军事信息系统体系结构验证方法综述

孔瑞远，肖桃顺，沈艳丽



军事信息系统体系结构验证方法综述

孔瑞远，肖桃顺，沈艳丽

(中国电子科学研究院，北京 100041)

体系结构验证是指从不同角度对体系结构设计的质量进行检验，以确保体系结构设计满足需求。伴随着新技术的发展以及新形势的变化，军事信息系统的设计日益复杂，如何有效保障体系结构设计质量已成为体系结构开发的关键。因此，体系结构验证也愈发重要。但目前，有关体系结构验证的研究较少且零散，还未形成完整的体系。本文针对体系结构验证的主要内容，提出了体系结构数据完备性、数据一致性、逻辑合理性以及效用评估的层级结构，并按照上述层级结构对各验证方法分别进行综述，体系化地验证体系结构设计的合理性。

体系结构验证；数据完备性；数据一致性；逻辑合理性；效用评估

引言

伴随着新技术的发展和应用，战争的形态和样式已发生了重大的变化，新形势下的战争已经进入信息对抗的时代，军事信息系统建设水平逐渐成为获取战争主动权的关键。当前军事信息系统呈现出系统组成数量巨大、交互异常复杂的特点，使得其开发过程必须在顶层设计的指导下才能顺利进行。体系结构涵盖系统组成部分的结构、它们之间的关系以及指导设计和随时间演化的原理和指南[1]，因此，体系结构设计是顶层设计的一个重要环节，通过多视图和多产品的形式，促进了不同人员之间的沟通和相互理解；通过各组成系统的集成与整合，提升了所开发系统的互操作性，从而提高了系统的整体能力；通过过程的最佳化和经费使用的合理化，促使系统的顶层设计更加科学、有效。由于体系结构设计在系统建设中发挥着重要作用，其设计质量就显得尤为重要。

目前，体系结构设计多采用多视图的方法，以对体系结构数据进行直观化表述，如美军的DoDAF体系结构框架视图由全视图、数据和信息视图、标准视图、能力视图、作战视图、服务视图、系统视图和项目视图组成[2]。多视图的设计方法从多个角度对信息系统进行描述，反映出不同观察者的立场和观点，能够用特定的组织方式为决策者提供有用的数据，为最终的决策提供技术支撑。各视图之间存在着复杂的交叉和关联关系，例如，能力视图描述能力构想等，并与作战活动、系统功能等之间存在对应关系。这些关联是多个视图和产品构成体系结构的基础，但同时又增加了设计的难度，对体系结构验证提出了更高的要求。因此，需要对体系结构验证方法进行更加系统、全面的研究，促使信息系统尤其是军事信息系统的体系结构验证方法更加科学高效，进而为体系结构设计提供有效的保障。

1 体系结构验证内容

体系结构验证的主要任务是检查体系结构设计的正确性，确认体系结构描述是否满足系统的功能需求和非功能需求，以及满足需求的程度如何[3]。在不同的文献中，体系结构验证的内容有所不同，并没有权威的定义。综合目前对体系结构验证的相关研究，本文认为，体系结构验证内容可以划分为体系结构数据完备性验证、体系结构数据一致性验证、体系结构逻辑合理性验证和体系结构效用评估四类。

体系结构数据完备性验证主要验证体系结构产品在种类和数量上是否满足描述体系结构的要求、是否缺少描述和构建体系结构所需的相关数据[4]。具体来说，主要包含三方面：一是产品的种类和数量是否满足要求，例如，按照某个具体的体系结构设计要求，需要提供六个视图，但产品中只提供了两个视图，那么该产品是不完备的；二是特定产品的具体内容是否完整，例如，一个系统节点缺少相应的系统功能集，那么该节点是不完备的；三是数据元素有定义但没有被使用，出现了数据“孤岛”，例如，定义了一个作战任务，但却没有赋予该作战任务任何作战能力，那么该作战节点是不完备的。

体系结构数据一致性验证主要验证体系结构数据是否存在相互矛盾的内容。数据的一致性包括两个方面：一是数据实体一致性，即相同或不同产品中对同一个数据实体的描述应该相同；二是数据关系一致性，即相同或不同产品中不同数据之间的关系应一致。数据关系的不一致性体现在，在合理的假设条件下，数据关系在同一产品或不同产品中出现逻辑上相互矛盾的情形，例如，同一作战活动同时由一对具有父子关系的作战单元执行，就会造成作战单元层次分解关系的矛盾，这在逻辑上是不合理的。

体系结构逻辑合理性验证主要验证行为是否按设计的方式执行并达到设计的效果。逻辑合理性验证的对象是体系结构的动态行为，在美国国防部体系结构框架中，对应的产品主要为作战视图中的作战事件跟踪描述（OV-6c），用于定义作战节点间引起信息交互动作的关键事件的时间顺序特征，有助于保证每个作战节点完成相应的作战活动，并可与作战状态转移描述（OV-6b）结合描述作战活动的动态行为。逻辑合理性验证可分为两个方面，一是验证作战流程、系统功能流程是否合理，例如，如果流程运行中存在不能运行的业务活动，则说明流程不合理；二是验证所设计的体系能否按期望运行，主要包括验证流程是否存在意外终止、死循环或资源争用等现象，以及验证在添加事件或活动的执行延时信息后或在不同的任务场景下，流程能否顺利、按期望的方式执行等。

体系结构效用评估主要评估体系结构的设计质量、可用性和可实施性等，分析按照设计方案开发的系统是否满足各项需求指标、是否达到设计要求。效用评估主要包括性能验证评估、效能验证评估和综合评估等。其中，性能验证评估主要对体系结构的性能，体系静态结构的复杂性、抗毁性和适应性，以及系统逻辑结构进行评估；效能验证评估将作战任务的性能需求和系统性能进行对比分析，找出影响作战效能的关键系统因素，并评估系统对整个体系的能力提升或填补能力差距方面有何贡献；综合评估通过对费用、风险等非功能性指标的评估，来验证体系结构的可用性和可实施性等。

借用语言学中的语法、语义和语用概念，可对体系结构验证内容进行划分。数据完备性验证对应于语法层面，是对体系结构设计的最基础的要求，可以避免数据的缺失或浪费，并满足基本需求；数据一致性验证和逻辑合理性验证对应于语义层面，验证体系结构数据所表达的信息是否正确、合理，但前者主要针对体系结构的静态数据实体和关系，而后者则主要面向体系结构的动态行为；效用评估对应于语用层面，从性能、效能等方面反映体系结构的设计质量、评估体系结构的可用性等，提供了设计方案对比的依据。与语法、语义和语用的递进关系类似，体系结构验证内容也呈现出一定的层级结构，如图1所示，该层级结构能够从一定程度上反映出体系结构验证的内容、其相关关系以及验证过程的一般次序。在本文的后续章节中，将按照该次序对体系结构验证的各内容展开研究。

2 体系结构数据完备性验证

数据完备性验证的传统方法是人工评审法，即专家根据个人知识和行业经验，按照体系结构设计要求对体系结构数据进行逐条比对，找出不满足完备性的数据，在实施过程中可综合多名专家进行评审。人工评审法受限于专家的经验以及人工的不可迁移性，适用于小规模的体系结构验证，当信息系统的设计非常复杂而需要多次重复验证时，该方法则难以适用。

文献[5]在进行数据完备性验证时，首先将C4ISR体系结构数据归纳为八种核心数据实体，包括：作战节点、组织、作战活动、信息、系统节点、系统、系统功能和数据；然后对每种核心数据实体建立完备性规则，根据这些规则对各核心数据实体的完备性进行验证。由于该方法只是对部分重要的数据进行验证，验证内容不够全面；且其完备性规则的建立依赖于产品的描述方法和表现形式，不具有通用性。

为使数据完备性验证具有通用性，文献[6]提出了基于CADM的数据完备性验证。其中，CADM是核心体系结构数据模型的英文简称，在DoDAF 1.0版中，作为体系结构描述信息的数据模型，是体系结构框架的重要组成部分。该方法首先确定了实体之间的三种关系：确定关系、分类关系和非确定关系，并针对不同关系确立了相应的数据完备性验证要求。此后的验证大致可分为四步：首先，明确数据规范，即根据CADM模型确定数据实体以及数据实体间相互关系的表现形式；其次，根据CADM模型建立数据实体以及数据实体间相互关系的关系模型；然后，按照关系模型中关系类型的类别，即关系类型是确定关系还是分类关系，分别建立完备性验证规则；最后，根据已建立的完备性规则进行完备性验证。由于CADM模型是体系结构数据的概念模式，与具体的表现形式和存储形式无关，使得该方法具有一定的通用性，但这种通用性是建立在体系结构均采用相同的CADM模型的基础之上，但实际当中不同的系统往往采用不同的体系结构，这些体系结构又基于不同的数据模型，因而该方法也很难在现实中得以实现。

由于CADM模型基于DoDAF 1.0版，而在DoDAF 2.0版中，国防部体系结构框架元模型（DoDAF meta-model，DM2）取代了以前版本的CADM模型，为此，文献[7]提出了一种基于DM2的体系结构数据完备性验证方法。DM2定义了体系结构数据要素，促进了体系结构描述的综合，是体系结构描述内部以及跨体系结构描述保持语义一致性的基础。该方法首先根据IDEAS（国际国防企业体系结构规范）的顶层结构，分析其中的交迭关联关系，提取数据间的完备性规则；之后，根据数据实体之间的关系，构建交迭关系矩阵；最后，根据已建立的完备性规则，利用交迭关系矩阵，判断体系结构数据的完备性。该方法具有一定的通用性，但缺点与基于CADM的完备性验证方法类似。

现有的体系结构数据完备性验证主要是基于数据模型（CADM，DM2）建立验证规则，能够对基于这些数据模型的体系结构进行验证，但不能应用于其他体系结构中。因此，需要对更具通用性的数据完备性验证理论和方法展开进一步研究。

3 体系结构数据一致性验证

在文献[8]中，作者还提出了数据一致性验证的方法，与数据完整性验证方法类似，其针对八种核心数据实体分别定义了一致性规则，并进行检验。该文首先针对八种核心数据实体展开讨论，以集合化的方式描述这些核心数据实体，在此基础上分别定义出一致性的规则，提出通过相互比较的方式对其进行一致性检查，但没有明确叙述相应的验证方法。此外，八种核心数据实体的分类虽然集中了大部分体系结构数据，但仍然不能涵盖全部，因而相应的，一致性验证也不够全面，不具有通用性。

为使数据一致性验证具有通用性，文献[9]提出了一种基于CADM的C4ISR体系结构一致性验证方法。该方法仍针对的是文献[10]中提出的八个核心实体，对其进行数据一致性验证，并以作战活动和作战单元的一致性验证方法为例进行具体介绍。该验证方法的验证过程大致可分为三步：首先，根据CADM模型提取出数据关系的约束，并根据相关约束建立一致性规则，例如，部分数据关系需要满足单向性约束，那么一个数据关系映射的两对数据实体之间应保证父子节点（单向）的逻辑性；然后，建立数据关系的邻接矩阵，通过邻接矩阵生成可达性矩阵，以表示数据实体间的间接关系；最后，根据一致性规则，利用可达性矩阵设计算法完成一致性验证。该文主要针对父子关系下的数据关系约束，建立逻辑冲突的数据一致性验证方法，而没有对其他类型的数据关系约束进行讨论。

针对DoDAF 2.0版，文献[11]提出了基于DM2的体系结构数据一致性验证方法。该文将体系结构的数据一致性分为数据标识一致性和数据关系一致性，前者可直接利用DM2模型进行检验，因此，该文主要针对后者展开讨论并将数据关系进一步划分为数据关联关系和数据指派关系。数据关联关系和数据指派关系的一致性验证过程相似，大致分为两步：第一步，根据IDEAS的元组关联关系，对不一致性进行分类，根据不一致性的种类建立一致性规则；第二步，建立关系矩阵，并根据一致性规则进行验证。在具体细节上，二者又有较大区别，例如，在不一致性的分类上，数据关联关系的不一致性主要针对IDEAS的五种元组关联关系，判断出不一致性主要有类型实例、超子类型、前后序及整体部分关系四种；而数据指派关系的不一致性主要有可替型、冗余型和冲突型三种。该文对体系结构验证的对象、不一致性的分类以及相应的验证方法均进行了研究，能够比较好地应用于实际检验过程中，但没有研究其他类型的数据一致性。

上述研究主要针对静态数据的一致性，而没有对动态行为的一致性进行验证。因此，为确保实现系统的功能，文献[12]研究了体系结构的静态一致性和动态一致性的约束和检验方法。其中，静态一致性主要以数据字典为基础，其验证过程为：建立静态一致性约束，包括数据关系约束和产品数据约束，前者基于数据字典而形成，后者则是基于产品的数据范围和数据的表述规范；进而根据约束检验数据的一致性。动态一致性的验证过程主要为：根据动态行为的状态转移过程，建立基于有色Petri网的可执行模型；设定系统的不同环境或不同参数，根据这些参数并利用可执行模型进行仿真测试和分析，从而对动态行为的一致性进行验证。尽管该文建立了动态一致性验证的流程，但对于如何建立可执行模型、如何设定各种参数以及如何建立仿真模型进行仿真分析等关键问题没有涉及。

进一步地，文献[13]在其硕士论文中对动态行为一致性验证问题进行了详细的研究。作者首先分析了作战视图和系统视图中的动态行为产品之间的关系，以及它们与其他非动态行为产品的关系；进而对动态行为的关键产品进行定义，即能直接反映作战信息交互事件或系统节点间数据交互事件的时间特性和顺序特性的产品；在此基础上得到关键产品的形式化描述。论文分别从语法层次和语义层次研究一致性验证。针对语法层次上的一致性验证，由于动态行为关键产品的描述形式主要采用文字和图形，使得不同产品间的一致性问题难以暴露出来，因此，论文用形式化的方法描述关键产品，提高了动态行为关键产品描述的准确性、完备性、无二义性和易理解性；通过对作战视图的两个关键产品作战状态转变描述和作战事件跟踪描述中的各元素分别具体分析，建立相应的一致性规则，并提出算法予以验证。针对语义层次上的一致性验证，其一致性规则的建立过程与语法层次的建立过程相似，但不能基于一致性规则利用算法进行验证；为此，论文将关键产品转化为一种中间产品，利用中间产品与对象Petri网模型建立关联，最后利用对象Petri网进行可执行验证。

与数据完备性验证相似，现有的体系结构数据一致性验证也是基于数据模型（CADM，DM2）建立验证规则，因而也需要对更具通用性的数据一致性验证理论和方法展开进一步研究。此外，现有的数据一致性验证方法多是基于数据关系建立可达性矩阵，进而利用图论的方法进行验证，当数据关系非常复杂从而造成可达性矩阵异常庞大时，利用图论中寻找生成树的方法来确认不一致的类别所面临的复杂度可能会呈指数级增长，对验证的时效性会有较大的影响。

4 体系结构逻辑合理性验证

目前，逻辑合理性验证的主要方法是乔治梅森大学系统体系结构实验室提出的可执行验证法[14-15]，在实际验证过程中，逻辑合理性验证常与下一节即将介绍的效用评估一起进行，这是因为逻辑合理性验证方法的构建过程可作为效用评估方法构建的一部分。可执行验证法的基本思路是根据数据模型，将体系结构产品转换为某种可执行模型，根据所建立的模型要求输入相关信息，运行可执行模型，验证行为是否按设计的方式执行并达到设计的效果。可执行验证法的核心是可执行模型的建立，下面将介绍几种典型的可执行模型的建立方法。

文献[16]基于Statechart图建立可执行模型。Statechart图是一种状态迁移图，能有效刻画元素的状态、迁移和动作。该文的主要思路为：首先，将体系结构产品的动态行为用Statechart图描述，从而利用Statechart图的特点追踪作战和系统状态转移等动态行为在体系结构运行过程中的变化；在建立可执行模型过程中，开发出脚本语言，以控制Statechart图的状态改变、迁移等过程的执行，结合其他信息建立仿真环境。该方法能够验证体系结构动态行为状态的可达性，但不能对资源使用、时间耗费等功能或性能进行检验。

文献[17]基于结构化的方法建立可执行模型。其方法可概括为：首先，将作战活动模型与有色Petri网对应起来，具体为将每个活动转换为Petri网中的转移，活动之间的关系转换为Petri网中的节点与位置的关系；其次，将数据模型与有色Petri网对应起来，具体为根据数据模型中的信息设置Petri网中令牌的颜色，从而完成有色Petri网的构建；最后，对有色Petri网进行执行，通过对结果的分析反映体系结构的执行情况。该方法能很好地描述体系结构的状态、转移等特征，但无法描述相应元素的时序特征，并且在转换过程中，需要人工输入部分信息，自动化程度需要提高。

文献[18]基于对象Petri网建立可执行模型。该文首先根据对象Petri网的特点以及建模过程，建立所需建模元素与体系结构产品数据之间的关系；利用体系结构描述构建对象Petri网框架模型，进而创建其类库模型，根据不同类之间的关系确定类库的输入输出端口；根据体系结构数据对各对象Petri网模型进行细化，定义建模元素相关函数，添加相应指标后完成对象Petri网模型的构建。

现有的逻辑合理性验证多是基于可执行模型进行验证，因此，相关研究关注的焦点在于构建不同的可执行模型。由于可执行模型的建立必然涉及到体系结构的转换，例如，将体系结构与Petri网相对应，在转换过程中必然会造成信息的损失，而现有研究中对可执行模型建立过程对原有体系结构的影响并没有进行深入的理论研究，使得该方法仍需进一步完善。

5 体系结构效用评估

5.1 性能验证评估

文献[19]研究了体系结构的结构合理性和作战规则合理性验证方法。针对体系结构的结构合理性验证，论文借鉴软件工程领域的研究成果，提出了利用耦合度、内聚度和复杂度三种指标的加权来验证结构的合理性，以“高内聚度、低耦合度、低复杂度”作为合理性原则。其中，耦合度反映了系统模块之间通过连接而建立的联系强度，可通过数据交换关系的描述计算得到信道占有率，并以此度量耦合度；内聚度反映了一个系统的内部各成分联系的紧密程度，以子系统间的数据流关系来度量；复杂度反映了系统分解的复杂程度以及各系统之间数据流的复杂程度，以部分核心要素的数量和层次来度量。在获得三个指标度量值后，进行归一化处理，并加权以获得结构合理性的度量。针对体系结构的作战规则合理性验证，论文提出利用基于可执行模型的仿真方法进行验证。验证过程主要为：首先，对作战规则所包含的各模型进行分析，建立合适的转换规则并将其转换为基于对象Petri网的可执行模型；随后，建立仿真模型，并设定不同场景和不同参数作为仿真模型的输入，然后多次运行该模型并对结果进行分析以完成验证。

Popkin公司的System Architect[20]基于过程模型，对DoD体系结构的作战视图进行执行，能较好地验证作战概念。该方法以过程为中心，通过模拟实际运行场景对过程执行，实现对作战视图的验证。在其实际运行场景的模拟中，将可用资源以及相应任务分配给角色，明确角色的权利和职责，进而描述过程相关的执行时间，根据角色和时间制定触发事件触发作战活动等的执行。该方法对作战流程进行了很好的描述，并能够对资源进行分析，获取其使用情况，但只能对作战视图进行执行，而无法对整个体系结构进行评估。

文献[21]基于xUML语言，对系统功能建模，对系统需求进行验证。该方法主要利用了xUML语言的性质，xUML是UML语言的扩展，对状态转换等方面功能进行了增强，能够更加准确地描述体系结构的静态行为；xUML采用行为描述语言对体系结构的动态行为进行准确的描述。该方法的主要验证过程为：通过对xUML图形描述种类的改进，如包图、活动图等，建立相应的可执行模型；基于已建立的可执行模型，利用xUML中状态转换表的三种效果验证行为完整性，通过对用例的单元测试和系统测试验证行为正确性，利用状态转换中的各种格局验证行为可行性，最后利用仿真的方法完成性能验证。该方法利用了xUML的特点而不依赖于具体实现技术和软件环境，但是缺乏和作战视图的一致性联系，无法从整体上来评估体系结构。

MITRE公司提出了可执行体系结构分析法[22]，利用混合仿真技术验证体系结构的设计质量。该方法将体系结构产品转化成可执行的形式，利用仿真工具对系统行为进行分析，在这一过程中，体系结构的主要产品之间被有效地串连起来，从而可以形成一个统一的执行体。其技术实现过程非常复杂，需要借助多个模型，具体过程（见图2）可简述为：首先，提取系统架构开发软件System Architect所得到的体系结构产品，将其输入ICAMS中；然后，在ICAMS中对产品数据进行转换，产生基于Petri网的过程模型，并由此建立可执行模型；再次，通过HLA将通信仿真软件NS2、流程仿真软件Bonapart与作战仿真软件Eagle关联起来；最后，利用三个软件之间的交互，完成作战触发、信息交换、结果处理等过程，从而完成作战过程的执行，对时间耗费情况、资源利用情况等性能指标进行验证。但该方法涉及三种转换，过程复杂，合理性难以得到保证，且容易导致信息的失真和偏差。

5.2 效能验证评估

文献[23]提出了应用于军事C3I系统的效能分析方法，开启了系统效能分析在军事信息系统中的应用。系统效能分析方法考虑到了不确定因素的影响，借助概率论相关知识，利用系统完成任务的可能性对系统效能进行度量。其分析过程为：首先，确定一个公共属性空间，分别将系统轨迹和任务轨迹映射到该空间中，从而能够在同一空间中度量系统完成任务的概率；然后，对系统可能的运行环境和参数进行分析，描述出系统的组成、结构等对性能的影响，进而根据相应参数的范围形成系统轨迹，可用类似的方法形成任务轨迹；最后，在该公共属性空间中，根据系统轨迹和任务轨迹计算出系统完成任务的概率，对系统效能进行度量。该方法的难点在于公共属性空间的形成，此外，系统轨迹和任务轨迹的形成也是非线性的，较难获得。

文献[24]利用指数法，研究了基于DoDAF的系统效能评估问题。指数法首先面临的是指标的选择，通常需要专家确定各指标；其次，需要按照一定的方法将指标无量纲化，以使指标之间相互比较和综合，指标权重通常依靠专家打分等方法来确定；最后在相关背景下对指标分别求取，根据指标权重综合得出评估数值。该文采用有向无环图、逻辑门聚合、归正函数等理论，提出了不同领域指标体系建模的通用指标体系模型；在确定指标权重时，为减少由专家主观因素所带来的评估误差而引入了粒子群理论；最后结合通用指标体系模型，使用层次分析法进行评估。

5.3 综合评估

文献[25]研究了ATAM法在C4ISR系统体系结构评价中的应用，对性能、可靠性等质量属性进行了分析。ATAM法（Architecture Tradeoff Analysis Method），即体系结构折衷分析法，是由美国卡内基梅隆大学软件工程研究所首先提出的。该方法的主要思路是利用场景将质量属性具体化、实例化，对每个质量属性建立模型，通过分析发现敏感点（即与某个质量属性的变化密切相关的体系结构参数，其微小变化会对该质量属性造成重要的影响），进而找出多个质量属性共同的敏感点，即折衷点，最后对折衷点是否满足需求进行判断，改进体系结构设计。论文具体阐明了系统描述、场景搜集、体系结构描述、质量属性分析等过程，给出了ATAM法应用到C4ISR系统体系结构评价中的例子。

在体系结构设计阶段，现有的效用评估方法主要采用基于可执行模型的仿真方法，更侧重于性能方面的评估，而效能评估和综合评估更多的是处于体系结构构建之后对应用系统的验证。总体来说，对体系结构效用评估方法的研究仍然比较薄弱，对不同体系结构设计产品进行比较的理论和方法仍需要进一步深入的研究。

6 结语

体系结构验证从不同角度对体系结构设计的质量进行了检验，以确保体系结构设计满足需求，是体系结构设计质量的重要保障。伴随着新技术的发展以及新形势的变化，信息系统的设计日益复杂，如何有效保障体系结构设计质量成为体系结构开发的关键。但是由于军事信息系统体系结构比较复杂，相关研究时间较短，对于体系结构验证方法的研究还远未成熟，特别是在实际应用中，尚缺乏真正有效、易用的验证工具。目前关于体系结构验证方法已有成果的介绍大多类似，本文在文献基础上结合其他成果对体系结构验证方法进行了系统的整理、总结，提出了数据完备性、数据一致性、逻辑合理性以及效用评估的层级结构，以期为相关研究工作提供理论支撑。

对于现有的体系结构验证方法，本文进行了以下四个方面的总结和思考：

1）数据完备性和数据一致性验证主要是基于数据模型（如CADM、DM2），建立验证规则进行验证。这就要求被验证的体系结构需采用相同的数据模型，因而在实际应用中存在一定的难度。

2）逻辑合理性验证方法主要是可执行验证法，基于不同的理论（如结构化、Statechart图、对象Petri网等）提出相应的可执行模型。但由于该方法涉及数据的转换，在转换的过程中必然会造成损耗，使得可执行方法不能完全真实地反映体系结构的性质，应该思考如何对这种影响进行度量。

3）效用评估方法主要是基于可执行模型的仿真方法，在建立各种可执行模型的基础上提出各种假定，然后建立仿真模型进行验证。此外，在可执行模型建立后可进行逻辑合理性验证，在仿真模型建立后可应用其他传统的效能评估方法。但现有的效用评估方法仍然无法很好地进行不同体系结构优劣性的比较，需要进一步研究。

4）现有体系结构验证方法仍然是从“系统”的角度思考“体系结构”问题，然而现今军事信息系统已更多地发展为相当复杂的系统，成为“系统的系统”，即“体系”[24]，与传统的“系统”有本质的区别。其中，一个重要的区别是“体系”具有“突现性”，即组成系统在演进过程中可能突然出现未预料到的性质（类似于基因突变）。因此，体系结构验证应该考虑体系结构的演进过程以及可能出现的“突现性”，如何对“突现性”进行某种意义下的预测和度量是未来体系结构验证的一个重要的、极具挑战性的研究问题。

[1] C4ISR Architecture Working Group. C4ISR Architecture Framework Version 2.0 [R]. U. S.: Department of Defense, 1997.

[2] DoD Architecture Framework Working Group. The Department of Defense Architecture Framework (DoDAF) Version 2.0 [R]. U. S.: Department of Defense, 2009.

[3] 黄力. 基于Statechart图的C4ISR系统体系结构验证方法研究[D]. 湖南: 国防科大, 2004.

[4] 罗雪山, 罗爱民, 张耀鸿, 等. 军事信息系统体系结构技术[M]. 北京: 国防工业出版社, 2010: 184-189.

[5] 罗爱民. 基于框架的C4ISR体系结构语法、语义设计与分析方法研究[D]. 湖南: 国防科大, 2006.

[6] 张辉清. 基于CADM的C4ISR体系结构数据完备性验证方法研究[J]. 舰船电子工程: 2008: 1-5.

[7] 李志淮, 谭贤四, 王红, 姚延军. 基于DM2的体系结构数据完备性验证方法[J]. 装备学院学报, 2012: 117-121.

[8] 姜志平, 刘俊先, 吕翔, 罗雪山. 基于CADM的C4ISR体系结构一致性验证方法[J]. 系统工程, 2007: 25-29.

[9] 李志淮, 谭贤四, 王红, 李桂祥. 基于DM2的体系结构数据一致性验证方法[J]. 系统工程与电子技术, 2013: 357-361.

[10] 梁浩, 王明哲. 系统体系结构设计的一致性约束和检验[J]. 兵工自动化, 2006: 31-33.

[11] 丁泽柳. C4ISR体系结构动态行为一致性验证方法研究[D]. 湖南: 国防科大, 2007.

[12] P. C. Barr, A. R. Bernstein, etc. Executable architecture for the first digitized division[C]. Conference on Digitization of the Battlespace V and Battlefield Biomedical Technologies II 24, Proceedings of SPIE, 2000.

[13] 姜志平, 刘俊先, 黄力, 罗雪山. C4ISR体系结构研究现状与问题[J]. 系统工程与电子技术, 2007: 1677-1682.

[14] 姜军, 柏晓莉, 罗雪山, 罗爱民. 可执行体系结构分析与评估研究[J]. 中国电子科学研究院学报, 2008: 256-261.

[15] L. W. Wagenhals, D. Kim, A H. Levis. C4ISR Architectures II: A structured analysis approach for architecture design[J]. Systems Engineering, 2000: 248-287.

[16] 罗爱民. 基于可执行模型的体系结构验证评估方法[J]. 计算机科学, 2010: 294-297.

[17] 姜志平. 基于CADM的C4ISR系统体系结构验证方法及关键技术研究[D]. 湖南: 国防科大, 2007.

[18] Popkin Software. System Architect USRPROPS Extensibility Guide[R]. Popkin Software, 2004.

[19] 付广胜. 基于xUML可执行模型的C4ISR系统需求开发与验证方法研究[D]. 湖南: 国防科大, 2007.

[20] J. T. Pawlowski, C. B. Paul, J. R. Steven, etc. Executable architecture methodology for Analysis, FY04 Final Report[R]. MITRE, 2004.

[21] A. H. Levis, K. Houpt, S. K. Andreadakis. Effectiveness analysis of C3I system[R]. LIDS-P-1383, 1984.

[22] 刘泽胤. 基于DODAF的系统效能评估[D]. 黑龙江: 哈尔滨工程大学, 2008.

[23] 黄力, 罗爱民, 邱涤珊, 罗雪山, 谭跃进. ATAM方法及其在C4ISR 系统体系结构评价中的应用[J]. 火力与指挥控制, 2003: 19-22.

[24] 陈鑫. 基于SA体系结构产品数据的可执行模型构建方法研究[D]. 湖南: 国防科大, 2011.

[25] M. Jamshidi. System of systems engineering: innovations for the 21st century [M]. New Jersey: John Wiley & Sons, Inc., 2009.

Research on Verification Methods for the Architectures of Military Information Systems

Kong Ruiyuan, Xiao Taoshun, Shen Yanli

(China Academy of Electronics and Information Technology, Beijing 100041, China)

Verification of the architecture is the process of quality check of design to ensure that the design satisfies the system requirements. With the developments of new technologies and changes of new situations, design of military information systems becomes more complex, and the quality guarantee of their design gets to be a crucial factor. Thus, verification of the architecture has become more and more important. However, the related researches were few and scattered in present, and there’s no integrated system. Based on the contents of the verification of architecture, a hierarchical structure has been proposed in this paper, including data completeness, data consistency, logic rationality and effectiveness evaluation of the architecture, and the relevant summaries are demonstrated according to this structure.

verification of the architecture; data completeness; data consistency; logic rationality; effectiveness evaluation

10.3724/SP.J.1224.2016.00605

TP302

A

1674-4969(2016)06-0605-09

2016-07-09;

2016-07-25

孔瑞远（1987-），男，博士，工程师，研究方向为体系结构设计。E-mail: xyzkong@126.com肖桃顺（1982-），男，硕士，工程师，研究方向为体系结构设计。沈艳丽（1977-），女，本科，高级工程师，研究方向为体系结构设计。