代碼。否則會提示相應錯誤。

（7）仿真運行與模型驗證。代碼生成完畢后即可運行模型，iUML Simulator提供的信號追蹤功能和狀態圖可以很好地驗證系統是否按照想定的流程完成相應的動作，用戶還可根據需求，設置斷點檢查特定部位或單步執行逐步檢查整個系統。以此來檢驗當前體系結構與目標系統的差異，如果滿足要求，則驗證通過，否則對當前模型進行修改，直到滿足要求為止。

3? 實例分析——區域防空指揮信息系統

該節以簡化的區域防空指揮信息系統開發為例，主要闡述基于xUML的體系結構開發與驗證過程。由于篇幅有限，這里只對核心模型和過程進行展示，開發工具為iUMLite 2.20。

3.1? 案例背景介紹

該設計案例背景為：區域防空指揮信息系統對目標區域來犯的各類空中目標進行攔截，以確保我方區域領空安權。該指揮信息系統由各型雷達、指揮所和武器平臺組成。雷達包括低早期警戒雷達、高空警戒雷達與低空警戒雷達等，根據指揮所的控制指令對指定空域的彈道導彈、高空飛機、無人機、直升機等目標進行全時探測監視，并實時傳輸探測數據。指揮所對雷達發送過來的數據信息進行處理，形成情報信息和態勢，依據目標類型、威脅程度等選擇武器平臺對目標實施打擊。根據打擊效果評估決定下一步行動。圖2所示為利用例圖表示的高級作戰概念圖OV-1。

3.2? 核心模型展示

圖3所示為系統作戰資源流描述OV-2，也稱作作戰節點連接圖。它描述的是作戰節點之間的連接關系及節點間資源流需求。如圖3所示，每一個作戰節點用一個類表示，類的第一欄為實體節點的名稱，‘n為實體的編號，‘kl為其主鍵編碼，用于唯一標識實體；第二欄為實體的屬性，第三欄為實體提供的操作。

圖4至圖7為利用xUML狀態圖描述的部分作戰實體節點的狀態轉換圖，它們是可執行模型的核心。以圖3指揮所作戰狀態轉換為例，指揮所的初始狀態為戰備值班狀態（Be on duty），在收到目標信息（Targ_Inform）后，轉入數據融合處理狀態（Data fusion processing）并執行狀態入口動作（這里調用數據處理操作函數CP1：Datafusion[]），得到處理后的信息（Detail_Inform），轉入情報分析狀態（Intelligence analysis）并執行狀態入口動作（調用操作函數CP2：IntellegenceAnalysis）。由于篇幅原因，后續狀態不再贅述。這里的狀態入口動作和實體提供的操作均是利用ASL進行描述的，所有的操作和狀態都必須在執行前利用ASL完全定義。

3.3? 系統初始化與測試信號

在完整建立xUML模型之后，還需利用ASL對系統初始條件和測試方法進行編寫。具體描述如下：

這里展示初始化一個早期預警雷達：

IDofEWRadar=2

ScaleofEWRadar=1500

PollingRate=500

PollingRateUnits of Time_Units=‘SECOND

[theEWRadar]=EWR1：PowerOn[IDofEWRadar，＼

ScaleofEWRadar，＼

PollingRate，＼

PollingRateUnits，＼

IDofTarget]

將其與指揮所連接：

link theEWRadar R4 theCommandPost

測試方法：

（1）向早期預警雷達發送控制命令：

theEWRadar=find-one Early_Warning_Radar where R_ID=2

generate EWR1：BootCommand（） to theEWRadar

（2）向早期預警雷達發送作戰命令：

theEWRadar=find-one Early_Warning_Radar where R_ID=2

generate EWR4：DetectionCommand（） to theEWRadar

在利用ASL完成系統初始化設置片段和測試方法的編寫后，即可利用iUMLite 2.20內置的代碼生成器CEGN自動生成相應的可執行代碼。在此階段，如果通過仿真環境的編譯，代碼生成成功，則完成了模型的初步驗證。這是因為，在xUML中，如果前后數據不一致、不完整，語法使用不規范，代碼將會生成失敗。因此，基于xUML的體系結構開發和驗證方法可以及時發現開發過程中的錯誤并糾正，避免了后續因錯誤堆積而導致的開發困難的局面。

3.4? 模型驗證與分析

代碼生成成功后，模型即可運行，iUML Simulator提供了一個命令行窗口和一個圖形窗口使用戶能夠與可執行模型進行交互，如圖8所示，展示了區域防空指揮信息系統執行中的某個片段。

在模型執行的過程中，對象實例表顯示了實例的具體參數，可以通過查看對象實例表來檢查每個對象實例當前所處的狀態，各類參數是否設置正確，以及各類連接關系是否按預期行為建立，圖9展示了部分系統實例的狀態表。

還可以通過查看系統的狀態圖來驗證模型狀態的完備性，如圖10所示，圖中的行表示實體可能接受到的信號的集合，列表示系統的狀態。每一個單元格對應一個狀態轉換。如，當系統處于Be on duty狀態時，如果此時收到Targ_Inform信號后，則會轉入Data fusion process狀態。圖中多數單元格的值為“unknown”，這表示狀態機是不完全的，需要將其進一步完善，該案例主要用于闡述基于xUML的體系結構開發與驗證過程，因此對案例模型的完備性不作要求。

此外，iUML的信號跟蹤功能可以查看模型執行過程中信號產生和消耗的歷史，行為的執行情況以及這些信號所引起的狀態轉換。圖11中Src Domain/Class指產生信號的域/類，Dest Domain/Class指消耗信號的域/類，Src State指信號源的狀態，Dest Old St.指目標域/類接收到指定信號前的狀態編號，Dest New St.指目標域/類接收到指定信號后轉入的狀態編號。

區域防空指揮信息系統體系結構的正確執行，驗證了其數據的一致性、完備性以及狀態的可達性等，檢驗了體系結構時序與規則的正確性，有效地完成了系統的非功能性需求。此過程驗證了基于xUML的體系結構開發與驗證的可行性和有效性。

4? 結? 論

本文將模型驅動架構的思想引入到體系結構建模當中，利用基于xUML的方法對可執行體系結構建模和驗證進行了研究，闡述了xUML用于可執行體系結構建模過程中展現出可讀性強、易于操作、開發與驗證保持一致等優點，分析了xUML對DODAF相關視圖產品的支持，并給出了基于xUML與DODAF的體系結構建模方法與步驟，結合區域防空指揮信息系統開發實例驗證了此方法的科學性。

參考文獻：

[1] C4ISR Architecture Working Group. C4ISR architecture framework version 2.0 [R]. Washington DC：US Department of Defense，1997.

[2] DoD Architecture Framework Working Group. DoD architecture framework version 2.0 Volume II：Architectural Data and Models [R].Washington DC：US Department of Defense，2009.

[3] 孔瑞遠，肖桃順，沈艷麗.軍事信息系統體系結構驗證方法綜述 [J].工程研究-跨學科視野中的工程，2016，8（6）：605-613.

[4] 王立強，董劍，于海霞.基于可執行模型的復雜體系仿真驗證研究 [C]//2019全國仿真技術學術會.瓊海：《計算機仿真》雜志社，2019：23-26+48.

[5] 劉正，張新強，王鴻飛，等.基于DoDAF的可執行模型改進方法 [J].指揮與控制學報，2016，2（2）：121-128.

[6] 林文祥，劉德生.網絡信息體系信息流程挖掘方法研究 [J].指揮控制與仿真，2022，44（2）：108-115.

[7] 張洪源，王立強，龔博，等.基于混雜邏輯框架的復雜體系仿真驗證研究 [C]//'21 全國仿真技術學術會議論文集.貴陽：《計算機仿真》雜志社，2021：226-229.

[8] 傅炯，羅愛民，羅雪山，等.基于PES的Petri網可執行模型生成方法 [J].系統工程與電子技術，2017，39（5）：1030-1035.

[9] 熊健，陳英武，王棟. 武器裝備體系結構可執行模型 [J].系統工程與電子技術，2010，32（5）：966-970.

[10] 劉俊先，羅雪山，羅愛民，等. C4ISR體系結構驗證評估 [J].指揮與控制學報，2016，2（2）：129-133.

[11] 姜志平.基于CADM的C4ISR系統體系結構驗證方法及關鍵技術研究 [D].長沙：國防科學技術大學，2007.

[12] 王新堯，曹云峰，孫厚俊，等.基于DoDAF的有人/無人機協同作戰體系結構建模[J].系統工程與電子技術，2020，42（10）：2265-2274.

[13] 朱連軍，張熙迪，張濤.基于DoDAF的陸軍裝備維修保障業務架構研究 [J].裝甲兵工程學院學報，2018，32（4）：1-6.

[14] 李大喜，張強，李小喜，等.基于DoDAF的空基反導裝備體系結構建模 [J].系統工程與電子技術，2017，39（5）：1036-1041.

作者簡介：楊雙澤（1994—），男，漢族，貴州修文人，碩士在讀，研究方向：自組網應用、效能評估；趙有華（1973—），男，漢族，重慶市人，碩士研究生導師，副教授，研究方向：無線通信技術與應用；朱丹（1989—），女，漢族，江蘇南通人，碩士在讀，研究方向：無線通信技術與應用；陳啟航（1993—），男，漢族，山東青島人，碩士在讀，研究方向：自組網應用。

收稿日期：2022-06-29