编者注:
本文作者是中国民航大学安全学院适航系的赵长啸老师,主要从事综合航电和网络安保相关的教学和研究。“适航思维”在此衷心感谢他无私的知识和经验分享,以及对本公众号的大力支持!
从事民机安全性评估、适航相关工作的朋友们,想必都理解失效状态(Failure Conditon)类别划分的重要性,系统安全性分析的目的是评估系统架构、设计是否满足系统安全性目标(Safety Objective),而安全性目标是由失效状态类别确定的,失效状态类别的确定是安全性评估工作的起始点,也是后续安全性评估工作的重要输入,对不同类别的失效状态,系统设计、验证、测试所有付出的时间成本、经济成本和人力成本都大大不同。
同样的,在安保风险评估(Security Risk Assessment)中,威胁状态(Threat Condition)的识别与评估也是整个活动的起始点,主要工作包括威胁状态识别(Identification)与严重程度(severity)评估,作为整个后续安保评估与设计改进工作的依据和输入。那么,失效状态(Failure Condition)与威胁状态(Threat Condition)的联系和区别有哪些呢?让我们先来看一下威胁状态的识别与严重程度评估的流程:![]()
图1 威胁状态识别与严重程度评估
可见,威胁状态是以资产清单(Asset,我们要保护的对象,包括软件、接口、可编程硬件等等)为索引、参考失效状态清单进行识别的,以攻击是否会对资产的安保属性(机密性、完整性、可用性)产生影响来进行威胁状态的识别,所以,从适航的角度看,威胁状态和失效状态是强关联的。二者之间的差异和联系,我们从来源、类别划分、关联关系三个方面进行讨论:FAA 在2024年8月30号终于给了草案状态20多年的25.1309-ARSENAL“正式”的身份、颁布了25.1309-1B,新版本增加了关于残差风险分析(Residual Risk Analysis)、统计数据使用等问题的关注,在失效状态的定义上也做了调整:A condition, caused or contributed to by one or more failures or errors, that has either a direct or consequential effect on the airplane, its occupants, or other persons, accounting for—• Relevant adverse operational or environmental conditions, and失效状态是由failures or errors产生的,并且会对飞机、乘员或其他人产生影响,其中的errors在设计阶段主要包括了需求错误、设计错误,不同于Security关注的人的故意破坏行为,这里的errors主要是相关人员能力不足、无意等行为导致,所以我们可以通过系统工程的思想,引入研制保证活动降低、消除这样的错误。对于威胁状态,2024年9月修订的RTCA DO-326B中给出的定义为:A condition having an effect on the airplane and/or its occupants, either direct or consequential, which is caused or contributed to by one or more acts of intentional unauthorized electronic interaction, involving cyber threats, considering flight phase and relevant adverse operational or environmental conditions. Also see failure condition.
威胁状态是由intentional unauthorized electronic interaction产生的,是有意的非授权行为导致了系统状态的改变,并且这种改变会对飞机、乘员产生影响。结论:失效状态和威胁状态的相同点是,他们都是一种系统的非期望状态,二者导致系统处于非预期状态的原因不同,一种是由于故意的非授信行为,一种来源于物理随机失效、恶劣环境等自然原因。在类别划分上,威胁状态遵循了失效状态的5个类别划分模式,并且在分类标准上参照了25.1309条款中对飞机、机组、乘客的相关影响,RTCA DO-356A给出了类别划分的参考样例上,与AC 2501309-1B的标准类似。![]()
可见二者的类别判断依据基本保持一致,而且在开展系统安保评估(Security Assessment)的威胁状态类别判定时,将AFHA/FHA的结论作为输入,即威胁状态的类别是参考失效状态类别进行判定的。结论:失效状态和威胁状态的的类别划分依据、等级是一致的,都是考虑其对于飞机、机组、乘员的危害从而给出类别划分。二者的关系从两个维度来进行分析:是否有恶意行为、是否对于安全性产生不利影响,二者之间为交集的关系。- 既是失效状态又是威胁状态:由恶意行为导致的影响飞机安全性的系统状态。例如虚假的GPS诱骗攻击,会导致系统定位错误,从而对飞机级的“提供飞机位置信息”功能带来不利影响;
- 威胁状态而不产生失效状态:有恶意行为,但是不会对飞机的安全性产生影响,例如地空通话被第三方收听,安保属性的机密性(Confidential)被严重破坏,但是对飞机安全性无影响,不会产生需关注的失效状态。
- 失效状态而非威胁状态:非恶意行为导致的影响飞机安全性的系统状态。例如襟缝翼卡阻导致飞行控制系统失效,从而产生飞行风险,这种传统的安全性评估中分析的问题,不涉及威胁状态。
结论:失效状态和威胁状态二者是交集的关系,在适航或者安全性评估中,重点关心那些对Safety有不利影响的系统状态。最后,我们对失效状态(Failure Conditonz)与威胁状态(Threat Condition)做一个对比汇总,可见:- 在可接受的符合性判定上,二者存在微妙的联系与差异,失效状态可通过量化的概率进行符合性判定,而威胁状态是通过符合性矩阵进行,威胁状态无法进行概率量化也是安保专业符合性需处理的焦点问题之一。
![]()
图3 失效状态(Failure Conditonz)
与威胁状态(Threat Condition)
![]()
欢迎关注和转发![]()
![]()
