嵌入式系統安全性分析概述

蔡舒祺

摘 要近年來，隨著嵌入式系統在諸如航空航天、核能、交通等安全攸關領域的廣泛應用，使得保障系統安全性成為系統工程領域的研究熱點之一。本文在綜合分析國內外研究的基礎上，對系統安全性概念進行了界定，并區分了安全性與信息安全、可靠性之間的差異。然后，在此基礎上對當前較為常用的系統安全性分析方法進行了分類與概述，并對當前嵌入式系統安全性分析的研究挑戰進行歸納與總結。

【關鍵詞】系統安全性 嵌入式系統 可靠性 安全性分析

1 引言

近年來，隨著嵌入式系統大規模應用于航空航天、核能、交通等領域， 因嵌入式系統失效而導致的財產損失、環境破壞以及人員傷亡等事故已屢見不鮮。例如，2009年法國航空公司AF447航班的A330-200飛機由于測速儀結冰，給出了飛行控制系統錯誤的攀升指示，而系統中未設置高度值上限，最終導致飛機在大西洋上墜毀；同年，一架土耳其航空公司波音737-800型飛機在機場跑道進近期間，由于無線電高度值錯誤使得飛機失速而機載系統缺乏“處理失速情況”的程序，導致飛機墜毀。由此可見，嵌入式系統的安全性問題越來越重要，對系統進行有效的安全性分析已經迫在眉睫。

本文針對嵌入式系統安全性開展研究，在綜合分析國內外研究的基礎上。首先對系統安全性概念進行了闡述，并分析了安全性、信息安全以及可靠性這幾個相關概念之間的差異。然后在此基礎上對當前較為常用的幾種系統安全性分析方法進行了簡單介紹，并歸納總結出了當前嵌入式系統安全性的研究挑戰，最后對全文進行了總結。

2 系統安全性概述

談到安全性，就不得不提到Safety和Security，這兩個單詞中文都翻譯成安全，但兩者的含義卻存在著一定的差異。一般而言，Safety強調的是一個系統、組織或個人按照自己的機制正常運轉的“穩定狀態”；而Security則是由惡意的操作者通過故意的動作而導致系統進入危險狀態，其本質區別是操作者是否是故意的。更一般的說，Safety更加關注的事系統本身功能，而Security則關注的是與外界進行通訊信息而產生的安全性。因此，為了對兩者進行區分，通常將Safety翻譯成功能安全，而將Security翻譯成信息安全。在沒有特別說明的情形下，本文所提的安全性均指功能安全。

為了進一步區分這兩個概念，本文下面將以工業控制領域的IEC61508標準和IEC62443標準對Safety和Security的定義為例進行具體論述。

首先，介紹功能安全（Safety），在IEC61508中將其定義為：“與受控設備和受控設備控制系統有關的整體的組成部分，它取決于電氣、電子、可編程安全相關系統、其它技術安全相關系統和外部風險降低設施功能的正確行使?！本唧w而言，功能安全防止的是與安全相關的系統或設備因功能失效所導致的危險。以鍋爐控制系統為例，“當鍋爐壓力達到危險值時應當關閉爐火”這是鍋爐控制系統的一項基本功能，如果這一功能失效（即當鍋爐內的壓力達到危險值時，不能及時關閉爐火，而是讓其持續燃燒），則會使得鍋爐發生爆炸，從而可能引發人員傷亡等危險。在這種情況下，安全性主要依賴于系統能否執行正確的功能。類似于這種安全性依賴于系統功能的情形，就稱之為“功能安全”。

接下來進一步介紹信息安全（Security），在IEC 62443中對信息安全的定義主要包括以下五點內容：

（1）為了保護系統而采取的相應措施；

（2）由建立和維護保護系統的措施所得到的系統狀態；

（3）能夠免于對系統資源的非授權訪問和非授權或意外的變更、破壞或者損失；

（4）能夠確保未經授權的人員和系統無法修改軟件及其數據，同時也無法對系統功能進行修改，但是必須保證獲得授權的人員能夠對系統進行正常訪問，并對軟件及數據進行修改；

（5）能夠有效地阻止非法或有害的入侵，或者對其有效的操作進行干擾。

此外，安全性也不同于可靠性（Reliability）?？煽啃允侵赶到y或設備在規定的條件以及規定的時間內完成規定功能的能力。也就是說，可靠性評估的是系統在時間間隔 內運行時正常工作的概率。在大多數情況下，系統的可靠性和安全性是一致的，系統不可靠會導致系統不安全，當系統發生故障時，不僅會影響系統功能的實現而且有可能會導致安全性事故的發生，從而造成人員傷亡或財產損失。例如，當飛機發動機發生故障時，不僅會對飛機的正常飛行產生影響，而且還可能會導致飛機因動力不足而墜落，造成機毀人亡的后果。因此，提高系統可靠性不僅可以保證系統功能的實現，而且可以提高系統的安全性。

但是，可靠性又不完全等同于安全性。其根本區別是兩者的著眼點不同，可靠性著眼于系統功能，關注于對系統目標的實現；而安全性著眼于防止事故的發生，避免人員傷亡和財產損失?？煽啃匝芯抗收习l生以前直到故障發生為止的系統狀態，而安全性則側重關注于故障發生后，故障對系統的影響。

正是因為系統的可靠性與安全性之間存在著密切的關聯關系，所以在系統安全性研究中廣泛利用和借鑒了可靠性研究中的一些理論和方法。系統安全性分析就是以系統可靠性分析為基礎的而進行的。

3 常用的系統安全性分析方法

對于一個復雜嵌入式系統來說，其安全性通常需要通過一系列方法和技術來保證。目前，系統安全性分析方法有很多種，可以應用于不同的系統安全分析過程。這些方法可以按照不同的標準與方式進行分類，例如按照數理方法可以分為定性分析與定量分析；按照邏輯方法可以分為歸納法與演繹法。

歸納法是從原因歸納出結果，即從故障出發分析可能導致的事故或系統故障，再來確定危險源；演繹法則是從結果出發追溯原因，即從事故或者系統故障出發查找與該事故或系統故障有關的危險因素。相比較而言，演繹法可以把注意力集中在有限的查找范圍內，提高工作效率，而歸納法則可以無遺漏地分析與辨識系統中的所有危險源。實際工作中，這兩類方法通常被結合使用，以便充分發揮各類方法的優點。

3.1 歸納方法

在系統安全性分析當中，歸納方法主要應用表格式的方法用于發現危害或者特定操作條件或失效的危害結果。目前，比較有代表性的歸納形式的安全性分析方法主要包括失效模式與影響分析（Failure Mode and Effects Analysis，簡稱FMEA）、危害及可操作性研究（Hazard and Operability studies，簡稱HAZOP）以及事件樹分析（Event Tree Analysis， 簡稱ETA ）。

3.1.1 失效模式與影響分析

失效模式與影響分析是一種經典的危害分析技術，它是20世紀40年代由美國武裝部隊首次提出的，之后在諸如航空航天等領域得到了廣泛使用。

FMEA是一種自底向上的分析技術，它適用于任何系統或設備，也可以用于任何所需的系統設計層次，如子系統、組件、單元或部件。但一般而言，FMEA主要用于組件或單元級層次分析，因為該層次中的單個嵌入式部件的失效率更容易獲得。FMEA的結果被記錄在了一個FMEA表格中。FMEA表可以假設有幾種不同的形式。一個FMEA表通過不同的實體進行構造，每個實體記錄了與給定系統故障的影響信息。當FMEA用于支持系統安全和危害分析時，應當至少包含：失效模式、失效模式對系統的影響、失效導致的系統層危險、危險對事故影響的后果、失效模式和/或危險的原因、失效模式和檢測的方式、建議（如可采用的安全性要求或規范）以及所確定危險引起的風險等內容。

3.1.2 危害及可操作性研究

HAZOP是一種識別與分析系統中的危險以及運行問題的技術，是一種高度組織化、結構化和條理化的過程，可以用于對系統的危險進行識別與分析，其應用可以從系統的方案認證到退役整個生命周期。HAZOP最早出現在化學領域，于20世紀60年代由ICI首次提出的，HAZOP的目標是研究處于分析中系統操作的基本集合，考慮正常操作下可能的偏差，并且鑒別出他們潛在的危害性影響。HAZOP是以識別出被稱為節點的標識符開始的。每個節點都具有一個相關聯的過程參數和一個設計好的意圖，就是規定了操作條件，即這個過程必須以正確的操作發生。當今HAZO已經被應用于制造工業（如化工、石化和核工業等）以及航空航天等其他領域。

3.1.3 事件樹分析

事件樹分析是一種用于在可能的事故場景中識別和評價在某個初始時間發生后的時間序列的分析技術，ETA實際上是一種二元決策樹，它是在WASH-1400核電站安全性研究過程中提出并發展起來的一種安全性分析技術。當時WASH-1400研究人員發現可以利用FTA進行核電站的安全性分析，但是故障樹結果十分龐大，不利于使用，因此，他們在保留FTA的基礎上提出了ETA，并利用ETA將分析結果壓縮成一個更適于管理的圖形。

ETA以一個初始時間開始，一般是位于圖的左邊，并且從左向右開始執行，以更深層次的事件進行分支，這些更深層次的時間在分析的過程中被識別，并決定系統可能的結果。典型地是使用二權分支，也就是說，可能是事件，也可能是它的補充物會發生（例如，一個子系統的成功或失敗應該介入到那些樹的前層所識別的事件中）。樹會一直延伸下去，直到系統中出現了預期的結果，被稱為結束事件或結果場景。與FTA相比，ETA中事件會對處于分析中的系統（例如，閥門的開關）或錯誤條件（例如，沒有關閉的閥門）做出對應的預期操作。每個事件都會在圖中產生一個分支，一個完整的樹包含有2N個分支，N是事件的個數。由于這個原因，在分析的過程中都必須要考慮正常和危險的操作，對于復雜的系統來說，事件樹會產生更大的樹。

3.2 演繹方法

演繹形式的安全性分析方法比較有代表性的包括可靠性框圖（Reliability Block Diagram，簡稱RBD）和故障樹分析（Fault Tree Analysis，簡稱FTA）。

3.2.1 可靠性框圖

可靠性框圖是系統單元及其可靠性意義下連接關系的圖形表達，表示單元的正?；蚴顟B對系統狀態的影響。與結構連接圖不同，RBD是利用互相連接的方框來顯示系統的失效邏輯，分析系統中每一個成分的失效率對系統的影響，以此對系統整體的可靠性進行評估。RBD通過方框和連線描述了系統各個部分發生故障時對系統功能特性的影響。它與部件之間的順序無關，僅僅反映了各個部件之間的串并聯關系。

3.2.2 故障樹分析

故障樹分析（FTA）是在二十世紀六十年代，由貝爾實驗室首次提出的，并且隨后由波音公司所擴展使用與推廣。目前已成為工業界應用最為廣泛的安全性分析方法之一。

FTA以系統故障作為安全性分析對象，采用自頂向下的邏輯圖演繹方法，對可能引起故障現象的各種因素（如：軟硬件、環境、人為因素等）進行分析，從而確定各種可能導致故障發生的原因，并形象地表示出故障與故障原因之間的邏輯關系，進而通過定性分析和定量計算，找出系統的設計錯誤、安全缺陷以及薄弱環節，并采取糾正措施，提高系統可靠性和安全性。

4 嵌入式系統安全性分析的研究挑戰

近年來，隨著計算機技術的發展，嵌入式系統在航空航天、核能、交通等安全攸關領域的應用越來越廣泛，而且，由于軟件功能的日益強大，軟件正在逐步取代部分硬件的功能，使得嵌入式系統的安全性分析出現了新的挑戰。

4.1 嵌入式系統規模大、復雜度高的特點

以航空領域為例，從第二代飛機起，通過軟件實現的功能隨著每一代飛機而翻番。對于第三代和第四代飛機來說，軟件已經成為飛行控制、通信導航、火力控制以及維修保障的核心（如軍機F-22飛機上嵌入式系統代碼高達300萬行，F-35機載和地面的嵌入式系統代碼高達1500萬行）。這表明越來越多的安全攸關系統逐漸成為軟件密集型系統。一方面軟件的大量應用使機載裝備性能有了很大的飛躍，有效提高了機載裝備的精確性、靈活性和快速反應能力，另一方面嵌入式系統復雜度的快速增加使得保證系統安全性出現了新的挑戰。

4.2 與環境交互復雜的特點

如今，諸如航空航天、交通等安全攸關領域的嵌入式系統，通常都涉及到復雜的環境交互，使得傳統的安全性分析方法存在不足，無法考慮這些復雜的環境因素。具體而言，如今軟件的功能越來越強，大量的人工操作已經被軟件所取代，使得現在的嵌入式系統越來越智能化，因此，系統需要感知的外界環境也越來越復雜，如何綜合考慮這些外界環境因素進行系統的安全性分析是當前研究的難點。

此外，功能安全與信息安全的深度融合，也為系統安全性分析帶來了新的挑戰。

5 總結

本文針對嵌入式系統的安全性問題進行相關論述，明確了安全性的基本概念，并區分了其與信息安全、可靠性之間的差異。然后在此基礎上對當前國內外應用比較成熟的系統安全性分析方法進行了簡單介紹，最后歸納總結出了目前嵌入式系統安全性分析的挑戰。

參考文獻

[1]黃志球，徐丙鳳，闞雙龍，胡軍，陳哲.嵌入式機載軟件安全性分析標準、方法及工具研究綜述[J].軟件學報，2014，25（02）：200-218.

[2]Learmount D.Never Again.Flight International.2012，182：32-35.

[3]Afshar A，Majid Hajyhosseinloo MD， Ali Eftekhari，MD.A Report of the Injuries Sustained in Iran Air Flight 277 that Crashed near Urmia， Iran.Archives of Iranian medicine， 2012，15（05）：317-319.

[4]IEC 60812：Analysis techniques for system reliability.In：Proc.of the Failure Mode and Effect Analysis （FMEA）.Intl Electrotechnical Commission，1991.

[5]IEC 61822：Hazard and operability studies （HAZOP studies）-Application guide.Intl Electrotechnical Commission，2001.

[6]Rausand M，Hoyland A.System Reliability Theory：Models， Statistical Methods，and Applications.2nd ed.，New York：Wiley InterScience，2003.

[7]IEC 61078：Analysis techniques for dependability-Reliability block diagram method.Intl Electrotechnical Commission，1991.

[8]Cha S，Yoo J.A safety-focused verification using software fault trees.Future Generation Computer Systems，2012，28（08）：1272-1282.

作者單位

南京師范大學附中江寧分校 江蘇省南京市 210003