航电系统数据危害模式和原理.docVIP

航电系统数据危害模式和原理 　　摘 要 　　当前数据密集型系统越来越多地应用于实时计算机系统中，尤其是在航电系统如导航系统、飞行管理系统。航电系统中数据量大且述对象复杂多样，共享程度要求和安全性要求较高，数据错误对于航电系统的安全性有重大影响。数据安全已经成为影响航电系统安全的重要因素。因此本文结合当前最新的研究成果研究了航电系统的数据组成，梳理总结出常见的数据危害类型；然后研究了航电系统数据危害的产生，基于态势感知理论提出了航电系统数据危害层次模型，并以可控飞行触地事故为例进行了分析，验证了数据危害层次模型的正确性，为指导航电系统数据安全性分析提供理论支持。 　　【关键词】航电系统 数据安全性 态势感知 数据危害 层次模型 　　1 引言 　　现代飞机普遍采用自动驾驶、自动决策等功能，逐渐减少飞行员的工作量，保证飞行员专注于安全关键的飞行决策，朝着数字化、智能化的方向前进尤其是无人机领域。航空电子系统是大型客机的“大脑、神经和五官”，是实现飞机信息融合的核心，实现通信、导航、监控、控制和信息管理等功能。但是一个新的问题出现了：对于航空电子系统，系统的安全运行越来越依赖于数据。航电系统内部功能之间以及系统与外部系统或者环境之间、操作人员之间都会产生大量的数据，包括导航数据、性能数据、配置数据等，数据已经成为系统的重要组成部分。这类系统被称为数据密集型系统，系统的安全性不仅依赖于其中的软硬件，而且受到系统接收、产生或者处理的数据的影响，而且在许多情况下的数据错误的影响和系统故障是一样严重的。英国安全关键组织（SCSC）对航空、航天、航海、铁路等领域的事故进行广泛地调研，发现数据错误造成的事故比例超过14%，而软硬件导致事故的比例仅占9%。许多事故中并没有发生软硬件故障，而是由于系统中数据错误导致的。但是当前针对数据是如何导致事故的，以及数据危害是如何产生的还没有形成统一的认识，无法为开展系统数据安全性分析提供指导；而且现有的安全性标准也缺少针对数据安全性的指导。 　　因此本文结合国内外研究深入研究了航电系统的数据组成，分析了数据的应用特点，通过广泛的调研和梳理总结出常见的数据危害类型；然后研究了航电系统数据危害的产生，基于态势感知理论研究了航电系统数据危害如何导致事故的，并以可控飞行触地事故为例进行了分析，为理解航电系统数据安全性问题以及指导数据安全性分析提供理论支持。 　　2 航电系统数据危害模式 　　2.1 航电系统数据组成 　　航电系统在飞机运行状态感知、运行环境态势感知、飞行计划管理等方面发挥着重要作用，对于保证飞行安全至关重要。航电系统通过静态数据描述系统的运行环境以及系统中软硬件接口、分区和应用程序等的配置，包括基础设施数据和配置数据。配置数据可以用来配置系统软硬件描述这些标准化模块参数实现特定的功能，例如航电系统软硬件配置文件；基础设施数据用于描述系统及所处的静态环境模型，表示物理实体等信息的数据，例如电子航图数据、导航数据、飞机性能模型等。航电系统然后还需要通过动态数据描述系统运行过程中的变化和外部环境的变化，包括运行数据和状态数据。状态数据是由航电系统自身产生或者通过接口从系统的传感器以及其他的输入途径获得，随着系统的运行实时、动态产生的数据，例如传感器数据、外部输入数据；运行数据是航电系统通过人机接口或者其他系统获得的某个运行条件信息，这一系列的运行信息代表了对于设备的使用限制，例如由于恶劣天气、设备故障等限制条件信息。航电系统数据组成如图1所示。 　　2.2 数据危害模式 　　Storey指出系统中有三类危险因素，包括基本危险因素、功能危险因素和间接危?U因素，其中间接危险因素本身不会对系统直接造成威胁，例如软件或者数据。根据DO-200A，数据是以某种格式真实完备地描述系统运行所需的航空事实、信息或者指令，使之可以用于通信或处理等功能。数据作为间接危害因素，给系统带来的安全问题与软件有相似之处。硬件会直接对系统造成危害，而数据和软件本身没有危害，但在系统中数据常常会为系统的操作者、功能等提供关键数据来引导系统实现功能，或者提供关键的决策信息；一旦数据无法真实地描述当前系统所需的关键信息，或者描述的不够完善无法满足系统的使用要求，就会发生错误将会对系统造成潜在的危害。因此本文结合数据定义和数据的特点，对数据危害模式进行了研究并梳理归类为4大类。 　　2.2.1 数据格式 　　定义中数据具有一定的格式才能被系统识别，这意味着格式问题为数据的基本失效类型之一。数据的格式错误可能不会影响数据表示的内容的准确性，但是会严重影响系统对数据的理解和处理。格式是对数据信息表示方式的一种规定，限制数据表示的方式。这些规则也是我们进行数据监测的基础，即使发生错误我们也可以通过检测数据是否满足规则来识