纪华东+鲍晓红+付荣荣
摘 要
当前数据密集型系统越来越多地应用于实时计算机系统中,尤其是在航电系统如导航系统、飞行管理系统。航电系统中数据量大且述对象复杂多样,共享程度要求和安全性要求较高,数据错误对于航电系统的安全性有重大影响。数据安全已经成为影响航电系统安全的重要因素。因此本文结合当前最新的研究成果研究了航电系统的数据组成,梳理总结出常见的数据危害类型;然后研究了航电系统数据危害的产生,基于态势感知理论提出了航电系统数据危害层次模型,并以可控飞行触地事故为例进行了分析,验证了数据危害层次模型的正确性,为指导航电系统数据安全性分析提供理论支持。
【关键词】航电系统 数据安全性 态势感知 数据危害 层次模型
1 引言
现代飞机普遍采用自动驾驶、自动决策等功能,逐渐减少飞行员的工作量,保证飞行员专注于安全关键的飞行决策,朝着数字化、智能化的方向前进尤其是无人机领域。航空电子系统是大型客机的“大脑、神经和五官”,是实现飞机信息融合的核心,实现通信、导航、监控、控制和信息管理等功能。但是一个新的问题出现了:对于航空电子系统,系统的安全运行越来越依赖于数据。航电系统内部功能之间以及系统与外部系统或者环境之间、操作人员之间都会产生大量的数据,包括导航数据、性能数据、配置数据等,数据已经成为系统的重要组成部分。这类系统被称为数据密集型系统,系统的安全性不仅依赖于其中的软硬件,而且受到系统接收、产生或者处理的数据的影响,而且在许多情况下的数据错误的影响和系统故障是一样严重的。英国安全关键组织(SCSC)对航空、航天、航海、铁路等领域的事故进行广泛地调研,发现数据错误造成的事故比例超过14%,而软硬件导致事故的比例仅占9%。许多事故中并没有发生软硬件故障,而是由于系统中数据错误导致的。但是当前针对数据是如何导致事故的,以及数据危害是如何产生的还没有形成统一的认识,无法为开展系统数据安全性分析提供指导;而且现有的安全性标准也缺少针对数据安全性的指导。
因此本文结合国内外研究深入研究了航电系统的数据组成,分析了数据的应用特点,通过广泛的调研和梳理总结出常见的数据危害类型;然后研究了航电系统数据危害的产生,基于态势感知理论研究了航电系统数据危害如何导致事故的,并以可控飞行触地事故为例进行了分析,为理解航电系统数据安全性问题以及指导数据安全性分析提供理论支持。
2 航电系统数据危害模式
2.1 航电系统数据组成
航电系统在飞机运行状态感知、运行环境态势感知、飞行计划管理等方面发挥着重要作用,对于保证飞行安全至关重要。航电系统通过静态数据描述系统的运行环境以及系统中软硬件接口、分区和应用程序等的配置,包括基础设施数据和配置数据。配置数据可以用来配置系统软硬件描述这些标准化模块参数实现特定的功能,例如航电系统软硬件配置文件;基础设施数据用于描述系统及所处的静态环境模型,表示物理实体等信息的数据,例如电子航图数据、导航数据、飞机性能模型等。航电系统然后还需要通过动态数据描述系统运行过程中的变化和外部环境的变化,包括运行数据和状态数据。状态数据是由航电系统自身产生或者通过接口从系统的传感器以及其他的输入途径获得,随着系统的运行实时、动态产生的数据,例如传感器数据、外部输入数据;运行数据是航电系统通过人机接口或者其他系统获得的某个运行条件信息,这一系列的运行信息代表了对于设备的使用限制,例如由于恶劣天气、设备故障等限制条件信息。航电系统数据组成如图1所示。
2.2 数据危害模式
Storey指出系统中有三类危险因素,包括基本危险因素、功能危险因素和间接危險因素,其中间接危险因素本身不会对系统直接造成威胁,例如软件或者数据。根据DO-200A,数据是以某种格式真实完备地描述系统运行所需的航空事实、信息或者指令,使之可以用于通信或处理等功能。数据作为间接危害因素,给系统带来的安全问题与软件有相似之处。硬件会直接对系统造成危害,而数据和软件本身没有危害,但在系统中数据常常会为系统的操作者、功能等提供关键数据来引导系统实现功能,或者提供关键的决策信息;一旦数据无法真实地描述当前系统所需的关键信息,或者描述的不够完善无法满足系统的使用要求,就会发生错误将会对系统造成潜在的危害。因此本文结合数据定义和数据的特点,对数据危害模式进行了研究并梳理归类为4大类。
2.2.1 数据格式
定义中数据具有一定的格式才能被系统识别,这意味着格式问题为数据的基本失效类型之一。数据的格式错误可能不会影响数据表示的内容的准确性,但是会严重影响系统对数据的理解和处理。格式是对数据信息表示方式的一种规定,限制数据表示的方式。这些规则也是我们进行数据监测的基础,即使发生错误我们也可以通过检测数据是否满足规则来识别数据的错误。数据格式是如何描述一个数据,详细定义数据使用哪个单位例如米、英尺等来避免不必要的误解;给出数据测量的基准作为参考,例如在表示地理导航数据的经纬度时就必须要明确参考的基准才能获得准确的坐标;缩放比例也是格式中的一个重要方面,例如航空地图图表数据。另外数据类型、数据描述语法等也是格式的重要内容。
2.2.2 数据意义
数据是对现实世界的物体特性的描述,因此数据的意义可能是不正确的,这意味着意义问题为数据的基本失效类型之一。数据的意义错误,主要表现在以下几个方面:无法正确地描述现实世界;无法正确地反应现实世界中某个实体的状态;或者无法正确地反应用户的目的。这类错误的发生主要是由于在初始阶段数据的预处理错误,也可能是外界发生变化导致的。数据值、分辨率、关联性、一致性、完整性等属性的错误都会导致数据的意义不正确。数据还可能发生意义的模糊混淆错误,例如数据没有精确表示出其对应的信息,或者数据可以被解释为不同的信息或者指向多个对象。数据的重复或者多余也都会影响数据的意义。
2.2.3 数据时效性
数据的效用依赖于时间并有一定的期限,其价值的大小与提供数据的时间密切相关。实践证明,数据一经形成,所提供的速度越快,时间越早,价值越大。数据源获取数据之后需要经过传输等操作才能被使用,而且现实世界变化之后数据还需要更新否则就会无效,因此时效问题为数据的基本失效类型之一。从数据源头看,可能发生数据源没有获取到数据或者数据源无法发送数据;从传输过程看,可能出现的报文错误包括乱序、重复、丢失等情况;数据接收时可能发生数据发送端标识错误、类型错误、数值错误等;数据到达时间过早或者过晚等。
2.2.4 数据来源
数据从数据源到进入系统需要经历不同的系统,此时需要对数据获取传输接收的各个阶段对数据的来源进行明确的定义,来保证系统获得预期来源的可信赖的数据,因此这意味着数据来源问题为数据的基本失效类型之一。数据除了要保证正确的意义和格式,在合适的时间处于可用的状态,还要保证数据的来源是已知的、可信的。可信的来源可以说明数据的准备和处理、存储、传输都是非常严密的,能够保证数据的关键特性诸如格式、意义、时效性等。当没有足够的过程处理证明文件来保证数据在供应链的整个过程从数据的准备到数据的使用的完整性,这就是来源错误发生的原因。来源错误包括未知来源错误、虚假来源错误等。
3 航电系统数据危害原理
3.1 数据危害的产生
根据标准DO-200A,航空数据供应链(AeronauticalDataChain)是指从航空数据的收集、生成、发布传输以及最终的使用,如图2所示。错误或者故障的产生是伴随着系统从开发到投入使用的整个过程,数据错误亦然。航空电子系统作为典型的数据密集型系统,涵盖了飞机各种类型数据的獲取、传输、处理和应用组成的数据供应链,数据错误可以从供应链的各个阶段引入。为了全面地分析数据错误,应该对数据供应链的每个阶段进行安全性分析可能引入的错误。
3.1.1 数据收集阶段
这一阶段是引入错误的高发阶段,这主要是由于一方面数据的收集和记录通常是基于纸质或者电子文档,会有大量的人工操作包括记录数据的来源、根据数据要求检查数据等,难免会由于人员的疏忽而发生错误例如数据的来源、格式、数据值错误等;另一方面记录的数据无法实时且精确地描述系统的当前状态,数据的更新相对于持续变化的现实,必然导致数据与实际的偏差例如数据的不一致、数据的过时等。
3.1.2 数据验证与生成
供应商还必须对数据进行检查验证,目的是检验数据的意义是否发生变化例如出现歧义、错误等情况,对于保证数据的要求与系统功能对其的要求是否一致非常重要。对于关键数据,必须评估其是否发生变化并尽可能快速更新,以免过时的无效数据进入。然后对于通过验证的数据进行编辑加工进入相关数据库中,然后将供应商提供的数据转换为机载航电设备要求的格式。这一阶段可能发生的数据危害包括数据过时、数据无效、数据格式等错误。
3.1.3 数据发布/传输
本环节目的是将正确的数据打包发给最终用户使用,主要有磁盘、网络以及数据链等传输方式。传输过程也极易引入错误。从数据发送端看,可能发生数据源没有获取到数据或者数据源无法发送数据;从传输过程看,可能出现的数据错误包括乱序、重复、丢失等情况;数据接收时可能发生数据发送端标识错误、类型错误、数值错误、数据过早或者过晚到达等。
3.1.4 数据的应用
本环节是系统运行过程中数据为系统功能提供支持的过程。在航电系统中数据的使用包括数据更新、数据格式化、数据加载、数据处理、传输等过程。航电系统对数据安全性有很高的要求,这一环节出现的错误甚至可能导致事故的发生。Storey指出航电系统通过其信息系统获取相关数据通过人机交互显示给操作人员或者提供告警,为进行决策以及执行相关功能提供信息支持;也可以直接提供给功能系统实现功能例如导航数据提供给飞行管理系统用于制定飞行计划。通过分析发现,系统中用于关键信息显示和警示的数据错误会间接地如通过人机交互影响人的决策来影响系统安全,或者功能安全系统实现功能所必须的关键输入参数错误均会影响系统安全,甚至导致事故。
3.2 数据危害层次模型
航电系统的主要作用是克服有限能见度带来的安全性问题,通过航电各个设备获得导航、地形、障碍物、机场、气象等数据,构建飞机的态势感知,保证飞行安全。当前飞行事故频发的原因是由于飞机内外部态势感知能力的不足。根据Endsley提出的态势感知理论,航电系统对运行过程的各种安全因素的数据进行感知,包括环境要素以及系统功能、人机界面、监控设备等数据集合;理解层以感知层获取的数据集合进行数据处理,衡量评估关键态势分析元素对于达成目标的重要程度和影响,例如分析气象数据对系统导航和飞行的影响;预测层是在前2者的基础上,预测系统未来的状态。在航空领域内功能的执行常常依赖于信息和数据,具有很强的时限性和空间特征。航电系统目标的实现是基于态势感知在短时间内获取环境的数据及其变化,通过航电系统的信息处理过程评估相关数据并预测飞机的下一步状态,进行决策的制定和功能的执行,最终实现安全飞行。航电系统安全态势感知模型如图3所示。
数据是飞机态势感知的基础。数据本身不会产生危险,但是数据不是孤立存在的,安全相关数据的错误可以间接地通过人机交互或者直接为功能安全系统提供关键参数而影响功能最终导致事故发生。依据航电系统安全态势感知模型,从中我们梳理出事故和数据的关联,即若干个数据错误可以导致信息错误,若干个信息错误可以导致功能执行失效,功能失效导致事故发生。据此提出了信息系统的数据危害层次模型,如图4所示。
该模型描述了数据和事故之间的关联,在分析数据相关事故时需要识别系统功能、信息以及数据的关系。依据数据危害层次模型,本文以可控飞行触地CFIT事故为例进行分析。下面就可控飞行触地事故为例,通过本文提出的数据危害层次模型分析数据是如何导致CFIT事故的。可控飞行撞地是指在飞行中不是由于飞机本身的故障或发动机失效等原因发生的事故,而是由于机组在未觉察危险的情况下,操纵飞机撞山、撞地或飞入水中,造成飞机坠毁或严重损坏和人员伤亡的事故。图5描述了导航数据和CFIT事故之间的因果关系。在这个事故中,多个关键的导航数据错误导致导航系统提供的导航信息是错误的,飞行员依据错误的导航信息对飞行环境和飞机的状态做出了错误的决策和行动,引发了导航功能的失效,最终导致目标失败诱发了坠机事故。由于本文仅仅关注数据危害,因此导致事故发生的其他因素例如软件、硬件、环境、人因等因素都没有展开。通过分析发现CFIT事故发生的其中一个原因就是由于在飞行时关键的导航数据错误或者缺失,无法支持飞行员或者系统功能做出正确的决策进而执行相关功能导致的。
4 總结
随着信息技术的广泛应用,航电系统的数据密集程度不断提高,系统功能交互更加密集,对数据的依赖性增强。本文提出的数据危害层次模型,有效地描述了数据和系统的安全性关系,为进行航电系统数据安全性的分析以及事故致因分析提供了理论依据。但是由于缺少实践经验,该模型的有效性还需要进一步的深入研究和验证,并深入研究用于数据安全性分析的技术。
参考文献
[1]Allan S Wake.Safety of Data in Real-Time Distributed Systems.University of York,September 2008.
[2]David Michael.Improving the Assurance of Airborne Mission Management Data. University of York,September 2011.
[3]P.Hampton,M.Parsons. Accidents and Incidents:Viewing the World through Data Eyes.http://www.scsc.org.uk.
[4]Data Safety 1.3.The SCSC Data Safety Initiative Working Group. http://scsc.org.uk/paper_128/Data%20Safety%20(Version%201.3).pdf?pap=958.
[5]A.Faulkner,N.Storey.Data:An often-ignored component of safety-related systems,in Proc.MOD Equipment Assurance Symposium ESAS02,Bristol,UK,October 2002.
[6]Paul Ensor,Tim Kelly.SafetyAnalysisofNavigational Data.Septemper,2009.
[7]James Inge,David Pumfrey.Improving the Analysis of Data in Safety-Related Systems.University of York, 2009.
[8]SAE ARP 4761 Guidelines and Methods for Conducting the Safety Assessment Process on Airborne Systems and Equipments [S].
[9]朱琰.导航数据库在飞行及运行中的应用研究[D]: 中国民用航空飞行学院,2013.
[10]袁翔.模型驱动的综合航电系统配置信息的分析与验证方法研究[D]:南京航空航天大学,2014.
[11]RTCA/DO-200A,EUROCAE Document ED-76.Standards for Processing Aeronautical Data.September 1998.
[12]M.Endsley.Situation Awareness Information Requirements for En Route Air Traffic Control.Saab Group Journal of Science & Technology, 1998.
[13]A.Faulkner,N.Storey.Data Requirements for Data-Intensive Safety-Related Systems.Proc.21st Int.Systems Safety Conf.,Ottawa, August 2003:865-874.