紀(jì)華東+鮑曉紅+付榮榮

摘 要

當(dāng)前數(shù)據(jù)密集型系統(tǒng)越來(lái)越多地應(yīng)用于實(shí)時(shí)計(jì)算機(jī)系統(tǒng)中，尤其是在航電系統(tǒng)如導(dǎo)航系統(tǒng)、飛行管理系統(tǒng)。航電系統(tǒng)中數(shù)據(jù)量大且述對(duì)象復(fù)雜多樣，共享程度要求和安全性要求較高，數(shù)據(jù)錯(cuò)誤對(duì)于航電系統(tǒng)的安全性有重大影響。數(shù)據(jù)安全已經(jīng)成為影響航電系統(tǒng)安全的重要因素。因此本文結(jié)合當(dāng)前最新的研究成果研究了航電系統(tǒng)的數(shù)據(jù)組成，梳理總結(jié)出常見的數(shù)據(jù)危害類型；然后研究了航電系統(tǒng)數(shù)據(jù)危害的產(chǎn)生，基于態(tài)勢(shì)感知理論提出了航電系統(tǒng)數(shù)據(jù)危害層次模型，并以可控飛行觸地事故為例進(jìn)行了分析，驗(yàn)證了數(shù)據(jù)危害層次模型的正確性，為指導(dǎo)航電系統(tǒng)數(shù)據(jù)安全性分析提供理論支持。

【關(guān)鍵詞】航電系統(tǒng) 數(shù)據(jù)安全性 態(tài)勢(shì)感知 數(shù)據(jù)危害 層次模型

1 引言

現(xiàn)代飛機(jī)普遍采用自動(dòng)駕駛、自動(dòng)決策等功能，逐漸減少飛行員的工作量，保證飛行員專注于安全關(guān)鍵的飛行決策，朝著數(shù)字化、智能化的方向前進(jìn)尤其是無(wú)人機(jī)領(lǐng)域。航空電子系統(tǒng)是大型客機(jī)的“大腦、神經(jīng)和五官”，是實(shí)現(xiàn)飛機(jī)信息融合的核心，實(shí)現(xiàn)通信、導(dǎo)航、監(jiān)控、控制和信息管理等功能。但是一個(gè)新的問(wèn)題出現(xiàn)了：對(duì)于航空電子系統(tǒng)，系統(tǒng)的安全運(yùn)行越來(lái)越依賴于數(shù)據(jù)。航電系統(tǒng)內(nèi)部功能之間以及系統(tǒng)與外部系統(tǒng)或者環(huán)境之間、操作人員之間都會(huì)產(chǎn)生大量的數(shù)據(jù)，包括導(dǎo)航數(shù)據(jù)、性能數(shù)據(jù)、配置數(shù)據(jù)等，數(shù)據(jù)已經(jīng)成為系統(tǒng)的重要組成部分。這類系統(tǒng)被稱為數(shù)據(jù)密集型系統(tǒng)，系統(tǒng)的安全性不僅依賴于其中的軟硬件，而且受到系統(tǒng)接收、產(chǎn)生或者處理的數(shù)據(jù)的影響，而且在許多情況下的數(shù)據(jù)錯(cuò)誤的影響和系統(tǒng)故障是一樣嚴(yán)重的。英國(guó)安全關(guān)鍵組織（SCSC）對(duì)航空、航天、航海、鐵路等領(lǐng)域的事故進(jìn)行廣泛地調(diào)研，發(fā)現(xiàn)數(shù)據(jù)錯(cuò)誤造成的事故比例超過(guò)14%，而軟硬件導(dǎo)致事故的比例僅占9%。許多事故中并沒(méi)有發(fā)生軟硬件故障，而是由于系統(tǒng)中數(shù)據(jù)錯(cuò)誤導(dǎo)致的。但是當(dāng)前針對(duì)數(shù)據(jù)是如何導(dǎo)致事故的，以及數(shù)據(jù)危害是如何產(chǎn)生的還沒(méi)有形成統(tǒng)一的認(rèn)識(shí)，無(wú)法為開展系統(tǒng)數(shù)據(jù)安全性分析提供指導(dǎo)；而且現(xiàn)有的安全性標(biāo)準(zhǔn)也缺少針對(duì)數(shù)據(jù)安全性的指導(dǎo)。

因此本文結(jié)合國(guó)內(nèi)外研究深入研究了航電系統(tǒng)的數(shù)據(jù)組成，分析了數(shù)據(jù)的應(yīng)用特點(diǎn)，通過(guò)廣泛的調(diào)研和梳理總結(jié)出常見的數(shù)據(jù)危害類型；然后研究了航電系統(tǒng)數(shù)據(jù)危害的產(chǎn)生，基于態(tài)勢(shì)感知理論研究了航電系統(tǒng)數(shù)據(jù)危害如何導(dǎo)致事故的，并以可控飛行觸地事故為例進(jìn)行了分析，為理解航電系統(tǒng)數(shù)據(jù)安全性問(wèn)題以及指導(dǎo)數(shù)據(jù)安全性分析提供理論支持。

2 航電系統(tǒng)數(shù)據(jù)危害模式

2.1 航電系統(tǒng)數(shù)據(jù)組成

航電系統(tǒng)在飛機(jī)運(yùn)行狀態(tài)感知、運(yùn)行環(huán)境態(tài)勢(shì)感知、飛行計(jì)劃管理等方面發(fā)揮著重要作用，對(duì)于保證飛行安全至關(guān)重要。航電系統(tǒng)通過(guò)靜態(tài)數(shù)據(jù)描述系統(tǒng)的運(yùn)行環(huán)境以及系統(tǒng)中軟硬件接口、分區(qū)和應(yīng)用程序等的配置，包括基礎(chǔ)設(shè)施數(shù)據(jù)和配置數(shù)據(jù)。配置數(shù)據(jù)可以用來(lái)配置系統(tǒng)軟硬件描述這些標(biāo)準(zhǔn)化模塊參數(shù)實(shí)現(xiàn)特定的功能，例如航電系統(tǒng)軟硬件配置文件；基礎(chǔ)設(shè)施數(shù)據(jù)用于描述系統(tǒng)及所處的靜態(tài)環(huán)境模型，表示物理實(shí)體等信息的數(shù)據(jù)，例如電子航圖數(shù)據(jù)、導(dǎo)航數(shù)據(jù)、飛機(jī)性能模型等。航電系統(tǒng)然后還需要通過(guò)動(dòng)態(tài)數(shù)據(jù)描述系統(tǒng)運(yùn)行過(guò)程中的變化和外部環(huán)境的變化，包括運(yùn)行數(shù)據(jù)和狀態(tài)數(shù)據(jù)。狀態(tài)數(shù)據(jù)是由航電系統(tǒng)自身產(chǎn)生或者通過(guò)接口從系統(tǒng)的傳感器以及其他的輸入途徑獲得，隨著系統(tǒng)的運(yùn)行實(shí)時(shí)、動(dòng)態(tài)產(chǎn)生的數(shù)據(jù)，例如傳感器數(shù)據(jù)、外部輸入數(shù)據(jù)；運(yùn)行數(shù)據(jù)是航電系統(tǒng)通過(guò)人機(jī)接口或者其他系統(tǒng)獲得的某個(gè)運(yùn)行條件信息，這一系列的運(yùn)行信息代表了對(duì)于設(shè)備的使用限制，例如由于惡劣天氣、設(shè)備故障等限制條件信息。航電系統(tǒng)數(shù)據(jù)組成如圖1所示。

2.2 數(shù)據(jù)危害模式

Storey指出系統(tǒng)中有三類危險(xiǎn)因素，包括基本危險(xiǎn)因素、功能危險(xiǎn)因素和間接危險(xiǎn)因素，其中間接危險(xiǎn)因素本身不會(huì)對(duì)系統(tǒng)直接造成威脅，例如軟件或者數(shù)據(jù)。根據(jù)DO-200A，數(shù)據(jù)是以某種格式真實(shí)完備地描述系統(tǒng)運(yùn)行所需的航空事實(shí)、信息或者指令，使之可以用于通信或處理等功能。數(shù)據(jù)作為間接危害因素，給系統(tǒng)帶來(lái)的安全問(wèn)題與軟件有相似之處。硬件會(huì)直接對(duì)系統(tǒng)造成危害，而數(shù)據(jù)和軟件本身沒(méi)有危害，但在系統(tǒng)中數(shù)據(jù)常常會(huì)為系統(tǒng)的操作者、功能等提供關(guān)鍵數(shù)據(jù)來(lái)引導(dǎo)系統(tǒng)實(shí)現(xiàn)功能，或者提供關(guān)鍵的決策信息；一旦數(shù)據(jù)無(wú)法真實(shí)地描述當(dāng)前系統(tǒng)所需的關(guān)鍵信息，或者描述的不夠完善無(wú)法滿足系統(tǒng)的使用要求，就會(huì)發(fā)生錯(cuò)誤將會(huì)對(duì)系統(tǒng)造成潛在的危害。因此本文結(jié)合數(shù)據(jù)定義和數(shù)據(jù)的特點(diǎn)，對(duì)數(shù)據(jù)危害模式進(jìn)行了研究并梳理歸類為4大類。

2.2.1 數(shù)據(jù)格式

定義中數(shù)據(jù)具有一定的格式才能被系統(tǒng)識(shí)別，這意味著格式問(wèn)題為數(shù)據(jù)的基本失效類型之一。數(shù)據(jù)的格式錯(cuò)誤可能不會(huì)影響數(shù)據(jù)表示的內(nèi)容的準(zhǔn)確性，但是會(huì)嚴(yán)重影響系統(tǒng)對(duì)數(shù)據(jù)的理解和處理。格式是對(duì)數(shù)據(jù)信息表示方式的一種規(guī)定，限制數(shù)據(jù)表示的方式。這些規(guī)則也是我們進(jìn)行數(shù)據(jù)監(jiān)測(cè)的基礎(chǔ)，即使發(fā)生錯(cuò)誤我們也可以通過(guò)檢測(cè)數(shù)據(jù)是否滿足規(guī)則來(lái)識(shí)別數(shù)據(jù)的錯(cuò)誤。數(shù)據(jù)格式是如何描述一個(gè)數(shù)據(jù)，詳細(xì)定義數(shù)據(jù)使用哪個(gè)單位例如米、英尺等來(lái)避免不必要的誤解；給出數(shù)據(jù)測(cè)量的基準(zhǔn)作為參考，例如在表示地理導(dǎo)航數(shù)據(jù)的經(jīng)緯度時(shí)就必須要明確參考的基準(zhǔn)才能獲得準(zhǔn)確的坐標(biāo)；縮放比例也是格式中的一個(gè)重要方面，例如航空地圖圖表數(shù)據(jù)。另外數(shù)據(jù)類型、數(shù)據(jù)描述語(yǔ)法等也是格式的重要內(nèi)容。

2.2.2 數(shù)據(jù)意義

數(shù)據(jù)是對(duì)現(xiàn)實(shí)世界的物體特性的描述，因此數(shù)據(jù)的意義可能是不正確的，這意味著意義問(wèn)題為數(shù)據(jù)的基本失效類型之一。數(shù)據(jù)的意義錯(cuò)誤，主要表現(xiàn)在以下幾個(gè)方面：無(wú)法正確地描述現(xiàn)實(shí)世界；無(wú)法正確地反應(yīng)現(xiàn)實(shí)世界中某個(gè)實(shí)體的狀態(tài)；或者無(wú)法正確地反應(yīng)用戶的目的。這類錯(cuò)誤的發(fā)生主要是由于在初始階段數(shù)據(jù)的預(yù)處理錯(cuò)誤，也可能是外界發(fā)生變化導(dǎo)致的。數(shù)據(jù)值、分辨率、關(guān)聯(lián)性、一致性、完整性等屬性的錯(cuò)誤都會(huì)導(dǎo)致數(shù)據(jù)的意義不正確。數(shù)據(jù)還可能發(fā)生意義的模糊混淆錯(cuò)誤，例如數(shù)據(jù)沒(méi)有精確表示出其對(duì)應(yīng)的信息，或者數(shù)據(jù)可以被解釋為不同的信息或者指向多個(gè)對(duì)象。數(shù)據(jù)的重復(fù)或者多余也都會(huì)影響數(shù)據(jù)的意義。

2.2.3 數(shù)據(jù)時(shí)效性

數(shù)據(jù)的效用依賴于時(shí)間并有一定的期限，其價(jià)值的大小與提供數(shù)據(jù)的時(shí)間密切相關(guān)。實(shí)踐證明，數(shù)據(jù)一經(jīng)形成，所提供的速度越快，時(shí)間越早，價(jià)值越大。數(shù)據(jù)源獲取數(shù)據(jù)之后需要經(jīng)過(guò)傳輸?shù)炔僮鞑拍鼙皇褂?，而且現(xiàn)實(shí)世界變化之后數(shù)據(jù)還需要更新否則就會(huì)無(wú)效，因此時(shí)效問(wèn)題為數(shù)據(jù)的基本失效類型之一。從數(shù)據(jù)源頭看，可能發(fā)生數(shù)據(jù)源沒(méi)有獲取到數(shù)據(jù)或者數(shù)據(jù)源無(wú)法發(fā)送數(shù)據(jù)；從傳輸過(guò)程看，可能出現(xiàn)的報(bào)文錯(cuò)誤包括亂序、重復(fù)、丟失等情況；數(shù)據(jù)接收時(shí)可能發(fā)生數(shù)據(jù)發(fā)送端標(biāo)識(shí)錯(cuò)誤、類型錯(cuò)誤、數(shù)值錯(cuò)誤等；數(shù)據(jù)到達(dá)時(shí)間過(guò)早或者過(guò)晚等。

2.2.4 數(shù)據(jù)來(lái)源

數(shù)據(jù)從數(shù)據(jù)源到進(jìn)入系統(tǒng)需要經(jīng)歷不同的系統(tǒng)，此時(shí)需要對(duì)數(shù)據(jù)獲取傳輸接收的各個(gè)階段對(duì)數(shù)據(jù)的來(lái)源進(jìn)行明確的定義，來(lái)保證系統(tǒng)獲得預(yù)期來(lái)源的可信賴的數(shù)據(jù)，因此這意味著數(shù)據(jù)來(lái)源問(wèn)題為數(shù)據(jù)的基本失效類型之一。數(shù)據(jù)除了要保證正確的意義和格式，在合適的時(shí)間處于可用的狀態(tài)，還要保證數(shù)據(jù)的來(lái)源是已知的、可信的?？尚诺膩?lái)源可以說(shuō)明數(shù)據(jù)的準(zhǔn)備和處理、存儲(chǔ)、傳輸都是非常嚴(yán)密的，能夠保證數(shù)據(jù)的關(guān)鍵特性諸如格式、意義、時(shí)效性等。當(dāng)沒(méi)有足夠的過(guò)程處理證明文件來(lái)保證數(shù)據(jù)在供應(yīng)鏈的整個(gè)過(guò)程從數(shù)據(jù)的準(zhǔn)備到數(shù)據(jù)的使用的完整性，這就是來(lái)源錯(cuò)誤發(fā)生的原因。來(lái)源錯(cuò)誤包括未知來(lái)源錯(cuò)誤、虛假來(lái)源錯(cuò)誤等。

3 航電系統(tǒng)數(shù)據(jù)危害原理

3.1 數(shù)據(jù)危害的產(chǎn)生

根據(jù)標(biāo)準(zhǔn)DO-200A，航空數(shù)據(jù)供應(yīng)鏈（AeronauticalDataChain）是指從航空數(shù)據(jù)的收集、生成、發(fā)布傳輸以及最終的使用，如圖2所示。錯(cuò)誤或者故障的產(chǎn)生是伴隨著系統(tǒng)從開發(fā)到投入使用的整個(gè)過(guò)程，數(shù)據(jù)錯(cuò)誤亦然。航空電子系統(tǒng)作為典型的數(shù)據(jù)密集型系統(tǒng)，涵蓋了飛機(jī)各種類型數(shù)據(jù)的獲取、傳輸、處理和應(yīng)用組成的數(shù)據(jù)供應(yīng)鏈，數(shù)據(jù)錯(cuò)誤可以從供應(yīng)鏈的各個(gè)階段引入。為了全面地分析數(shù)據(jù)錯(cuò)誤，應(yīng)該對(duì)數(shù)據(jù)供應(yīng)鏈的每個(gè)階段進(jìn)行安全性分析可能引入的錯(cuò)誤。

3.1.1 數(shù)據(jù)收集階段

這一階段是引入錯(cuò)誤的高發(fā)階段，這主要是由于一方面數(shù)據(jù)的收集和記錄通常是基于紙質(zhì)或者電子文檔，會(huì)有大量的人工操作包括記錄數(shù)據(jù)的來(lái)源、根據(jù)數(shù)據(jù)要求檢查數(shù)據(jù)等，難免會(huì)由于人員的疏忽而發(fā)生錯(cuò)誤例如數(shù)據(jù)的來(lái)源、格式、數(shù)據(jù)值錯(cuò)誤等；另一方面記錄的數(shù)據(jù)無(wú)法實(shí)時(shí)且精確地描述系統(tǒng)的當(dāng)前狀態(tài)，數(shù)據(jù)的更新相對(duì)于持續(xù)變化的現(xiàn)實(shí)，必然導(dǎo)致數(shù)據(jù)與實(shí)際的偏差例如數(shù)據(jù)的不一致、數(shù)據(jù)的過(guò)時(shí)等。

3.1.2 數(shù)據(jù)驗(yàn)證與生成

供應(yīng)商還必須對(duì)數(shù)據(jù)進(jìn)行檢查驗(yàn)證，目的是檢驗(yàn)數(shù)據(jù)的意義是否發(fā)生變化例如出現(xiàn)歧義、錯(cuò)誤等情況，對(duì)于保證數(shù)據(jù)的要求與系統(tǒng)功能對(duì)其的要求是否一致非常重要。對(duì)于關(guān)鍵數(shù)據(jù)，必須評(píng)估其是否發(fā)生變化并盡可能快速更新，以免過(guò)時(shí)的無(wú)效數(shù)據(jù)進(jìn)入。然后對(duì)于通過(guò)驗(yàn)證的數(shù)據(jù)進(jìn)行編輯加工進(jìn)入相關(guān)數(shù)據(jù)庫(kù)中，然后將供應(yīng)商提供的數(shù)據(jù)轉(zhuǎn)換為機(jī)載航電設(shè)備要求的格式。這一階段可能發(fā)生的數(shù)據(jù)危害包括數(shù)據(jù)過(guò)時(shí)、數(shù)據(jù)無(wú)效、數(shù)據(jù)格式等錯(cuò)誤。

3.1.3 數(shù)據(jù)發(fā)布/傳輸

本環(huán)節(jié)目的是將正確的數(shù)據(jù)打包發(fā)給最終用戶使用，主要有磁盤、網(wǎng)絡(luò)以及數(shù)據(jù)鏈等傳輸方式。傳輸過(guò)程也極易引入錯(cuò)誤。從數(shù)據(jù)發(fā)送端看，可能發(fā)生數(shù)據(jù)源沒(méi)有獲取到數(shù)據(jù)或者數(shù)據(jù)源無(wú)法發(fā)送數(shù)據(jù)；從傳輸過(guò)程看，可能出現(xiàn)的數(shù)據(jù)錯(cuò)誤包括亂序、重復(fù)、丟失等情況；數(shù)據(jù)接收時(shí)可能發(fā)生數(shù)據(jù)發(fā)送端標(biāo)識(shí)錯(cuò)誤、類型錯(cuò)誤、數(shù)值錯(cuò)誤、數(shù)據(jù)過(guò)早或者過(guò)晚到達(dá)等。

3.1.4 數(shù)據(jù)的應(yīng)用

本環(huán)節(jié)是系統(tǒng)運(yùn)行過(guò)程中數(shù)據(jù)為系統(tǒng)功能提供支持的過(guò)程。在航電系統(tǒng)中數(shù)據(jù)的使用包括數(shù)據(jù)更新、數(shù)據(jù)格式化、數(shù)據(jù)加載、數(shù)據(jù)處理、傳輸?shù)冗^(guò)程。航電系統(tǒng)對(duì)數(shù)據(jù)安全性有很高的要求，這一環(huán)節(jié)出現(xiàn)的錯(cuò)誤甚至可能導(dǎo)致事故的發(fā)生。Storey指出航電系統(tǒng)通過(guò)其信息系統(tǒng)獲取相關(guān)數(shù)據(jù)通過(guò)人機(jī)交互顯示給操作人員或者提供告警，為進(jìn)行決策以及執(zhí)行相關(guān)功能提供信息支持；也可以直接提供給功能系統(tǒng)實(shí)現(xiàn)功能例如導(dǎo)航數(shù)據(jù)提供給飛行管理系統(tǒng)用于制定飛行計(jì)劃。通過(guò)分析發(fā)現(xiàn)，系統(tǒng)中用于關(guān)鍵信息顯示和警示的數(shù)據(jù)錯(cuò)誤會(huì)間接地如通過(guò)人機(jī)交互影響人的決策來(lái)影響系統(tǒng)安全，或者功能安全系統(tǒng)實(shí)現(xiàn)功能所必須的關(guān)鍵輸入?yún)?shù)錯(cuò)誤均會(huì)影響系統(tǒng)安全，甚至導(dǎo)致事故。

3.2 數(shù)據(jù)危害層次模型

航電系統(tǒng)的主要作用是克服有限能見度帶來(lái)的安全性問(wèn)題，通過(guò)航電各個(gè)設(shè)備獲得導(dǎo)航、地形、障礙物、機(jī)場(chǎng)、氣象等數(shù)據(jù)，構(gòu)建飛機(jī)的態(tài)勢(shì)感知，保證飛行安全。當(dāng)前飛行事故頻發(fā)的原因是由于飛機(jī)內(nèi)外部態(tài)勢(shì)感知能力的不足。根據(jù)Endsley提出的態(tài)勢(shì)感知理論，航電系統(tǒng)對(duì)運(yùn)行過(guò)程的各種安全因素的數(shù)據(jù)進(jìn)行感知，包括環(huán)境要素以及系統(tǒng)功能、人機(jī)界面、監(jiān)控設(shè)備等數(shù)據(jù)集合；理解層以感知層獲取的數(shù)據(jù)集合進(jìn)行數(shù)據(jù)處理，衡量評(píng)估關(guān)鍵態(tài)勢(shì)分析元素對(duì)于達(dá)成目標(biāo)的重要程度和影響，例如分析氣象數(shù)據(jù)對(duì)系統(tǒng)導(dǎo)航和飛行的影響；預(yù)測(cè)層是在前2者的基礎(chǔ)上，預(yù)測(cè)系統(tǒng)未來(lái)的狀態(tài)。在航空領(lǐng)域內(nèi)功能的執(zhí)行常常依賴于信息和數(shù)據(jù)，具有很強(qiáng)的時(shí)限性和空間特征。航電系統(tǒng)目標(biāo)的實(shí)現(xiàn)是基于態(tài)勢(shì)感知在短時(shí)間內(nèi)獲取環(huán)境的數(shù)據(jù)及其變化，通過(guò)航電系統(tǒng)的信息處理過(guò)程評(píng)估相關(guān)數(shù)據(jù)并預(yù)測(cè)飛機(jī)的下一步狀態(tài)，進(jìn)行決策的制定和功能的執(zhí)行，最終實(shí)現(xiàn)安全飛行。航電系統(tǒng)安全態(tài)勢(shì)感知模型如圖3所示。

數(shù)據(jù)是飛機(jī)態(tài)勢(shì)感知的基礎(chǔ)。數(shù)據(jù)本身不會(huì)產(chǎn)生危險(xiǎn)，但是數(shù)據(jù)不是孤立存在的，安全相關(guān)數(shù)據(jù)的錯(cuò)誤可以間接地通過(guò)人機(jī)交互或者直接為功能安全系統(tǒng)提供關(guān)鍵參數(shù)而影響功能最終導(dǎo)致事故發(fā)生。依據(jù)航電系統(tǒng)安全態(tài)勢(shì)感知模型，從中我們梳理出事故和數(shù)據(jù)的關(guān)聯(lián)，即若干個(gè)數(shù)據(jù)錯(cuò)誤可以導(dǎo)致信息錯(cuò)誤，若干個(gè)信息錯(cuò)誤可以導(dǎo)致功能執(zhí)行失效，功能失效導(dǎo)致事故發(fā)生。據(jù)此提出了信息系統(tǒng)的數(shù)據(jù)危害層次模型，如圖4所示。

該模型描述了數(shù)據(jù)和事故之間的關(guān)聯(lián)，在分析數(shù)據(jù)相關(guān)事故時(shí)需要識(shí)別系統(tǒng)功能、信息以及數(shù)據(jù)的關(guān)系。依據(jù)數(shù)據(jù)危害層次模型，本文以可控飛行觸地CFIT事故為例進(jìn)行分析。下面就可控飛行觸地事故為例，通過(guò)本文提出的數(shù)據(jù)危害層次模型分析數(shù)據(jù)是如何導(dǎo)致CFIT事故的?？煽仫w行撞地是指在飛行中不是由于飛機(jī)本身的故障或發(fā)動(dòng)機(jī)失效等原因發(fā)生的事故，而是由于機(jī)組在未覺察危險(xiǎn)的情況下，操縱飛機(jī)撞山、撞地或飛入水中，造成飛機(jī)墜毀或嚴(yán)重?fù)p壞和人員傷亡的事故。圖5描述了導(dǎo)航數(shù)據(jù)和CFIT事故之間的因果關(guān)系。在這個(gè)事故中，多個(gè)關(guān)鍵的導(dǎo)航數(shù)據(jù)錯(cuò)誤導(dǎo)致導(dǎo)航系統(tǒng)提供的導(dǎo)航信息是錯(cuò)誤的，飛行員依據(jù)錯(cuò)誤的導(dǎo)航信息對(duì)飛行環(huán)境和飛機(jī)的狀態(tài)做出了錯(cuò)誤的決策和行動(dòng)，引發(fā)了導(dǎo)航功能的失效，最終導(dǎo)致目標(biāo)失敗誘發(fā)了墜機(jī)事故。由于本文僅僅關(guān)注數(shù)據(jù)危害，因此導(dǎo)致事故發(fā)生的其他因素例如軟件、硬件、環(huán)境、人因等因素都沒(méi)有展開。通過(guò)分析發(fā)現(xiàn)CFIT事故發(fā)生的其中一個(gè)原因就是由于在飛行時(shí)關(guān)鍵的導(dǎo)航數(shù)據(jù)錯(cuò)誤或者缺失，無(wú)法支持飛行員或者系統(tǒng)功能做出正確的決策進(jìn)而執(zhí)行相關(guān)功能導(dǎo)致的。

4 總結(jié)

隨著信息技術(shù)的廣泛應(yīng)用，航電系統(tǒng)的數(shù)據(jù)密集程度不斷提高，系統(tǒng)功能交互更加密集，對(duì)數(shù)據(jù)的依賴性增強(qiáng)。本文提出的數(shù)據(jù)危害層次模型，有效地描述了數(shù)據(jù)和系統(tǒng)的安全性關(guān)系，為進(jìn)行航電系統(tǒng)數(shù)據(jù)安全性的分析以及事故致因分析提供了理論依據(jù)。但是由于缺少實(shí)踐經(jīng)驗(yàn)，該模型的有效性還需要進(jìn)一步的深入研究和驗(yàn)證，并深入研究用于數(shù)據(jù)安全性分析的技術(shù)。

參考文獻(xiàn)

[1]Allan S Wake.Safety of Data in Real-Time Distributed Systems.University of York，September 2008.

[2]David Michael.Improving the Assurance of Airborne Mission Management Data. University of York，September 2011.

[3]P.Hampton，M.Parsons. Accidents and Incidents：Viewing the World through Data Eyes.http：//www.scsc.org.uk.

[4]Data Safety 1.3.The SCSC Data Safety Initiative Working Group. http：//scsc.org.uk/paper_128/Data%20Safety%20（Version%201.3）.pdf？pap=958.

[5]A.Faulkner，N.Storey.Data：An often-ignored component of safety-related systems，in Proc.MOD Equipment Assurance Symposium ESAS02，Bristol，UK，October 2002.

[6]Paul Ensor，Tim Kelly.SafetyAnalysisofNavigational Data.Septemper，2009.

[7]James Inge，David Pumfrey.Improving the Analysis of Data in Safety-Related Systems.University of York， 2009.

[8]SAE ARP 4761 Guidelines and Methods for Conducting the Safety Assessment Process on Airborne Systems and Equipments [S].

[9]朱琰.導(dǎo)航數(shù)據(jù)庫(kù)在飛行及運(yùn)行中的應(yīng)用研究[D]： 中國(guó)民用航空飛行學(xué)院，2013.

[10]袁翔.模型驅(qū)動(dòng)的綜合航電系統(tǒng)配置信息的分析與驗(yàn)證方法研究[D]：南京航空航天大學(xué)，2014.

[11]RTCA/DO-200A，EUROCAE Document ED-76.Standards for Processing Aeronautical Data.September 1998.

[12]M.Endsley.Situation Awareness Information Requirements for En Route Air Traffic Control.Saab Group Journal of Science & Technology， 1998.

[13]A.Faulkner，N.Storey.Data Requirements for Data-Intensive Safety-Related Systems.Proc.21st Int.Systems Safety Conf.，Ottawa， August 2003：865-874.