《Coloured Petri Nets》第一章学习笔记
教材:Coloured Petri Nets by Kurt Jensen & Lars Michael Kristensen (Springer, 2009)
章节:Chapter 1 — Introduction to Modelling and Validation(建模与验证简介)
观前须知:!!!!!
因为个人的科研需要,来学习一下CPN的相关知识,同时希望分享自己的学习心得和笔记,能为后来学习CPN的同学们有所帮助~如有错误请指出,不胜感激!(本笔记的共一作者为claude,在此感谢全知全能的C老师!)
需要有Petri网(可看我关于Petri网入门的笔记)和简单的编程语言基础(如python)更佳!
章节概览
本章是全书的引言性章节,分为六个小节:
| 小节 | 内容 |
|---|---|
| 1.1 | 建模与系统开发的关系及动机 |
| 1.2 | CPN 建模语言的高层次概述 |
| 1.3 | 抽象与可视化在并发系统建模中的作用 |
| 1.4 | 形式化建模语言与验证的优势 |
| 1.5 | CPN Tools 工具的主要功能介绍 |
| 1.6 | 四个工业项目应用 CP-nets 的成果概述 |
1.1 建模与系统开发(Modelling and System Development)
为什么并发系统难以开发?
系统开发与工程是一门综合性学科,涉及需求工程、设计与规格说明、实施、测试和部署等诸多活动。越来越多的项目关注并发系统(concurrent systems),覆盖从电信、互联网应用等大型系统,到嵌入式系统等中小型系统。
并发系统的开发之所以特别具有挑战性,根本原因在于:
- 并发性(concurrency):多个进程/组件同时运行
- 非确定性(non-determinism):系统执行路径受多种因素影响,如消息丢失、进程调度、输入时间等
这两个特性的结合导致系统可能存在天文数字量级的可能执行路径,人类设计者极易在设计时遗漏某些重要的交互模式,从而引入系统漏洞或故障。
对于核电站、飞机控制、医院生命支持设备等安全关键系统(safety-critical systems),系统从一开始就必须正确运行。因此,在实施和部署之前,必须有方法对系统设计的核心部分进行调试和测试。
💡 理解:这里其实点明了 CPN 的核心价值所在——在设计阶段就能发现问题,而不是等到实现之后才暴露缺陷。"事前建模"比"事后调试"代价小得多。
建模(Modelling)的价值
应对并发系统挑战的一种方法是构建系统的模型。建模是一种通用技术,可用于系统开发过程的多个环节。
书中用建筑师的类比来说明建模的意义:建筑师会制作纸板模型、三维计算机模型,其目的是在建筑动工之前发现设计问题。对并发系统而言,建模同样旨在在实施之前发现和纠正设计错误。
本书的重点是可执行模型(executable models),这类模型可用于模拟(simulate)系统的运行行为,而不仅仅是静态描述(如 UML 结构图)。
建模的三大核心收益
早期建模的三个主要好处:
1. 洞见(Insight)
构建并模拟模型通常能为设计带来重大的新洞察,使建模者对系统的理解比仅通过阅读设计文档更加详尽和全面。这种洞见往往促使设计更加简洁、逻辑性更强,甚至可能激发改进系统易用性的灵感。
2. 完整性(Completeness)
可执行模型的构建通常会带来更完整的规格说明。设计中的漏洞(gaps)会变得显而易见——要么模型因某些部分缺失而无法执行,要么在仿真中发现某些预期事件在当前状态下根本不可能发生。建模也有助于更全面地识别系统需求,因为模型可以作为设计者与用户讨论的媒介。
3. 正确性(Correctness)
仿真过程中通常能发现设计错误和缺陷。与真实系统不同,模型可以重现(reproduce)问题场景,并验证提出的修改是否真的解决了问题。虽然检验有限数量的场景不能保证设计完全正确,但系统地调查场景往往能显著减少设计错误的数量。
💡 理解:这三点可以理解为"建模的投资回报"——建模会在开发早期阶段增加投入,但能在实施和测试阶段节省更多时间和成本,最终减少最终系统中的缺陷数量。
1.2 颜色Petri网(Coloured Petri Nets)
CPN 是什么?
颜色Petri网(Coloured Petri Nets,简称 CP-nets 或 CPNs) 是一种用于构建并发系统模型并分析其性质的图形化语言。
它是一种离散事件建模语言(discrete-event modelling language),其核心是两种技术的融合:
CP-nets = Petri Nets + 高级编程语言(CPN ML)
-
Petri 网(Petri nets):提供图形化表示法的基础,以及建模并发、通信和同步的基本原语
-
CPN ML 编程语言:基于函数式编程语言 Standard ML,提供数据类型定义、数据操作描述,以及创建简洁、可参数化模型的能力
💡 理解:这里的颜色(Coloured)其实就是不同的数据类型,在语言上等同于一个编程语言。颜色网很适用于以并发性
和通信为为关键特征的系统。
CPN 的定位
CPN 是一种通用建模语言(general-purpose modelling language),并非针对某一特定系统类型,而是面向一大类可被归类为并发系统的系统。
典型应用领域:
- 通信协议(communication protocols)
- 数据网络(data networks)
- 分布式算法(distributed algorithms)
- 嵌入式系统(embedded systems)
- 业务流程与工作流(business processes and workflows)
- 制造系统(manufacturing systems)
- 智能体系统(agent systems)
💡 理解:CPN 并不是要替代 UML 等其他建模语言,而是作为补充工具,尤其擅长对系统的**动态行为(dynamic behavior)**进行精确、可执行的建模和分析。
高级 Petri 网 vs 低级 Petri 网
Petri 网传统上分为两类:
| 类别 | 代表 | 特点 | 主要用途 |
|---|---|---|---|
| 低级 Petri 网 | Place/Transition Nets | 简单,偏理论 | 并发性理论模型、硬件系统建模与验证 |
| 高级 Petri 网 | CP-nets, Predicate/Transition Nets | 结合编程语言,支持紧凑参数化模型 | 实际工程应用 |
CP-nets 属于高级 Petri 网,是 ISO/IEC 标准,CPN 建模语言及其工具均符合该标准。
低级网:理论模型
高级网:实际应用
CPN 模型的执行方式
CPN 模型是可执行的,同时面向**状态(state)**和 动作(action):
- 描述系统的各种状态(states)
- 描述能够引起状态变化的事件/变迁(transitions)
CPN 支持两种仿真模式:
交互式仿真(Interactive Simulation)
- 类似于单步调试(single-step debugging)
- 建模者掌握主动权,在当前状态下选择要触发的事件
- 可在图形化表示中直接观察每步操作的效果
- 适合详细调查特定场景,检验模型是否按预期工作
自动仿真(Automatic Simulation)
- 类似于程序执行,尽可能快速高效地运行模型
- 仿真器自动在启用事件中随机选择,无需人工干预
- 支持设置断点(breakpoints)和停止条件(stop criteria)
- 适合测试和性能分析,可嵌入数据采集器收集性能数据
时间概念
CP-nets 引入了时间概念,能够捕捉系统中事件所花费的时间,使 CP-nets 可用于:
- 基于仿真的性能分析:研究延迟、吞吐量、队列长度等指标
- 实时系统的建模与验证
CPN 的发展历史
CP-nets 自 1979 年起由丹麦奥胡斯大学(Aarhus University)CPN 小组开发。首个版本出现在 Kurt Jensen 的博士论文中,灵感来源于 Hartmann Genrich 和 Kurt Lautenbach 在谓词/变迁网(Predicate/Transition Nets)方面的开创性工作。主要工具有 Design/CPN 和 CPN Tools。
1.3 抽象与可视化(Abstraction and Visualisation)
抽象是建模的核心艺术
构建模型必然伴随抽象处理——有选择地省略不相关的细节。
书中以建筑师制作模型为例:一个用于评估建筑美学的纸板模型,不需要包含管道和电气线路的细节;而另一个专门用于建筑施工的模型,则需要详细说明这些信息。
在开始构建模型之前,必须先回答:
- 模型的目的是什么?
- 我们想通过这个模型了解系统的哪些方面?
- 我们对研究哪些性质感兴趣?
在系统开发的不同阶段找到恰当的抽象层次,是建模艺术的重要组成部分。
💡 理解:这提醒我们,“好的模型"不是"最详细的模型”,而是"最适合当前目的的模型"。在设计初期的高层抽象模型,和在实现前的详细精确模型,服务于不同目标。
在构建模型时,首先要问自己的问题是:目的是什么?通过建立这种模型,我们想了解什么系统?
CPN 的分层结构机制
CPN 语言的建模原语数量不多,但功能强大。CPN 模型可以被组织成一组模块(modules),各模块通过定义明确的接口相互交互(类似编程语言中的模块化设计)。
这种分层结构机制(hierarchical structuring mechanism)允许:
- 模块拥有子模块(sub-modules)
- 多个模块组合形成新模块
- 在模型的不同部分重用子模块
这使建模者可以自顶向下(top-down) 或**自底向上(bottom-up)**地构建 CPN 模型,并在 同一个模型中捕捉不同的抽象层次。
通常工作流程是:先构建高层抽象模型(在设计/分析早期阶段),然后逐步细化(refinement)以获得更精确的描述。
💡 理解:这种逐步细化的能力非常实用——它意味着 CPN 模型可以作为系统的第一个可执行原型,而不用等到系统完全实现。这是一种极具成本效益的原型方法。
可视化的作用
**可视化(Visualisation)**是与仿真密切相关的技术,其重要应用是:借助应用领域的概念呈现设计思想和分析结果,尤其在与不熟悉 CPN 的人讨论时非常有用。
CPN 建模语言提供了在 CPN 模型之上叠加应用领域图形元素的手段,例如:
- 使用**消息序列图(message sequence charts)**或时间序列图来可视化通信协议中消息的交换
- 通过可视化反馈,在更恰当的细节层次上呈现系统执行信息(避免每一步都强迫观察者深入细节)
1.4 形式建模与验证(Formal Modelling and Verification)
为什么需要形式化?
CPN 模型是形式化的(formal)——CPN 建模语言对其语法(syntax)和语义(semantics)都具有严格的数学定义。这带来了两大好处:
- 无歧义性:与用自然语言编写的设计规范不同,CPN 模型是精确的、无歧义的规格说明,这对开放协议标准的制定(确保不同厂商实现间的互操作性)尤为重要。
- 可机器操作:可由计算机工具操作,用于验证(verify)系统性质——证明某些期望的性质得以满足,或确保某些不希望的性质得到避免。
💡 理解:形式化是"严谨性"的保证。但书中也特别强调,实际使用 CPN 不需要熟悉底层数学——就像程序员使用编程语言不需要了解其形式语义一样。直觉性理解就够了。
形式化验证 vs 仿真分析
| 方面 | 仿真分析 | 形式化验证 |
|---|---|---|
| 性质 | 非正式的(informal) | 正式的(formal) |
| 方式 | 检验单个场景 | 数学证明 + 计算机辅助 |
| 覆盖 | 有限场景 | 所有可达状态 |
| 互补 | ✓ | ✓(两者互补) |
形式化验证总是伴随着非形式化的论证——需要论证模型确实捕捉了与验证属性相关的系统特性。
状态空间方法(State Space Method)
CPN 模型及系统属性的验证由状态空间方法提供支持。
基本思想:计算 CPN 模型的所有可达状态(all reachable states) 和状态变化,并将其表示为一个 有向图(directed graph):
- **节点(nodes)**表示状态
- **弧(arcs)**表示发生的事件/变迁
状态空间可以完全自动地构建,从中可以回答大量验证问题,例如:
- 是否不存在死锁(absence of deadlocks)
- 是否总能到达给定状态
- 特定服务是否能保证可靠交付
状态空间的主要优势:
- 能提供反例(counterexamples) 或 错误轨迹(error traces),给出详细调试信息
- 易于使用,高度自动化
- 可向用户隐藏底层复杂数学
主要挑战——状态爆炸问题(State Explosion Problem): 即使规模较小的系统,其可达状态数量也可能多得惊人,甚至达到无穷大。为此,研究者开发了多种状态空间约简方法(reduction methods),状态空间也可与其他分析方法结合,如位置不变量(place invariants)和网结构约简(net structure reductions)。
💡 理解:状态爆炸是形式化验证领域的核心难题。后续章节会介绍各种缓解方法,这也是 CPN Tools 持续研究的重要方向。
实践中的 CP-nets 方法论
CP-nets 的实际应用通常是多种手段的有机结合:
交互式仿真 + 自动仿真 + 可视化 + 状态空间分析 + 性能分析
↓
系统的综合验证(validation)
这些活动共同作用,使我们能够合理断言系统具有期望的属性,并对系统建立高度的信心和理解。
1.5 CPN Tools
CPN Tools 是支持 CPN 建模与验证实践的核心计算机工具,具备以下功能:编辑(editing)、仿真(simulation)、状态空间分析(state space analysis)、性能分析(performance analysis)。
- 支持无时序和有时序的分层 CPN 模型
- 全球 140 个国家、8,000+ 用户使用
- 支持 Windows XP、Windows Vista 和 Linux(书出版时)
- 免费获取(via CPN Tools Web pages)
用户界面设计
CPN Tools 的图形用户界面(GUI)没有传统的菜单栏和下拉菜单,而是基于:
- 工具调色板(tool palettes)
- 标记菜单(marking menus):圆形上下文相关菜单,显示对当前对象可执行的操作
界面主要分为两个区域:
-
左侧索引区(Index):包含工具箱(Tool box),用于操作声明(declarations)和模块(modules)
-
工作区(Workspace)
:包含活页夹(binders)——矩形窗口,分为两类:
- 内容活页夹:存放 CPN 模型的模块和声明
- 工具活页夹:存放各类工具调色板(Create、Style、Simulation、State spaces)
语法检查与代码生成
- 增量式、并行处理:语法检查和代码生成与编辑同步进行
- 即使模型未完成,也可执行已完成的部分
- 修改某部分时,只对依赖于该部分的元素重新进行语法检查和代码生成
- 代码生成的主要产出是仿真代码(simulation code),包含推断启用事件集合及计算新状态的函数
仿真支持
| 仿真类型 | 控制方式 | 典型用途 |
|---|---|---|
| 交互式仿真 | 用户完全控制,逐步选择事件 | 场景调试、设计验证 |
| 自动仿真 | 指定步数/条件,仿真器随机选择 | 测试、性能分析 |
利用 Petri 网的局部性(locality)特性,模拟器确保每秒执行步数与 CPN 模型规模无关,保证仿真可扩展到大型模型。
自动仿真可保存仿真报告(simulation report),记录仿真过程中发生的步骤序列。
状态空间分析
CPN Tools 支持:
- 全状态空间(full state spaces)
- 高级状态空间方法(缓解状态爆炸)
分析流程通常从创建**状态空间报告(state space report)**开始,包含标准行为属性的答案(如死锁存在与否、各库位令牌数量范围等)。
支持:
- 交互式绘制和查看状态空间的选定部分
- 查询函数遍历状态空间
- 基于时序逻辑(temporal logic) 表述属性并进行 模型检验(model checking)
性能分析
基于仿真的性能分析通过自动仿真 + 详尽数据采集实现:
- Monitors(监控器):指定在仿真步骤中何时采集什么数据
- 数据可写入日志文件(供电子表格后处理)或保存为性能报告(performance report),包含平均值、标准差、置信区间
- 支持批量仿真(batch simulation):无需用户干预即可探索参数空间,对每种参数配置执行多次仿真以获得统计可靠的结果
可视化与扩展
- 包含用 Java 实现的可视化软件包,支持在 CPN 模型之上构建应用领域图形(消息序列图等),可让底层 CPN 模型对观察者完全透明
- 包含多种库(libraries),如 Comms/CPN(用于 CPN 模型与外部应用间的 TCP/IP 通信)
- 开放架构:支持用户扩展功能,也为研究者提供了试验新分析算法的原型设计环境
1.6 工业应用(Industrial Applications)
书中介绍了四个与工业合作伙伴合作完成的代表性项目,覆盖了系统开发的不同阶段(需求工程 → 设计 → 验证 → 实施),详细描述在第 14 章给出。
相关工业应用论文列表可通过 [CPN 项目网页] 获取,收录了 100 多篇已发表论文。
项目一:ERDP — 爱立信泰尔比特(Ericsson Telebit)
内容:开发边缘路由器发现协议(Edge Router Discovery Protocol, ERDP)
使用手段:CPN 模型作为正式可执行规范 → 仿真 + 消息序列图 → 状态空间分析
主要成果与经验:
- CPN 建模语言和工具足以规范和分析真实通信协议,且可集成到传统协议开发流程中
- 建模、仿真和状态空间分析共同发现了设计中的若干遗漏(omissions)和错误(errors),展现了形式化技术的价值
- 构建 CPN 模型并开展状态空间分析仅花费约 100 人时——与其发现的问题所节省的代价相比,投入极小
项目二:PHCS — 奥胡斯郡医院
内容:确定普适医疗保健系统(Pervasive Health Care System, PHCS)的业务流程和 IT 需求
使用手段:CPN 模型驱动的行为可视化(behavioural visualisation) → 与不熟悉 CPN 的护士、医生等用户讨论 → 需求工程
主要成果与经验:
- CPN 模型可以支持各种需求工程活动
- 可视化使最终用户(护士、医生)能积极参与规格说明分析与需求获取——用户参与提高了系统与实际工作流程契合的可能性
- 在 UML 用例基础上叠加 CPN 模型,实现了对已有模型体系的无缝扩展
项目三:BeoLink — 邦&奥尔夫森(Bang & Olufsen)
内容:设计和分析 BeoLink 系统中的锁管理子系统(负责设备基本同步)
使用手段:带时间的 CPN 模型(timed CPN model) → 状态空间验证
主要成果与经验:
- 展示了 CP-nets 在**实时系统(real-time system)**建模与验证中的应用
- Bang & Olufsen 工程师接受了仅四天的 CP-nets 培训就能构建大部分 CPN 模型——说明 CP-nets 的学习门槛相对较低
- 后续开发的高级状态空间方法成功验证了普通状态空间方法无法处理的系统配置,且多种方法联合使用可获得比单独使用任一方法更好的约简效果
项目四:COAST — 军事调度工具
内容:开发军事调度工具(COAST),分析能力基于状态空间方法
使用手段:CPN 建模用于概念化和形式化规划领域 → 将 CPN 模型从 CPN Tools 提取为可执行形式,直接嵌入 COAST 服务器
主要成果与经验:
- 展示了 CPN 模型直接作为**计算机工具实现(implementation)**的可能性,克服了设计与实施之间的鸿沟
- CPN Tools 中集成的 Standard ML 编译器使得构建高度紧凑、可参数化的 CPN 模型成为可能,CPN 模型直接成为 COAST 服务器的实现
- 可以扩展 COAST 服务器,引入从生成的状态空间中提取任务调度所需的专用算法
本章小结
| 核心概念 | 要点 |
|---|---|
| CPN 定义 | 图形化、离散事件、可执行建模语言 = Petri 网 + CPN ML |
| 建模动机 | 并发系统的并发性与非确定性使早期建模尤为重要 |
| 建模收益 | Insight(洞见)、Completeness(完整性)、Correctness(正确性) |
| 分析手段 | 交互式/自动仿真 + 状态空间分析(形式验证)+ 性能分析 |
| 关键挑战 | 状态爆炸问题(State Explosion Problem) |
| 工具支持 | CPN Tools(免费,支持编辑/仿真/状态空间/性能分析/可视化) |
| 工业验证 | 4个代表性项目覆盖协议设计、需求工程、实时系统、工具实现 |
💡 总体感悟:第一章建立了整本书的认知框架。CPN 的核心逻辑是:用形式化但可执行的图形模型,在系统实现之前就能发现并发系统中难以通过直觉察觉的错误。它的强大之处在于仿真与形式验证的结合——仿真提供直观调试手段,状态空间提供数学严谨性
扫一扫
】Chap1 全网最值得一看的颜色网入门学习笔记来啦!(Coloured Petri Nets)&spm=1001.2101.3001.5002&articleId=159916483&d=1&t=3&u=f4d442a84d934872a065e03469bb9d29)
530
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
