北约《建模和仿真 (M&S) 使用风险识别、分析和缓解指南》报告

1.0 评估建模和仿真的使用风险

1.1 背景

建模和仿真被开发和用作支持系统分析、设计、测试和评估、采集、培训和指导以及更多领域的支持技术。如今，各种各样的建模和仿真 (M&S) 工具正在更广泛的不同应用和问题领域中使用。 M&S 通常在实际系统无法满足用户需求（例如，风险、可用性）或在其他方面比实际系统更有效（例如，成本、有效性）时应用。但是，本质上，所有 M&S 工具都提供了一些基于不同类型近似的系统（例如实体、现象、过程）的抽象表示。因此，M&S 功能不能完全取代实际系统，更重要的是，它们的使用会带来不确定性。

M&S 的验证和确认 (V&V) 是专注于在整个生命周期内评估 M&S 系统和软件工程过程领域。实施 V&V 是为了提供必要的证据，以获取有关 M&S 假设、能力和与可接受性标准相关限制的知识。 V&V 不仅利用系统工程和软件工程，还利用信息科学、认知和行为科学以及其他相关学科。

北约 (NATO) 建模和仿真小组 (MSG) 进行了一系列努力，包括 MSG-054，它为 M&S 的有效 V&V 制定了标准和指导文件。 MSG-054 的努力得到了电气和电子工程师协会 (IEEE) 标准 1516.4™-2007 联盟的验证、确认和认可[5]。除了建立 IEEE 标准外，MSG-054 还开发了 V&V 复合模型，从中选择 V&V 方法和技术，以匹配 V&V 工作的风险和资源限制，同时遵守相关政策、标准和指导 [6]。V&V 复合模型是可能的活动和环境的超集。

MSG-073 实现了验证和确认的通用方法 (GM-VV) 的标准化，如图 1 所示，它提供了一个通用框架来有效地开发一个论据，以证明接受和使用已识别的模型、仿真、基础数据、结果、和目标（预期）操作环境中的能力。 GM-VV 成功完成了仿真互操作性标准办公室 (SISO) 标准化流程，以提供完全接受的验证、确认和认可 (VV&A) 指导文件 [3]。 GM-VV 的目的是为 V&V 提供一般适用的指导：

• 促进 M&S 界内对 V&V 的共同理解和交流；

• 适用于 M&S 生命周期的任何阶段（例如，开发、使用和再利用）；

• M&S利益相关者的接受决策过程导向；

• 由 M&S 利益相关者的需求和 M&S 使用风险承受能力驱动；

• 可扩展以适应任何 M&S 范围、预算、资源和使用风险阈值；

• 适用于多种M&S 技术和应用领域；

• 将产生可追溯、可重复和透明的基于证据的接受论点；

• 可以在企业、项目或技术级别进行实例化；

• 促进 V&V 结果、工具和技术的重用和互操作性。

图1: GM-VV参考框架

在这些先前的努力中，M&S 使用风险得到了认可，实际上是指南和标准中记录的建议的驱动因素。尽管 M&S 界就该主题的重要性达成了共识，但没有公认的方法可用于 M&S 使用风险的限定或量化，以说明项目特定的 M&S 要求和约束。此外，M&S 工具及其开发过程的复杂性日益增加，从而导致包括 M&S 使用风险在内的一系列风险。 M&S 使用风险与 M&S 结果的不当应用及此类应用对决策者的后果有关。

风险管理依赖于评估风险的影响（一旦实现）、定义减轻风险的方法以及评估减轻风险的成本。有效的风险管理需要识别风险和平衡额外投资以减轻风险的方法。这种评估是基于对风险实现的可能性和实现的影响的评估。识别和评估风险后，可以制定缓解策略。评估 M&S 使用风险的方法可用于确定开发目标的优先级、准备和响应资源可用性的变化，以及定制 V&V 活动。

1.2 MSG-139 目标、任务和成果

2014 年 9 月，北约合作支持办公室 (CSO) 批准组建 MSG-139，建模和仿真 (M&S) 使用风险识别和管理。该任务组的主要目标是为 M&S 使用风险识别和分析，定义和部署具有相关方法和技术的通用方法。一套互补的、最先进的M&S使用风险识别、分析和缓解方法，通过以下方式促进未来北约和国家M&S项目的质量、可信度和效用保证：

• M&S使用风险识别的通用方法和指南；

• 对M&S使用风险问题和解决方案有共同的理解和知识;

• 一套M&S使用风险分析的方法和技术;

• 基于M&S使用风险而不是成本的替代方法和相关指导方针;

• M&S使用与M&S技术和系统生命周期范例无关的风险识别和分析解决方案。

报告结构

本文件报告了MSG-139在满足上述目标方面的努力结果。具体来说，在第一章中，定义了问题，选择和应用M&S使用风险方法论(MURM)的基本原理，并介绍了该方法的简短历史和概述。第二章从语义定义出发，推导了M&S使用风险方程，并给出了该方程的解，该方程在应用空间中以一个三维曲面表示。相关的数学证明和细节见附录1和附录2。第三章介绍了一个MURM的实现，并为从业者提供了建议和指导。在第4章中，一个基于实际应用的用例被提出，说明了在逐项需求的基础上评估风险状态的方法的有效性，同时也演示了为M&S的特定预期用途(SIU)降低风险的方法。