史亭文++王偉++張成

摘要：軟件安全性是保障系統(tǒng)安全性的重要條件。該文首先介紹了軟件安全性的主要內(nèi)容，描述了幾種常用的軟件安全性分析技術(shù)，針對(duì)航空系統(tǒng)軟件所存在的問(wèn)題，從系統(tǒng)設(shè)計(jì)到軟件編碼直至軟件測(cè)試階段，對(duì)機(jī)載軟件的安全性分析過(guò)程進(jìn)行了詳細(xì)描述，最后，文中總結(jié)并展望了軟件安全性分析的發(fā)展方向。

關(guān)鍵詞：系統(tǒng)危險(xiǎn)；軟件安全性；安全性分析

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）11-0051-02

隨著科學(xué)技術(shù)的迅猛發(fā)展，軟件在航空領(lǐng)域的應(yīng)用越來(lái)越普遍。近年來(lái)由于軟件的失效引起的財(cái)產(chǎn)損失、環(huán)境破壞、人員傷亡，甚至災(zāi)難性飛行事故也屢見(jiàn)不鮮。如2009年在大西洋墜毀的法航AF477航班，其墜毀原因就是由于測(cè)速儀結(jié)冰給出飛行控制軟件錯(cuò)誤的攀升指示，而在軟件設(shè)計(jì)中又沒(méi)有設(shè)計(jì)高度上限，最終導(dǎo)致悲劇的發(fā)生[1]。在同一年，土耳其航空公司的一架波音737飛機(jī)在跑道行進(jìn)期間由于故障出現(xiàn)了飛機(jī)失速，而飛機(jī)的機(jī)載軟件缺乏處理失速的情況的程序，最終導(dǎo)致飛機(jī)墜毀[2]。由此可見(jiàn)，軟件的安全性問(wèn)題在航空系統(tǒng)中的影響越來(lái)越重要，一個(gè)簡(jiǎn)單軟件安全問(wèn)題會(huì)影響到整個(gè)飛機(jī)系統(tǒng)的安全性。

單獨(dú)軟件本身在運(yùn)行中并不存在或者并不能體現(xiàn)安全性問(wèn)題，軟件只有運(yùn)行在系統(tǒng)中才可能導(dǎo)致諸如系統(tǒng)崩潰、錯(cuò)誤指示、人員生命危險(xiǎn)等事故時(shí)在涉及到軟件安全性問(wèn)題。軟件安全性是保障整個(gè)系統(tǒng)安全性的重要條件。軟件安全性是指系統(tǒng)在規(guī)定的條件下、規(guī)定的時(shí)間內(nèi)，完成規(guī)定功能的過(guò)程中避免危險(xiǎn)條件發(fā)生的能力[3]。而危險(xiǎn)條件被定義為可能導(dǎo)致不可接受的風(fēng)險(xiǎn)發(fā)生的異常條件。軟件的安全性作為軟件質(zhì)量的重要屬性，其體現(xiàn)了“軟件在系統(tǒng)工作中避免不可接受風(fēng)險(xiǎn)的能力[4]”和“軟件運(yùn)行而不引起系統(tǒng)事故的能力[5]”。因此軟件安全性成為控制系統(tǒng)危險(xiǎn)的關(guān)鍵因素。

本文首先介紹了軟件安全性的主要內(nèi)容，描述了幾種常用的軟件安全性分析技術(shù)；針對(duì)航空系統(tǒng)軟件所存在的問(wèn)題，從系統(tǒng)設(shè)計(jì)到軟件編碼直至軟件測(cè)試階段，詳細(xì)描述了機(jī)載軟件的安全性分析過(guò)程；最后，對(duì)全文進(jìn)行了總結(jié)。

1 軟件安全性概述

系統(tǒng)安全性是指“產(chǎn)品具有的不導(dǎo)致人員傷亡、裝備損壞、財(cái)產(chǎn)損失或不危及人員健康和環(huán)境的能力”[6]。影響系統(tǒng)整體功能執(zhí)行的因素很多，包括硬件故障，操作人員的錯(cuò)誤，軟件錯(cuò)誤或者系統(tǒng)設(shè)計(jì)缺陷等，這些因可能導(dǎo)致系統(tǒng)進(jìn)入危險(xiǎn)的狀態(tài)。由此可見(jiàn)，整個(gè)系統(tǒng)的安全性工作應(yīng)該深入到系統(tǒng)中的各個(gè)環(huán)節(jié)和子系統(tǒng)中，而軟件的安全性分析是保證系統(tǒng)安全的關(guān)鍵之一。

軟件安全性問(wèn)題主要關(guān)注可能導(dǎo)致系統(tǒng)發(fā)生危險(xiǎn)的軟件失效，以及與此類軟件失效相關(guān)的設(shè)計(jì)缺陷和外部輸入條件。軟件失效是指軟件在缺省條件下不能完成規(guī)定的功能。當(dāng)軟件存在設(shè)計(jì)缺或者軟件錯(cuò)誤時(shí)有可能發(fā)生軟件失效，但是，只有軟件執(zhí)行到有缺陷或錯(cuò)誤的路徑時(shí)，才能產(chǎn)生失效。如果防止軟件失效的措施沒(méi)有起作用，那么軟件失效就會(huì)威脅到整個(gè)系統(tǒng)的安全性，甚至造成悲慘的事故。圖1[7]給出了軟件失效的因果關(guān)系和產(chǎn)生的影響。由此可見(jiàn)，為了避免軟件失效造成的系統(tǒng)故障，應(yīng)該對(duì)軟件進(jìn)行全方面的分析，從系統(tǒng)層到代碼層，從外部運(yùn)行環(huán)境到軟件內(nèi)部詳細(xì)設(shè)計(jì)，提高軟件的安全性。

圖1 軟件失效原因和影響

2 軟件安全性分析技術(shù)

下面介紹常用的幾種軟件安全性分析技術(shù)。

初步危險(xiǎn)分析（Preliminary Hazard Analysis，簡(jiǎn)記為PHA）[10]是系統(tǒng)危險(xiǎn)診斷的一種技術(shù)，是對(duì)軟件進(jìn)行安全性分析的重要手段。PHA提出了針對(duì)軟件設(shè)計(jì)、開(kāi)發(fā)過(guò)程中需要跟蹤、解決的風(fēng)險(xiǎn)清單的初步框架。

軟件失效模式及影響分析（Sostware Failure Mode and Effects Analysis，簡(jiǎn)記為SFMEA）是對(duì)傳統(tǒng)的系統(tǒng)故障分析技術(shù)FMEA的擴(kuò)展，是以失效模式為基礎(chǔ)，失效影響及后果為中心，自底向上的分析技術(shù)，用以識(shí)別軟件的薄弱環(huán)節(jié)，并提出改進(jìn)措施建議[11-12]。SFMEA可以分為兩個(gè)層次：全局級(jí)SFMEA和模塊級(jí)SFMEA。全局級(jí)SFMEA主要對(duì)軟件的體系結(jié)構(gòu)進(jìn)行分析評(píng)價(jià)，降低由軟硬件失效所導(dǎo)致的軟件風(fēng)險(xiǎn)。模塊級(jí)SFMEA主要對(duì)軟件模塊內(nèi)部進(jìn)行分析，找出失效的根本原因和具體位置，從而采取適當(dāng)?shù)姆椒ū苊膺@種風(fēng)險(xiǎn)發(fā)生。

軟件故障樹(shù)分析（Sostware Fault Tree Analysis，簡(jiǎn)記為SFTA）來(lái)是傳統(tǒng)系統(tǒng)分析技術(shù)FTA的延伸，是一種自頂向下的分析技術(shù)，以影響系統(tǒng)的故障事件為起點(diǎn)，向下逐層分析，最終找出軟件失效原因。

3 軟件安全性活動(dòng)

一個(gè)安全的系統(tǒng)應(yīng)該能夠滿足系統(tǒng)的所有安全性需求，如果某些需求不能滿足，就有可能導(dǎo)致系統(tǒng)故障，甚至引發(fā)災(zāi)難。大多數(shù)的航空軟件失效都是因?yàn)檐浖踩孕枨蟛煌暾?，安全性分析結(jié)果無(wú)追蹤導(dǎo)致的。軟件安全性工作包括安全性分析、安全性設(shè)計(jì)和安全性驗(yàn)證三個(gè)部分，如圖2[3] 所示。為了獲得完整和準(zhǔn)確的軟件安全性需求，就需要進(jìn)行充分的安全性分析工作，并且進(jìn)行安全性追蹤，這樣才能保證航空系統(tǒng)軟件的安全性。下文詳細(xì)描述了一種軟件安全性分析的方案。

圖2 軟件安全性活動(dòng)

3.1 系統(tǒng)風(fēng)險(xiǎn)識(shí)別

在機(jī)載軟件開(kāi)發(fā)初期，主要由總體設(shè)計(jì)人員對(duì)系統(tǒng)進(jìn)行安全性分析，從系統(tǒng)的運(yùn)行狀態(tài)、執(zhí)行環(huán)境等因素，通過(guò)分析系統(tǒng)中存在的與軟件相關(guān)的危險(xiǎn)因素，識(shí)別系統(tǒng)風(fēng)險(xiǎn)。然后，根據(jù)系統(tǒng)風(fēng)險(xiǎn)的嚴(yán)重程度進(jìn)行分類，并列出各功能的危險(xiǎn)狀態(tài)和影響等，獲得系統(tǒng)風(fēng)險(xiǎn)的初步清單，確定軟件的安全性關(guān)鍵功能和特性，并在軟件研制任務(wù)書(shū)中列出。為了確定引起系統(tǒng)風(fēng)險(xiǎn)的發(fā)生原因，在系統(tǒng)設(shè)計(jì)階段，通常采用PHA技術(shù)，根據(jù)歷史經(jīng)驗(yàn)數(shù)據(jù)與系統(tǒng)風(fēng)險(xiǎn)清單進(jìn)行對(duì)比，分析出其發(fā)生的原因，并提出控制這類風(fēng)險(xiǎn)發(fā)生的措施和驗(yàn)證方案。

具體過(guò)程如下：

1） 從系統(tǒng)運(yùn)行狀態(tài)、執(zhí)行環(huán)境等，識(shí)別系統(tǒng)關(guān)鍵功能，識(shí)別系統(tǒng)風(fēng)險(xiǎn)；

2） 分析系統(tǒng)風(fēng)險(xiǎn)對(duì)系統(tǒng)的影響，并根據(jù)DO-178B標(biāo)準(zhǔn)對(duì)系統(tǒng)風(fēng)險(xiǎn)的影響級(jí)別進(jìn)行分級(jí)；

3） 記錄各功能故障對(duì)應(yīng)的危險(xiǎn)狀態(tài)和影響，得到系統(tǒng)風(fēng)險(xiǎn)初步清單；

4） 根據(jù)歷史經(jīng)驗(yàn)數(shù)據(jù)和經(jīng)驗(yàn)，補(bǔ)充系統(tǒng)風(fēng)險(xiǎn)清單；

5） 對(duì)每一種系統(tǒng)風(fēng)險(xiǎn)的發(fā)生原因，確定至少一種控制措施；

6） 任何一種風(fēng)險(xiǎn)控制措施，都要提出一種軟件安全性驗(yàn)證方法。通過(guò)分析、評(píng)審、測(cè)試來(lái)驗(yàn)證現(xiàn)有軟件的安全性需求。

3.2 軟件安全性需求獲取

軟件安全性需求是指：通過(guò)約束軟件的行為，使其不會(huì)出現(xiàn)不可接受的違反系統(tǒng)安全的行為[13]。軟件安全性人員根據(jù)系統(tǒng)安全性人員提供的系統(tǒng)安全性需求、環(huán)境需求、接口需求、系統(tǒng)危險(xiǎn)分析報(bào)告，查找軟件安全性關(guān)鍵功能，確定安全性關(guān)鍵需求，并且根據(jù)危險(xiǎn)發(fā)生的可能性和嚴(yán)重性對(duì)需求的關(guān)鍵性進(jìn)行排序，并且在需求規(guī)格說(shuō)明中將軟件的安全關(guān)鍵功能標(biāo)識(shí)出來(lái)。為了進(jìn)行軟件失效模式和影響分析，通常采用SFMEA技術(shù)，根據(jù)需求規(guī)格說(shuō)明和系統(tǒng)初步危險(xiǎn)清單以及歷史經(jīng)驗(yàn)數(shù)據(jù)，分析可能引起系統(tǒng)風(fēng)險(xiǎn)的軟件失效模式、產(chǎn)生失效的原因以及該失效所產(chǎn)生的影響，并提出對(duì)應(yīng)的改進(jìn)措施；最后，基于該分析結(jié)果，采用SFTA技術(shù)，對(duì)引起軟件失效模式的原因和其邏輯關(guān)系進(jìn)一步分析，獲取相應(yīng)的軟件安全性需求。

該過(guò)程的具體的實(shí)施過(guò)程如下：

1） 根據(jù)系統(tǒng)安全性需求、環(huán)境需求、接口需求和系統(tǒng)危險(xiǎn)分析報(bào)告，確定安全性關(guān)鍵需求；

2） 根據(jù)危險(xiǎn)發(fā)生的可能性和嚴(yán)重性對(duì)安全性關(guān)鍵需求排序，并標(biāo)識(shí)到需求規(guī)格說(shuō)明中；

3） 根據(jù)軟件安全性需求的功能描述和重要度排序，從系統(tǒng)危險(xiǎn)清單選取系統(tǒng)危險(xiǎn)，參照相似系統(tǒng)的常見(jiàn)失效模式，識(shí)別和分析系統(tǒng)危險(xiǎn)所對(duì)應(yīng)的軟件失效模式；

4） 針對(duì)不同類型的軟件失效模式，根據(jù)軟件功能層次關(guān)系，分析其對(duì)本層、上一層和系統(tǒng)層的影響；

5） 逐類分析每一種失效模式產(chǎn)生的原因，并提出相對(duì)應(yīng)的改進(jìn)措施；

6） 將軟件的失效模式、失效影響、失效原因和對(duì)應(yīng)的改進(jìn)措施進(jìn)行記錄，獲得軟件失效模式及影響分析表；

7） 依據(jù)軟件失效模式，確定所分析的軟件故障樹(shù)頂事件；

8） 收集軟件功能數(shù)據(jù)流及運(yùn)行狀態(tài)，分析導(dǎo)致頂事件故障的事件及其邏輯關(guān)系，構(gòu)造故障樹(shù)；

9） 分析故障樹(shù)的底事件，獲取相應(yīng)的軟件安全性需求。

3.3 軟件安全性設(shè)計(jì)

為了進(jìn)一步提高機(jī)載產(chǎn)品系統(tǒng)的安全性，需要進(jìn)行機(jī)載軟件安全性設(shè)計(jì)工作。軟件安全性設(shè)計(jì)主要在代碼層次上從軟件設(shè)計(jì)角度進(jìn)行軟件實(shí)現(xiàn)細(xì)節(jié)的安全性分析，重點(diǎn)分析軟件是否正確地實(shí)現(xiàn)了安全性需求，是否存在會(huì)造成系統(tǒng)危險(xiǎn)的設(shè)計(jì)缺陷等，其主要從功能分配、程序接口、故障檢測(cè)、恢復(fù)和安全保護(hù)，性能和余量，可追蹤性以及可測(cè)試性等方面開(kāi)展。

軟件安全性設(shè)計(jì)分析的主要內(nèi)容如下：

a） 功能分配：確定實(shí)現(xiàn)軟件安全性需求的模塊和類等，將安全關(guān)鍵的部件和非安全關(guān)鍵部件隔開(kāi)；最小化安全關(guān)鍵部件的數(shù)目，并將安全關(guān)鍵部件在設(shè)計(jì)層機(jī)構(gòu)中的位置和功能在設(shè)計(jì)文檔中描述出來(lái)，并詳細(xì)說(shuō)明每個(gè)安全關(guān)鍵部件和安全性需求的追蹤關(guān)系，實(shí)現(xiàn)方式和實(shí)現(xiàn)約束等；

b） 程序接口：對(duì)所有部件之間的功能接口進(jìn)行定義，并標(biāo)識(shí)該接口中的安全關(guān)鍵數(shù)據(jù)，在設(shè)計(jì)文檔中詳細(xì)描述每個(gè)接口的設(shè)計(jì)流程；對(duì)軟件的輸入地址、輸出地址、輸出時(shí)序、內(nèi)部接口以及數(shù)據(jù)公共區(qū)的使用進(jìn)行分析；

c） 故障檢測(cè)、恢復(fù)和安全保護(hù)：對(duì)安全關(guān)鍵部件制定差錯(cuò)檢測(cè)或者恢復(fù)方案，并且在設(shè)計(jì)中考慮容錯(cuò)和容失效措施等；

d） 性能和余量：描述安全關(guān)鍵部件對(duì)安全性需求的響應(yīng)方式，并對(duì)這些關(guān)鍵部件設(shè)計(jì)余量；

e） 可追蹤性：標(biāo)識(shí)每一個(gè)部件到軟件需求的追蹤性，尤其 （下轉(zhuǎn)第54頁(yè)）

（上接第52頁(yè)）

是到軟件安全性需求的可追蹤性；所有的需求都應(yīng)該向下傳遞到設(shè)計(jì)，并通過(guò)維護(hù)可追蹤矩陣對(duì)需求和設(shè)計(jì)的對(duì)應(yīng)關(guān)系進(jìn)行驗(yàn)證，其次，對(duì)于每一個(gè)安全關(guān)鍵軟件的設(shè)計(jì)，在設(shè)計(jì)文檔中描述出其測(cè)試和驗(yàn)證的方法；

f） 可測(cè)試性：分析可以對(duì)部件內(nèi)部進(jìn)行充分測(cè)試的方法，并驗(yàn)證其正確工作，評(píng)審原型代碼，對(duì)其初步測(cè)試結(jié)果進(jìn)行分析，將其記錄在測(cè)試文檔中；測(cè)試過(guò)程中發(fā)現(xiàn)的任何錯(cuò)誤和缺陷，都應(yīng)該修改并給出理由；安全性人員需要獲知所有發(fā)現(xiàn)的安全關(guān)鍵問(wèn)題，以便制定出可行的解決方案。

3.4 軟件安全性驗(yàn)證

軟件安全性驗(yàn)證主要在于驗(yàn)證軟件是否正確的實(shí)現(xiàn)了安全性設(shè)計(jì)，并且沒(méi)有違反軟件的安全性需求。通過(guò)實(shí)際測(cè)量軟件的規(guī)模、復(fù)雜性和資源利用情況，將其和設(shè)計(jì)階段估計(jì)的結(jié)果相比，如果其差別較大，則可能需要重新進(jìn)行設(shè)計(jì)。通常安全性驗(yàn)證方法包括軟件邏輯分析、軟件數(shù)據(jù)分析、接口分析、中斷使用分析、規(guī)模分析以及代碼審查等。

4 結(jié)論

航空軟件大多數(shù)的失效都是因?yàn)檐浖踩苑治霾怀浞?，所獲取的軟件安全性需求不完整，安全性分析結(jié)果無(wú)追蹤導(dǎo)致的。針對(duì)航空系統(tǒng)軟件中存在的問(wèn)題，本文提出了一種安全性分析方案，其結(jié)合常用的安全性分析技術(shù)，從系統(tǒng)設(shè)計(jì)到軟件編碼直至軟件測(cè)試階段，對(duì)軟件安全性進(jìn)行逐層分析，獲取詳細(xì)的軟件安全性需求，將其落實(shí)到軟件設(shè)計(jì)中，驗(yàn)證其實(shí)現(xiàn)軟件安全性需求的正確性和完整性；其中通過(guò)建立需求追蹤矩陣，實(shí)現(xiàn)軟件安全性的追蹤。

軟件安全性問(wèn)題是一個(gè)非常復(fù)雜的問(wèn)題，需要考慮軟件、操作人員和系統(tǒng)之間的相互影響，這就需要相關(guān)人員掌握有關(guān)的安全性分析技術(shù)，在實(shí)際型號(hào)研制過(guò)程中加以應(yīng)用，逐步總結(jié)和積累，形成適合航空系統(tǒng)軟件特點(diǎn)的安全性分析方法，對(duì)提升航空系統(tǒng)的安全性具有重要的意義。

參考文獻(xiàn)：

[1] Learmount D. Never again. Flight Intl， 2012，182（5367）：32 35.

[2] Afshar A， Majid Hajyhosseinloo MD， Ali Eftekhari MD. A report of the injuries sustained in Iran Air Flight 277 that Crashed near Urmia， Iran. Archives of Iranian Medicine， 2012，15（5）：317 319.

[3] 周新蕾. 軟件安全性分析技術(shù)及應(yīng)用[J].質(zhì)量與可靠性，2005（3）.

[4] N ASA-GB-8719.13.Software Safety Guidebook [S].2004

[5] GJB/Z102，軟件可靠性和安全性設(shè)計(jì)準(zhǔn)則[S]1997.

[6] GJB Z 102A-2012 軍用軟件安全性設(shè)計(jì)指南. 2012.

[7] Li Juan， Chen Bin.Study on Software Safety in Industrial System.

[8] GJB5000A-2008 軍用軟件研制能力成熟度模型.工業(yè)和信息化部軟件與集成電路促進(jìn)中心（CSIP）25.

[9] 陳曉娟.基于GJB5000A二級(jí)成熟度等級(jí)的軟件項(xiàng)目管理[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2013（8）.

[10] NASA-GB-8719.13.Software Safety Guidebook[S].2004.

[11] 石柱，馬寬，鄭重.軟件FMEA實(shí)例研究[J].航天控制，2010（28）：75-83.

[12] 申光耀.軟件安全性保障框架及安全性技術(shù)應(yīng)用[D].北京：北京信息控制研究所，2005.

[13] Wu WH， Kelly T. Safety tactics for software architecture design. In： Proc. of the 28th Annual Intl Computer Software andApplications Conf. 2004.