航電系統數據危害的模式和原理

紀華東+鮑曉紅+付榮榮

摘 要

當前數據密集型系統越來越多地應用于實時計算機系統中，尤其是在航電系統如導航系統、飛行管理系統。航電系統中數據量大且述對象復雜多樣，共享程度要求和安全性要求較高，數據錯誤對于航電系統的安全性有重大影響。數據安全已經成為影響航電系統安全的重要因素。因此本文結合當前最新的研究成果研究了航電系統的數據組成，梳理總結出常見的數據危害類型；然后研究了航電系統數據危害的產生，基于態勢感知理論提出了航電系統數據危害層次模型，并以可控飛行觸地事故為例進行了分析，驗證了數據危害層次模型的正確性，為指導航電系統數據安全性分析提供理論支持。

【關鍵詞】航電系統 數據安全性 態勢感知 數據危害 層次模型

1 引言

現代飛機普遍采用自動駕駛、自動決策等功能，逐漸減少飛行員的工作量，保證飛行員專注于安全關鍵的飛行決策，朝著數字化、智能化的方向前進尤其是無人機領域。航空電子系統是大型客機的“大腦、神經和五官”，是實現飛機信息融合的核心，實現通信、導航、監控、控制和信息管理等功能。但是一個新的問題出現了：對于航空電子系統，系統的安全運行越來越依賴于數據。航電系統內部功能之間以及系統與外部系統或者環境之間、操作人員之間都會產生大量的數據，包括導航數據、性能數據、配置數據等，數據已經成為系統的重要組成部分。這類系統被稱為數據密集型系統，系統的安全性不僅依賴于其中的軟硬件，而且受到系統接收、產生或者處理的數據的影響，而且在許多情況下的數據錯誤的影響和系統故障是一樣嚴重的。英國安全關鍵組織（SCSC）對航空、航天、航海、鐵路等領域的事故進行廣泛地調研，發現數據錯誤造成的事故比例超過14%，而軟硬件導致事故的比例僅占9%。許多事故中并沒有發生軟硬件故障，而是由于系統中數據錯誤導致的。但是當前針對數據是如何導致事故的，以及數據危害是如何產生的還沒有形成統一的認識，無法為開展系統數據安全性分析提供指導；而且現有的安全性標準也缺少針對數據安全性的指導。

因此本文結合國內外研究深入研究了航電系統的數據組成，分析了數據的應用特點，通過廣泛的調研和梳理總結出常見的數據危害類型；然后研究了航電系統數據危害的產生，基于態勢感知理論研究了航電系統數據危害如何導致事故的，并以可控飛行觸地事故為例進行了分析，為理解航電系統數據安全性問題以及指導數據安全性分析提供理論支持。

2 航電系統數據危害模式

2.1 航電系統數據組成

航電系統在飛機運行狀態感知、運行環境態勢感知、飛行計劃管理等方面發揮著重要作用，對于保證飛行安全至關重要。航電系統通過靜態數據描述系統的運行環境以及系統中軟硬件接口、分區和應用程序等的配置，包括基礎設施數據和配置數據。配置數據可以用來配置系統軟硬件描述這些標準化模塊參數實現特定的功能，例如航電系統軟硬件配置文件；基礎設施數據用于描述系統及所處的靜態環境模型，表示物理實體等信息的數據，例如電子航圖數據、導航數據、飛機性能模型等。航電系統然后還需要通過動態數據描述系統運行過程中的變化和外部環境的變化，包括運行數據和狀態數據。狀態數據是由航電系統自身產生或者通過接口從系統的傳感器以及其他的輸入途徑獲得，隨著系統的運行實時、動態產生的數據，例如傳感器數據、外部輸入數據；運行數據是航電系統通過人機接口或者其他系統獲得的某個運行條件信息，這一系列的運行信息代表了對于設備的使用限制，例如由于惡劣天氣、設備故障等限制條件信息。航電系統數據組成如圖1所示。

2.2 數據危害模式

Storey指出系統中有三類危險因素，包括基本危險因素、功能危險因素和間接危險因素，其中間接危險因素本身不會對系統直接造成威脅，例如軟件或者數據。根據DO-200A，數據是以某種格式真實完備地描述系統運行所需的航空事實、信息或者指令，使之可以用于通信或處理等功能。數據作為間接危害因素，給系統帶來的安全問題與軟件有相似之處。硬件會直接對系統造成危害，而數據和軟件本身沒有危害，但在系統中數據常常會為系統的操作者、功能等提供關鍵數據來引導系統實現功能，或者提供關鍵的決策信息；一旦數據無法真實地描述當前系統所需的關鍵信息，或者描述的不夠完善無法滿足系統的使用要求，就會發生錯誤將會對系統造成潛在的危害。因此本文結合數據定義和數據的特點，對數據危害模式進行了研究并梳理歸類為4大類。

2.2.1 數據格式

定義中數據具有一定的格式才能被系統識別，這意味著格式問題為數據的基本失效類型之一。數據的格式錯誤可能不會影響數據表示的內容的準確性，但是會嚴重影響系統對數據的理解和處理。格式是對數據信息表示方式的一種規定，限制數據表示的方式。這些規則也是我們進行數據監測的基礎，即使發生錯誤我們也可以通過檢測數據是否滿足規則來識別數據的錯誤。數據格式是如何描述一個數據，詳細定義數據使用哪個單位例如米、英尺等來避免不必要的誤解；給出數據測量的基準作為參考，例如在表示地理導航數據的經緯度時就必須要明確參考的基準才能獲得準確的坐標；縮放比例也是格式中的一個重要方面，例如航空地圖圖表數據。另外數據類型、數據描述語法等也是格式的重要內容。

2.2.2 數據意義

數據是對現實世界的物體特性的描述，因此數據的意義可能是不正確的，這意味著意義問題為數據的基本失效類型之一。數據的意義錯誤，主要表現在以下幾個方面：無法正確地描述現實世界；無法正確地反應現實世界中某個實體的狀態；或者無法正確地反應用戶的目的。這類錯誤的發生主要是由于在初始階段數據的預處理錯誤，也可能是外界發生變化導致的。數據值、分辨率、關聯性、一致性、完整性等屬性的錯誤都會導致數據的意義不正確。數據還可能發生意義的模糊混淆錯誤，例如數據沒有精確表示出其對應的信息，或者數據可以被解釋為不同的信息或者指向多個對象。數據的重復或者多余也都會影響數據的意義。

2.2.3 數據時效性

數據的效用依賴于時間并有一定的期限，其價值的大小與提供數據的時間密切相關。實踐證明，數據一經形成，所提供的速度越快，時間越早，價值越大。數據源獲取數據之后需要經過傳輸等操作才能被使用，而且現實世界變化之后數據還需要更新否則就會無效，因此時效問題為數據的基本失效類型之一。從數據源頭看，可能發生數據源沒有獲取到數據或者數據源無法發送數據；從傳輸過程看，可能出現的報文錯誤包括亂序、重復、丟失等情況；數據接收時可能發生數據發送端標識錯誤、類型錯誤、數值錯誤等；數據到達時間過早或者過晚等。

2.2.4 數據來源

數據從數據源到進入系統需要經歷不同的系統，此時需要對數據獲取傳輸接收的各個階段對數據的來源進行明確的定義，來保證系統獲得預期來源的可信賴的數據，因此這意味著數據來源問題為數據的基本失效類型之一。數據除了要保證正確的意義和格式，在合適的時間處于可用的狀態，還要保證數據的來源是已知的、可信的。可信的來源可以說明數據的準備和處理、存儲、傳輸都是非常嚴密的，能夠保證數據的關鍵特性諸如格式、意義、時效性等。當沒有足夠的過程處理證明文件來保證數據在供應鏈的整個過程從數據的準備到數據的使用的完整性，這就是來源錯誤發生的原因。來源錯誤包括未知來源錯誤、虛假來源錯誤等。

3 航電系統數據危害原理

3.1 數據危害的產生

根據標準DO-200A，航空數據供應鏈（AeronauticalDataChain）是指從航空數據的收集、生成、發布傳輸以及最終的使用，如圖2所示。錯誤或者故障的產生是伴隨著系統從開發到投入使用的整個過程，數據錯誤亦然。航空電子系統作為典型的數據密集型系統，涵蓋了飛機各種類型數據的獲取、傳輸、處理和應用組成的數據供應鏈，數據錯誤可以從供應鏈的各個階段引入。為了全面地分析數據錯誤，應該對數據供應鏈的每個階段進行安全性分析可能引入的錯誤。

3.1.1 數據收集階段

這一階段是引入錯誤的高發階段，這主要是由于一方面數據的收集和記錄通常是基于紙質或者電子文檔，會有大量的人工操作包括記錄數據的來源、根據數據要求檢查數據等，難免會由于人員的疏忽而發生錯誤例如數據的來源、格式、數據值錯誤等；另一方面記錄的數據無法實時且精確地描述系統的當前狀態，數據的更新相對于持續變化的現實，必然導致數據與實際的偏差例如數據的不一致、數據的過時等。

3.1.2 數據驗證與生成

供應商還必須對數據進行檢查驗證，目的是檢驗數據的意義是否發生變化例如出現歧義、錯誤等情況，對于保證數據的要求與系統功能對其的要求是否一致非常重要。對于關鍵數據，必須評估其是否發生變化并盡可能快速更新，以免過時的無效數據進入。然后對于通過驗證的數據進行編輯加工進入相關數據庫中，然后將供應商提供的數據轉換為機載航電設備要求的格式。這一階段可能發生的數據危害包括數據過時、數據無效、數據格式等錯誤。

3.1.3 數據發布/傳輸

本環節目的是將正確的數據打包發給最終用戶使用，主要有磁盤、網絡以及數據鏈等傳輸方式。傳輸過程也極易引入錯誤。從數據發送端看，可能發生數據源沒有獲取到數據或者數據源無法發送數據；從傳輸過程看，可能出現的數據錯誤包括亂序、重復、丟失等情況；數據接收時可能發生數據發送端標識錯誤、類型錯誤、數值錯誤、數據過早或者過晚到達等。

3.1.4 數據的應用

本環節是系統運行過程中數據為系統功能提供支持的過程。在航電系統中數據的使用包括數據更新、數據格式化、數據加載、數據處理、傳輸等過程。航電系統對數據安全性有很高的要求，這一環節出現的錯誤甚至可能導致事故的發生。Storey指出航電系統通過其信息系統獲取相關數據通過人機交互顯示給操作人員或者提供告警，為進行決策以及執行相關功能提供信息支持；也可以直接提供給功能系統實現功能例如導航數據提供給飛行管理系統用于制定飛行計劃。通過分析發現，系統中用于關鍵信息顯示和警示的數據錯誤會間接地如通過人機交互影響人的決策來影響系統安全，或者功能安全系統實現功能所必須的關鍵輸入參數錯誤均會影響系統安全，甚至導致事故。

3.2 數據危害層次模型

航電系統的主要作用是克服有限能見度帶來的安全性問題，通過航電各個設備獲得導航、地形、障礙物、機場、氣象等數據，構建飛機的態勢感知，保證飛行安全。當前飛行事故頻發的原因是由于飛機內外部態勢感知能力的不足。根據Endsley提出的態勢感知理論，航電系統對運行過程的各種安全因素的數據進行感知，包括環境要素以及系統功能、人機界面、監控設備等數據集合；理解層以感知層獲取的數據集合進行數據處理，衡量評估關鍵態勢分析元素對于達成目標的重要程度和影響，例如分析氣象數據對系統導航和飛行的影響；預測層是在前2者的基礎上，預測系統未來的狀態。在航空領域內功能的執行常常依賴于信息和數據，具有很強的時限性和空間特征。航電系統目標的實現是基于態勢感知在短時間內獲取環境的數據及其變化，通過航電系統的信息處理過程評估相關數據并預測飛機的下一步狀態，進行決策的制定和功能的執行，最終實現安全飛行。航電系統安全態勢感知模型如圖3所示。

數據是飛機態勢感知的基礎。數據本身不會產生危險，但是數據不是孤立存在的，安全相關數據的錯誤可以間接地通過人機交互或者直接為功能安全系統提供關鍵參數而影響功能最終導致事故發生。依據航電系統安全態勢感知模型，從中我們梳理出事故和數據的關聯，即若干個數據錯誤可以導致信息錯誤，若干個信息錯誤可以導致功能執行失效，功能失效導致事故發生。據此提出了信息系統的數據危害層次模型，如圖4所示。

該模型描述了數據和事故之間的關聯，在分析數據相關事故時需要識別系統功能、信息以及數據的關系。依據數據危害層次模型，本文以可控飛行觸地CFIT事故為例進行分析。下面就可控飛行觸地事故為例，通過本文提出的數據危害層次模型分析數據是如何導致CFIT事故的。可控飛行撞地是指在飛行中不是由于飛機本身的故障或發動機失效等原因發生的事故，而是由于機組在未覺察危險的情況下，操縱飛機撞山、撞地或飛入水中，造成飛機墜毀或嚴重損壞和人員傷亡的事故。圖5描述了導航數據和CFIT事故之間的因果關系。在這個事故中，多個關鍵的導航數據錯誤導致導航系統提供的導航信息是錯誤的，飛行員依據錯誤的導航信息對飛行環境和飛機的狀態做出了錯誤的決策和行動，引發了導航功能的失效，最終導致目標失敗誘發了墜機事故。由于本文僅僅關注數據危害，因此導致事故發生的其他因素例如軟件、硬件、環境、人因等因素都沒有展開。通過分析發現CFIT事故發生的其中一個原因就是由于在飛行時關鍵的導航數據錯誤或者缺失，無法支持飛行員或者系統功能做出正確的決策進而執行相關功能導致的。

4 總結

隨著信息技術的廣泛應用，航電系統的數據密集程度不斷提高，系統功能交互更加密集，對數據的依賴性增強。本文提出的數據危害層次模型，有效地描述了數據和系統的安全性關系，為進行航電系統數據安全性的分析以及事故致因分析提供了理論依據。但是由于缺少實踐經驗，該模型的有效性還需要進一步的深入研究和驗證，并深入研究用于數據安全性分析的技術。

參考文獻

[1]Allan S Wake.Safety of Data in Real-Time Distributed Systems.University of York，September 2008.

[2]David Michael.Improving the Assurance of Airborne Mission Management Data. University of York，September 2011.

[3]P.Hampton，M.Parsons. Accidents and Incidents：Viewing the World through Data Eyes.http：//www.scsc.org.uk.

[4]Data Safety 1.3.The SCSC Data Safety Initiative Working Group. http：//scsc.org.uk/paper_128/Data%20Safety%20（Version%201.3）.pdf？pap=958.

[5]A.Faulkner，N.Storey.Data：An often-ignored component of safety-related systems，in Proc.MOD Equipment Assurance Symposium ESAS02，Bristol，UK，October 2002.

[6]Paul Ensor，Tim Kelly.SafetyAnalysisofNavigational Data.Septemper，2009.

[7]James Inge，David Pumfrey.Improving the Analysis of Data in Safety-Related Systems.University of York， 2009.

[8]SAE ARP 4761 Guidelines and Methods for Conducting the Safety Assessment Process on Airborne Systems and Equipments [S].

[9]朱琰.導航數據庫在飛行及運行中的應用研究[D]： 中國民用航空飛行學院，2013.

[10]袁翔.模型驅動的綜合航電系統配置信息的分析與驗證方法研究[D]：南京航空航天大學，2014.

[11]RTCA/DO-200A，EUROCAE Document ED-76.Standards for Processing Aeronautical Data.September 1998.

[12]M.Endsley.Situation Awareness Information Requirements for En Route Air Traffic Control.Saab Group Journal of Science & Technology， 1998.

[13]A.Faulkner，N.Storey.Data Requirements for Data-Intensive Safety-Related Systems.Proc.21st Int.Systems Safety Conf.，Ottawa， August 2003：865-874.