李英武 馮友權(quán) 李 維

（航宇救生裝備有限公司電子工程部，湖北 襄陽 441003）

0 引言

對安全性要求較高的系統(tǒng)軟件，進(jìn)行軟件安全性分析并得出軟件安全性需求，是非常重要的一項工作[1]，在軟件安全性分析過程中，國內(nèi)外已經(jīng)有不少分析方法。以FMEA[2]分析方法為例，先針對整個軟件和每個軟件組成部件的失效或故障模式進(jìn)行分析，再針對每種失效模式制定避免其發(fā)生失效的措施，即軟件的安全性需求。

但是，對功能結(jié)構(gòu)較為復(fù)雜、功能層次和部件數(shù)量較多、部件之間耦合度較高、無法對各個部件進(jìn)行獨(dú)立分析的復(fù)雜軟件，例如航空防護(hù)救生系統(tǒng)[3]軟件，傳統(tǒng)的軟件安全性分析方法由于功能組件數(shù)量龐大，分析工作量大，且該方法關(guān)注組件本身的失效或故障模式，往往容易遺漏部件之間復(fù)雜交互產(chǎn)生的失效模式或故障現(xiàn)象，從而無法得到全面、理想的軟件安全性分析效果。

因此，該文的研究基于STPA的防護(hù)救生系統(tǒng)軟件安全性分析方法，著眼于各部件之間的控制過程，首先分析系統(tǒng)級危險及設(shè)計約束，定義系統(tǒng)的控制結(jié)構(gòu)，然后根據(jù)控制結(jié)構(gòu)模型識別系統(tǒng)的不安全控制行為，并分析其產(chǎn)生系統(tǒng)危險的原因，最終導(dǎo)出軟件安全性需求。

1 STPA方法

STPA分析方法[4]提出了一種針對系統(tǒng)中的控制過程進(jìn)行分析的方法，以尋找導(dǎo)致事故發(fā)生的不安全控制行為，以及不安全控制行為產(chǎn)生的原因，從而找到系統(tǒng)設(shè)計中的控制缺陷，制定消除這些缺陷應(yīng)采取的安全性措施。

STPA分析方法的步驟如圖1所示：1）定義分析的目的。定義分析的目的需要確定防止損失的類型，例如人員傷亡、安全破壞、隱私侵犯等。此外，還要確定分析對象的范圍，即系統(tǒng)屬性、系統(tǒng)邊界等。2）建立1個控制結(jié)構(gòu)的系統(tǒng)模型。控制結(jié)構(gòu)是指用建模的方式，將系統(tǒng)描述為1組包括控制與反饋信息的回路，以便于捕獲模塊間的功能關(guān)系和交互作用。3）分析控制結(jié)構(gòu)中的控制行為，識別不安全的控制行為，并分析它們是如何導(dǎo)致第一步中定義的損失的。4）確定系統(tǒng)中發(fā)生不安全控制的原因。一般通過創(chuàng)建致因場景來解釋。①分析不正確的反饋、不充分的需求、設(shè)計錯誤、部件故障等導(dǎo)致不安全控制行為的原因。②雖然提供了安全控制措施，但是沒有執(zhí)行，因此導(dǎo)致?lián)p失。

圖1 STPA分析方法的步驟

2 防護(hù)救生系統(tǒng)及軟件概述

航空防護(hù)救生系統(tǒng)是指用于飛行人員及乘員從失事的航空器中實(shí)現(xiàn)救生的設(shè)備系統(tǒng)，其中的典型產(chǎn)品是火箭彈射座椅[5]，它是飛行員在危急關(guān)頭采取緊急措施，保障生命安全，實(shí)現(xiàn)逃生的重要裝備。除機(jī)械結(jié)構(gòu)以外，火箭彈射座椅實(shí)現(xiàn)彈射救生功能的核心部分是電子式程序控制器。

電子式程序控制器監(jiān)控運(yùn)行軟件在電子式程序控制器[6]中運(yùn)行，主要功能是采集、監(jiān)測系統(tǒng)多種不同的彈射離機(jī)參數(shù)以及彈射出艙后系統(tǒng)飛行參數(shù)，根據(jù)系統(tǒng)內(nèi)嵌多模式數(shù)字彈射控制模型，實(shí)時地自動選擇彈射控制程序，控制各類機(jī)構(gòu)的工作時間，從而實(shí)現(xiàn)多模式的控制方式。

3 基于STPA的防護(hù)救生系統(tǒng)軟件安全性分析

3.1 總體思路

該文以航空防護(hù)救生系統(tǒng)安全苛刻性軟件——電子式程序控制器監(jiān)控運(yùn)行軟件的簡化版為案例（以下簡稱該案例），利用STPA的理論和分析方法，按照STPA的分析步驟，對其進(jìn)行安全性分析。該案例的功能如下：軟件檢測到彈射啟動信號后，根據(jù)接收到的傳感器的數(shù)據(jù)，判定并選擇系統(tǒng)控制模式，根據(jù)控制模式規(guī)定的控制邏輯，適時向點(diǎn)火機(jī)構(gòu)輸出控制信號。

3.2 定義分析的目的

根據(jù)圖1，采用 STPA 方法進(jìn)行安全性分析，定義分析的目的，如圖2所示。

圖2 定義分析的目的

該案例作為火箭彈射座椅上的救生裝置控制軟件，在飛行員遇到危險時，可以實(shí)現(xiàn)救生功能。因此，如果發(fā)生安全性問題，將導(dǎo)致救生失敗，或者在不該啟動救生的情況下意外啟動救生，將造成的損失包括飛行員傷亡、飛機(jī)及機(jī)上設(shè)備損壞。

根據(jù)該案例的功能進(jìn)行分析，識別出系統(tǒng)級的危險主要表現(xiàn)在飛機(jī)正常飛行或地面維護(hù)時彈射救生功能意外觸發(fā)、飛行員遇到危險需要彈射救生時彈射救生功能失效導(dǎo)致人員傷亡或系統(tǒng)損壞，見表1。

表1 該案例的系統(tǒng)級危險列表

為了防止系統(tǒng)級的危險發(fā)生，最終避免造成飛行員傷亡、飛機(jī)及機(jī)上設(shè)備損壞的損失，根據(jù)該案例的系統(tǒng)級危險，進(jìn)一步識別出系統(tǒng)級的約束見表2。

表2 該案例的系統(tǒng)級約束列表

3.3 對控制結(jié)構(gòu)建模

分層控制結(jié)構(gòu)[7]是由控制和反饋回路組成的系統(tǒng)模型。建立控制結(jié)構(gòu)可以清晰地分析整個系統(tǒng)內(nèi)部的控制行為。

分層控制結(jié)構(gòu)由控制和反饋信息組成，一般來說，控制器可以通過控制動作來控制某些模塊，實(shí)現(xiàn)控制過程?？刂扑惴ù砹丝刂破鞯男袨檫^程，它決定了要提供的控制動作。控制器還存在過程模型，表示控制器內(nèi)部用于判斷和處理的邏輯。通過監(jiān)測控制過程的反饋信息，可以對過程模型進(jìn)行優(yōu)化改進(jìn)。

在該案例中，涉及的控制器（控制模塊）包括彈射啟動開關(guān)、傳感器、彈射啟動信號監(jiān)測模塊、數(shù)據(jù)接收處理模塊、控制模式判定及輸出控制模塊以及點(diǎn)火機(jī)構(gòu)。根據(jù)該案例的功能要求，結(jié)合前面識別出的系統(tǒng)級約束，可以將該案例的控制結(jié)構(gòu)分為4層。

該案例的功能開始執(zhí)行的起點(diǎn)是彈射啟動開關(guān)工作，輸出信號；同時，傳感器也是該案例的數(shù)據(jù)輸入控制器，因此，將彈射啟動開關(guān)和傳感器放在第一層。

彈射啟動開關(guān)信號輸入給彈射啟動信號監(jiān)測模塊，用于開關(guān)信號判斷；數(shù)據(jù)接收處理模塊接收到傳感器的數(shù)據(jù)后，對數(shù)據(jù)進(jìn)行處理和傳輸，因此，將彈射啟動信號監(jiān)測和數(shù)據(jù)接收處理模塊放在第二層。

系統(tǒng)接收到彈射啟動信號判定結(jié)果和數(shù)據(jù)接收處理模塊傳遞的傳感器數(shù)據(jù)后，進(jìn)入控制模式判定及輸出控制模塊，對系統(tǒng)的控制樾進(jìn)行判定，并按規(guī)定的時序和算法，輸出控制信號，因此，將控制模式判定及輸出控制模塊放在第三層。

系統(tǒng)輸出拉制信號給點(diǎn)火機(jī)構(gòu)，由點(diǎn)火機(jī)構(gòu)執(zhí)行點(diǎn)火控制，實(shí)現(xiàn)救生功能，因此，將點(diǎn)火機(jī)構(gòu)放在第四層。如圖3所示。

圖3 該案例的分層控制結(jié)構(gòu)圖

3.4 識別不安全的控制行為

不安全控制行為是指在特定的環(huán)境和最壞的情況下會導(dǎo)致危險的控制行為。控制行為有4種不安全的類型[8]：1）不提供控制行為導(dǎo)致危險。2）提供錯誤控制行為導(dǎo)致危險。3）提供的安全控制行為太早、太晚或順序錯誤。4）控制行為持續(xù)時間過長或過短（對連續(xù)控制行為，而非離散控制行為）。

確定了不安全控制行為后，就可以根據(jù)它們提出每個控制行為的控制約束。即為防止不安全控制行為的發(fā)生需要滿足的控制動作。

不安全控制行為分析的輸入和輸出如圖4所示。

圖4 控制行為分析

在該案例中，根據(jù)前面分析的系統(tǒng)級的危險，以及該案例的分層控制結(jié)構(gòu)，可能導(dǎo)致系統(tǒng)危險的不安全控制行為主要發(fā)生在彈射啟動開關(guān)、傳感器和控制模式判定及輸出控制模塊，對以上模塊分別按4種不安全控制行為類別進(jìn)行識別分析，并定義控制約束，具體結(jié)果見表3。

表3 該案例的不安全控制行為及控制約束

3.5 確定損失的致因場景

損失的致因場景用來描述可能導(dǎo)致不安全控制行為和危險發(fā)生的因素[9]。致因場景識別的輸入和輸出如圖5所示。

圖5 致因場景識別概覽

根據(jù)以上方法和步驟，針對該案例的不安全控制行為，識別出該案例的致因場景見表4。

表4 該案例的致因場景

3.6 導(dǎo)出軟件安全性需求

根據(jù)該案例的需求描述，按照STPA的分析方法和步驟，該案例的軟件安全性分析已全部完成。然而，采用STPA方法對安全苛刻性軟件進(jìn)行安全性分析，最終目的是為了獲取軟件安全性需求。因此，在以上STPA安全性分析工作完成后，還應(yīng)該結(jié)合分析結(jié)果，導(dǎo)出該案例的軟件安全性需求：1）根據(jù)S-1、S-2、S-4、S-6可導(dǎo)出的軟件安全性需求，對軟硬件進(jìn)行自檢測，識別并消除信號采集電路、數(shù)據(jù)傳輸接口故障對系統(tǒng)產(chǎn)生的影響。2）根據(jù)S-1、S-2可導(dǎo)出的軟件安全性需求，對啟動信號進(jìn)行真實(shí)性判斷，采用濾波的方式去抖，防止控制器誤工作。3）根據(jù)S-3、S-5、S-7可導(dǎo)出的軟件安全性需求，禁用死循環(huán)，軟件運(yùn)行過程中所有需要等待、判斷的功能都設(shè)置時限，防止因死循環(huán)引起的彈射救生功能失效。4）根據(jù)S-7可導(dǎo)出的軟件安全性需求，合理設(shè)置輸出控制的持續(xù)時間，防止由于輸出控制時間不足導(dǎo)致控制電路無法正常工作。

4 結(jié)語

該文提出了一種基于STPA的軟件安全性分析方法，著眼于各部件之間的控制過程，首先分析系統(tǒng)級危險、設(shè)計約束和控制結(jié)構(gòu)，然后識別不安全控制行為及其導(dǎo)致系統(tǒng)危險的原因，最終導(dǎo)出軟件安全性需求。

由于STPA側(cè)重于對軟件系統(tǒng)的控制結(jié)構(gòu)進(jìn)行建模分析，通過識別部件之間的不安全控制行為，導(dǎo)出避免不安全控制行為發(fā)生的軟件安全需求，其更適用于功能結(jié)構(gòu)復(fù)雜的系統(tǒng)，分析的對象不僅包括軟件各控制模塊內(nèi)部處理過程的不安全行為，也覆蓋了各控制模塊之間的不安全控制行為，因此，相對傳統(tǒng)的軟件安全性分析方法，其分析的結(jié)果更全面。

由于STPA分析方法在結(jié)構(gòu)復(fù)雜、控制交互較多的系統(tǒng)中具有更好的表現(xiàn)和分析效果，未來可與傳統(tǒng)的軟件安全性分析方法相結(jié)合，將其推廣應(yīng)用于其他高安全性系統(tǒng)或軟件的安全分析過程中。