徐征捷，王 奇

（湖南中車時代通信信號有限公司，湖南 長沙 410005）

0 引言

安全相關(guān)機構(gòu)對產(chǎn)品安全可接受性的認識主要取決于安全認證過程中產(chǎn)生的安全案例是否全面、準(zhǔn)確[1]。安全案例通常在系統(tǒng)首次運行之前構(gòu)建和呈現(xiàn)，因此，安全論證通?；诠烙嫼皖A(yù)測的操作行為而不是觀察到的證據(jù)。同時，即使在沒有改變系統(tǒng)或監(jiān)管環(huán)境的情況下，安全案例在整個產(chǎn)品生命周期之間不可避免地需要進行更新。雖然IEC 62278 等標(biāo)準(zhǔn)[2]對安全案例的修訂提出了明確要求，但對如何開展此類行動沒有提供具體的建議。

安全案例是一個復(fù)雜的相互依賴的網(wǎng)絡(luò)，通常包含安全目標(biāo)、證據(jù)、設(shè)計和論證過程信息。因此，對安全案例的單一更改可能需要變更許多其他相應(yīng)的部分，從而產(chǎn)生“漣漪效應(yīng)”。當(dāng)前安全案例管理面臨的困難在于需要通過結(jié)構(gòu)不良的文檔來辨別那些相應(yīng)的變化，更新安全案例的成功與否很大程度上取決于對文件的理解程度。幾乎無法保證所有變更都得到了平等和系統(tǒng)的處理，因為主觀性在安全案例維護中發(fā)揮的作用超出了預(yù)期。

基于此，本文采用目標(biāo)結(jié)構(gòu)法(goal structuring notation, GSN)構(gòu)建安全論證變更管理模型。GSN 方法提供了一個清晰的安全案例概念模型，從而能夠有效地整合安全分析中的安全證據(jù)材料，明確地表示安全目標(biāo)與安全案例間的相互依賴性[3]。通過將該方法應(yīng)用于軌道交通信號設(shè)備的變更管理中，驗證了采用GSN 方法構(gòu)建安全案例變更管理模型能夠系統(tǒng)化地推理和處理變更，提高了變更管理的準(zhǔn)確性和全面性。

1 GSN 方法

工程變更是制造企業(yè)生產(chǎn)經(jīng)營活動中貫穿整個產(chǎn)品生命周期的重要活動之一，它可以是簡單的對發(fā)布文檔的重新修正，也可以是復(fù)雜的對產(chǎn)品設(shè)計和制造過程的重新設(shè)計。引起工程變更的原因很多，從設(shè)計、工藝、制造到銷售服務(wù)，幾乎每個環(huán)節(jié)都可能提出變更請求[4]。由于工程變更活動影響企業(yè)多個部門，容易造成產(chǎn)品數(shù)據(jù)不完整、更改反復(fù)等問題，因此，有效管理工程變更的能力是體現(xiàn)企業(yè)敏捷性的重要標(biāo)志之一[5]。

工程變更過程中，在對項目進行安全評估和認證時，項目管理者需要構(gòu)建和展示相關(guān)的安全案例，從而表明產(chǎn)品滿足了相關(guān)安全要求。這些安全案例通常被稱為安全論據(jù)。安全論據(jù)用于證明系統(tǒng)危險失效所產(chǎn)生的風(fēng)險已經(jīng)減輕到可接受的等級，其與安全目標(biāo)之間存在著邏輯上的關(guān)聯(lián)關(guān)系，意味著層次更接近安全目標(biāo)的安全論據(jù)需要以更底層的安全論據(jù)作為支撐，而安全論證是實現(xiàn)安全論據(jù)逐步支撐安全目標(biāo)的方式。

GSN 方法是一種用來呈現(xiàn)安全論證過程的圖形化語言[6]，被廣泛應(yīng)用于核電、航空、汽車行業(yè)等與安全相關(guān)的領(lǐng)域。這種圖形化語言不但可以清楚地論證安全目標(biāo)與安全論據(jù)之間的邏輯關(guān)系，而且可以使安全審核人員關(guān)注安全證據(jù)本身而不是文字的推敲上，因為安全證據(jù)與安全目標(biāo)之間的邏輯對應(yīng)關(guān)系才是安全論證的核心。GSN 中各元素的圖形表示和描述如圖1 所示[7]。

圖1 GSN 中各元素圖形表示和描述Fig.1 Graphic representation and description of elements in GSN

2 GSN 在安全案例變更管理中的應(yīng)用

2.1 安全案例要素關(guān)系

一個完整的安全案例通常由以下4 個要素組成[8]：為確保安全必須解決的安全目標(biāo)/需求，來自相關(guān)系統(tǒng)的研究、分析和測試的證據(jù)，顯示證據(jù)如何滿足安全目標(biāo)/需求的論證過程，以及目標(biāo)或論證過程所處的環(huán)境、所依據(jù)的標(biāo)準(zhǔn)或假設(shè)等上下文信息。圖2 中所示的概念模型表明這4 個元素之間存在著宏觀依賴關(guān)系[9]，識別這些依賴關(guān)系有助于保持變更處理過程的一致性。

圖2 安全案例要素之間的依賴關(guān)系Fig.2 Dependencies among security case elements

2.2 構(gòu)建GSN 安全論證配置模型

傳統(tǒng)的配置管理包含配置項和配置關(guān)系。使用GSN 構(gòu)建框架模型，可以將這些概念與安全案例相關(guān)聯(lián)。本文使用GSN 構(gòu)建配置模型，將其應(yīng)用于安全案例的變更管理中。表1 對傳統(tǒng)配置模型與基于GSN 的安全論證模型進行了對比。

表1 傳統(tǒng)配置模型與基于GSN 的安全論證模型的區(qū)別Tab.1 Differences between traditional configuration model and GSN-based security demonstration model

3 基于GSN 的變更管理分析模型

3.1 變更類型分析

安全案例中安全論據(jù)的作用是建立可用證據(jù)、安全目標(biāo)和上下文信息之間的關(guān)系。任何變更引入的變化類型與典型目標(biāo)結(jié)構(gòu)的元素之間存在對應(yīng)關(guān)系，這些關(guān)聯(lián)關(guān)系如表2 所示。

一個安全案例必須在目標(biāo)/要求、證據(jù)和上下文信息這3 個方面保持正確、一致和完整。例如，如果安全案例中列出的要求未正確表達監(jiān)管背景的適用安全要求，則安全案例無效；如果安全案例中使用的設(shè)計信息與運行中的系統(tǒng)設(shè)計不一致，則安全案例無效；類似地，選擇性地省略已知系統(tǒng)破壞性證據(jù)的安全案例也是無效的。安全案例維護的難點在于這3 類變更類型中的任何一個或全部可能隨時間而變化。

3.2 構(gòu)建GSN 變更管理流程

安全案例變更活動包括2 個階段：評估階段是評估變更對安全案例安全性論點的影響；修正階段是確定修正行動的過程，并追蹤該行為在修正安全論證方面的后果。這兩個階段之間存在迭代關(guān)系，修正安全案例破壞部分的行為也可能導(dǎo)致安全案例其他證據(jù)損壞。對于任何一次更改，可能需要對變更過程進行多次迭代才能再次形成一致且正確的安全案例，這突出了開展這些活動的有效性和系統(tǒng)化過程的重要性。安全案例變更管理流程如圖3 所示。

圖3 安全案例變更管理流程Fig.3 Security case change management process

3.2.1 識別變更點

安全目標(biāo)、安全證據(jù)和上下文信息可以看作是安全案例的論據(jù)，變更其中任何一個給定條件都將破壞安全案例的有效性，安全案例維護的難點在于這3 種論據(jù)可能會隨著時間的推移而改變。可能發(fā)生變更的情況有：

（1）操作事故后需要增加額外的監(jiān)管要求；

（2）系統(tǒng)因糾正或自適應(yīng)維護等原因需要更新設(shè)計；

（3）作為證據(jù)的操作經(jīng)驗、實驗及測試數(shù)據(jù)等被質(zhì)疑。

3.2.2 用GSN 表示變更

變更類型與目標(biāo)結(jié)構(gòu)要素之間的對應(yīng)關(guān)系如表2 所示，在產(chǎn)品發(fā)生變更前已經(jīng)完成了整個系統(tǒng)安全案例的構(gòu)建，當(dāng)GSN 元素或關(guān)系受到變更時，在該項上放置一個叉(×)。本步驟關(guān)注的是對目標(biāo)結(jié)構(gòu)安全論證的初始變更，即起始點的變更影響，而不是總的影響。

3.2.3 用GSN 識別影響

若證據(jù)類型發(fā)生變更，通過證據(jù)支持連接線（實心箭頭表示）可能導(dǎo)致與之相關(guān)聯(lián)的目標(biāo)的有效性受到影響。同樣，若上下文信息類型發(fā)生變更，通過補充說明連接線（空心箭頭表示）可能導(dǎo)致與該上下文信息類型關(guān)聯(lián)的所有目標(biāo)的有效性受到影響。確定了單一變化造成的影響程度后，通過結(jié)構(gòu)傳播效果逐步線性推理可能受到影響的節(jié)點和對象。

3.2.4 確定修改方案

在上一步驟結(jié)束時，確定了安全案例中遭到破壞的部分，確定安全案例修改方案可以通過采用一個完全不同的支持論據(jù)取而代之，或者可以采用已經(jīng)使用的論據(jù)形式通過更新內(nèi)容或數(shù)據(jù)信息對遭到破壞的安全論據(jù)進行變更。

3.2.5 修正損壞的安全論據(jù)

修正過程是從已確定要求變更節(jié)點開始，自上而下一步一步地修正論點，直到安全目標(biāo)可以與現(xiàn)有證據(jù)聯(lián)系起來。在上一步驟中提出的修改方案將作為變更節(jié)點上下文信息的重要組成部分，是目標(biāo)結(jié)構(gòu)的更改歷史記錄的一部分，應(yīng)在變更節(jié)點時添加對目標(biāo)/要求涉及的上下文信息的描述。

4 應(yīng)用實例

本文選擇軌道交通信號設(shè)備為分析對象，應(yīng)用GSN 方法對其時序分析有效性進行安全論證模型的構(gòu)建，旨在通過實例說明基于GSN 的模型構(gòu)建對變更管理的實現(xiàn)過程及其產(chǎn)生的效果。

4.1 構(gòu)建基于GSN 的安全論證變更流程

4.1.1 識別變更點

在初步接受安全論證后，發(fā)現(xiàn)靜態(tài)時序分析工具存在一個缺陷，變更涉及的直接影響是導(dǎo)致測試結(jié)果不準(zhǔn)確，因此識別出變更點為S1（時序測試結(jié)果）有誤。

4.1.2 用GSN 表示變更

在檢查了安全論證的3 種變更類型（上下文信息、解決方案和目標(biāo)/需求）之后，確定上述變更直接涉及S1（時序測試結(jié)果）的變更，如圖4 所示。由于S1（時序測試結(jié)果）是安全論證的初始變更點，因此在該項上放置一個叉（×）。

圖4 響應(yīng)時間安全論證結(jié)構(gòu)模型Fig.4 Structural model of the response time safety demonstration

4.1.3 用GSN 識別變更影響

由于靜態(tài)時序分析工具存在一個缺陷，從而直接導(dǎo)致變更點S1(時序測試結(jié)果)有誤，也就是說，起始變更點為S1。此時，通過圖4 的結(jié)構(gòu)模型自下向上推理，判斷G19, G18, G15, G12 可能會受到變更影響。由于G12“響應(yīng)時間”是系統(tǒng)軟件功能需求之一，為了審核整個安全論證結(jié)構(gòu)模型中間接影響到的變更部分，還需要自下向上地將GSN 模型進行推理。圖5 所示為在安全認證之初構(gòu)建的安全論證模型，從G12繼續(xù)向上追蹤，以推導(dǎo)并確定變更造成的間接影響。

圖5 系統(tǒng)功能安全論證結(jié)構(gòu)模型Fig.5 Structural model of the system functional safety demonstration

通過圖5 的安全論證結(jié)構(gòu)模型，自下向上推導(dǎo)出G6，G2 和G1 可能會受到變更的影響。經(jīng)過分析，由于G15“最大響應(yīng)時間不超過5 s”是標(biāo)準(zhǔn)中對系統(tǒng)響應(yīng)時間的要求，故G15 不會發(fā)生變更，從G15 向上的分支節(jié)點（包括G12，G6，G2 和G1）也不會因此受到影響，所以可以確定最終受到變更影響的節(jié)點和分支為G18, G19 和S1。

4.1.4 確定修改方案

因變更僅僅是由于工具中存在缺陷，對工具更正版本后進行重新分析，以相同的形式修正安全論證結(jié)構(gòu)模型中受到直接或間接影響的分支和對象是最有效的選擇。

4.1.5 修正受到影響的安全論據(jù)

在將時序分析工具更正版本時，需重新進行時序分析，以方便安全工程師修正損壞的安全論據(jù)。假設(shè)新結(jié)果顯示最大響應(yīng)時間為2.9 s，則需要重新調(diào)整G18。當(dāng)G18 修正后，接下來必須檢查G19 和G20，并考慮是否還需要重新調(diào)整。經(jīng)分析，變更涉及的直接影響是導(dǎo)致測試結(jié)果不準(zhǔn)確，G19 與最大響應(yīng)時間的確定有關(guān)，而G20 僅涉及輸出延遲時間的確定，與靜態(tài)時序分析工具無關(guān)。因此，需要對G19 進行修正，對G19 的證據(jù)S1 需要進行檢查，從而確定是否需要對其進行重新定義。實際上，必須更改S1 以引用新的時序分析結(jié)果；同時，作為記錄目標(biāo)結(jié)構(gòu)的更改歷史記錄部分，應(yīng)在修正過程的起始點添加對更改描述和決策的上下文信息描述A5，這樣的注釋有助于將來理解結(jié)構(gòu)，并為安全相關(guān)方審閱提供一些論證依據(jù)。修正后的安全論據(jù)模型如圖6 所示。

圖6 修正后的安全論證結(jié)構(gòu)模型Fig.6 Restored structure model of the security demonstration

4.2 變更結(jié)果

使用GSN 方法明確安全目標(biāo)與安全案例間的依賴性，從變更起始點S1 通過安全論證模型逐步通過結(jié)構(gòu)傳播效果自下向上推出G19, G18, G15, G12 等安全目標(biāo)可能會受到變更影響；線性推理可能受到影響的節(jié)點和對象，經(jīng)分析判斷，確定最終受到變更影響的節(jié)點和分支為G18, G19 和S1，并逐步修正論點，直到安全目標(biāo)可以與現(xiàn)有證據(jù)聯(lián)系起來。該方法能夠系統(tǒng)化地推理和處理變更，提高變更管理的準(zhǔn)確性和全面性。

5 結(jié)語

安全案例變更過程中，采用GSN 方法能夠準(zhǔn)確識別出需要對模型中的目標(biāo)、證據(jù)和上下文信息中的哪一項進行變更，從而能夠有效應(yīng)對系統(tǒng)因為結(jié)構(gòu)復(fù)雜而導(dǎo)致的變更點不明確問題。

準(zhǔn)確識別變更點后，由于GSN 安全論證過程以圖形化的方式進行呈現(xiàn)，采用了更具邏輯性的推理過程來識別變更節(jié)點所影響分支的上一層目標(biāo)或下一層目標(biāo)或證據(jù)，因而能夠全面識別變更所造成的影響。

采用GSN 方法重新構(gòu)建變更后的安全論證模型，能夠方便系統(tǒng)安全相關(guān)方對安全論據(jù)進行交流、復(fù)查，從而進一步加強對安全案例持續(xù)有效性的信心。但本文僅給出了軌道交通信號設(shè)備在時序有效性方面的變更管理實例，分析并構(gòu)建不同場景下的產(chǎn)品變更管理模型是下一步的研究內(nèi)容。