徐征捷，王 奇

（湖南中车时代通信信号有限公司，湖南 长沙 410005）

0 引言

安全相关机构对产品安全可接受性的认识主要取决于安全认证过程中产生的安全案例是否全面、准确[1]。安全案例通常在系统首次运行之前构建和呈现，因此，安全论证通常基于估计和预测的操作行为而不是观察到的证据。同时，即使在没有改变系统或监管环境的情况下，安全案例在整个产品生命周期之间不可避免地需要进行更新。虽然IEC 62278 等标准[2]对安全案例的修订提出了明确要求，但对如何开展此类行动没有提供具体的建议。

安全案例是一个复杂的相互依赖的网络，通常包含安全目标、证据、设计和论证过程信息。因此，对安全案例的单一更改可能需要变更许多其他相应的部分，从而产生“涟漪效应”。当前安全案例管理面临的困难在于需要通过结构不良的文档来辨别那些相应的变化，更新安全案例的成功与否很大程度上取决于对文件的理解程度。几乎无法保证所有变更都得到了平等和系统的处理，因为主观性在安全案例维护中发挥的作用超出了预期。

基于此，本文采用目标结构法(goal structuring notation, GSN)构建安全论证变更管理模型。GSN 方法提供了一个清晰的安全案例概念模型，从而能够有效地整合安全分析中的安全证据材料，明确地表示安全目标与安全案例间的相互依赖性[3]。通过将该方法应用于轨道交通信号设备的变更管理中，验证了采用GSN 方法构建安全案例变更管理模型能够系统化地推理和处理变更，提高了变更管理的准确性和全面性。

1 GSN 方法

工程变更是制造企业生产经营活动中贯穿整个产品生命周期的重要活动之一，它可以是简单的对发布文档的重新修正，也可以是复杂的对产品设计和制造过程的重新设计。引起工程变更的原因很多，从设计、工艺、制造到销售服务，几乎每个环节都可能提出变更请求[4]。由于工程变更活动影响企业多个部门，容易造成产品数据不完整、更改反复等问题，因此，有效管理工程变更的能力是体现企业敏捷性的重要标志之一[5]。

工程变更过程中，在对项目进行安全评估和认证时，项目管理者需要构建和展示相关的安全案例，从而表明产品满足了相关安全要求。这些安全案例通常被称为安全论据。安全论据用于证明系统危险失效所产生的风险已经减轻到可接受的等级，其与安全目标之间存在着逻辑上的关联关系，意味着层次更接近安全目标的安全论据需要以更底层的安全论据作为支撑，而安全论证是实现安全论据逐步支撑安全目标的方式。

GSN 方法是一种用来呈现安全论证过程的图形化语言[6]，被广泛应用于核电、航空、汽车行业等与安全相关的领域。这种图形化语言不但可以清楚地论证安全目标与安全论据之间的逻辑关系，而且可以使安全审核人员关注安全证据本身而不是文字的推敲上，因为安全证据与安全目标之间的逻辑对应关系才是安全论证的核心。GSN 中各元素的图形表示和描述如图1 所示[7]。

图1 GSN 中各元素图形表示和描述Fig.1 Graphic representation and description of elements in GSN

2 GSN 在安全案例变更管理中的应用

2.1 安全案例要素关系

一个完整的安全案例通常由以下4 个要素组成[8]：为确保安全必须解决的安全目标/需求，来自相关系统的研究、分析和测试的证据，显示证据如何满足安全目标/需求的论证过程，以及目标或论证过程所处的环境、所依据的标准或假设等上下文信息。图2 中所示的概念模型表明这4 个元素之间存在着宏观依赖关系[9]，识别这些依赖关系有助于保持变更处理过程的一致性。

图2 安全案例要素之间的依赖关系Fig.2 Dependencies among security case elements

2.2 构建GSN 安全论证配置模型

传统的配置管理包含配置项和配置关系。使用GSN 构建框架模型，可以将这些概念与安全案例相关联。本文使用GSN 构建配置模型，将其应用于安全案例的变更管理中。表1 对传统配置模型与基于GSN 的安全论证模型进行了对比。

表1 传统配置模型与基于GSN 的安全论证模型的区别Tab.1 Differences between traditional configuration model and GSN-based security demonstration model

3 基于GSN 的变更管理分析模型

3.1 变更类型分析

安全案例中安全论据的作用是建立可用证据、安全目标和上下文信息之间的关系。任何变更引入的变化类型与典型目标结构的元素之间存在对应关系，这些关联关系如表2 所示。

一个安全案例必须在目标/要求、证据和上下文信息这3 个方面保持正确、一致和完整。例如，如果安全案例中列出的要求未正确表达监管背景的适用安全要求，则安全案例无效；如果安全案例中使用的设计信息与运行中的系统设计不一致，则安全案例无效；类似地，选择性地省略已知系统破坏性证据的安全案例也是无效的。安全案例维护的难点在于这3 类变更类型中的任何一个或全部可能随时间而变化。

3.2 构建GSN 变更管理流程

安全案例变更活动包括2 个阶段：评估阶段是评估变更对安全案例安全性论点的影响；修正阶段是确定修正行动的过程，并追踪该行为在修正安全论证方面的后果。这两个阶段之间存在迭代关系，修正安全案例破坏部分的行为也可能导致安全案例其他证据损坏。对于任何一次更改，可能需要对变更过程进行多次迭代才能再次形成一致且正确的安全案例，这突出了开展这些活动的有效性和系统化过程的重要性。安全案例变更管理流程如图3 所示。

图3 安全案例变更管理流程Fig.3 Security case change management process

3.2.1 识别变更点

安全目标、安全证据和上下文信息可以看作是安全案例的论据，变更其中任何一个给定条件都将破坏安全案例的有效性，安全案例维护的难点在于这3 种论据可能会随着时间的推移而改变。可能发生变更的情况有：

（1）操作事故后需要增加额外的监管要求；

（2）系统因纠正或自适应维护等原因需要更新设计；

（3）作为证据的操作经验、实验及测试数据等被质疑。

3.2.2 用GSN 表示变更

变更类型与目标结构要素之间的对应关系如表2 所示，在产品发生变更前已经完成了整个系统安全案例的构建，当GSN 元素或关系受到变更时，在该项上放置一个叉(×)。本步骤关注的是对目标结构安全论证的初始变更，即起始点的变更影响，而不是总的影响。

3.2.3 用GSN 识别影响

若证据类型发生变更，通过证据支持连接线（实心箭头表示）可能导致与之相关联的目标的有效性受到影响。同样，若上下文信息类型发生变更，通过补充说明连接线（空心箭头表示）可能导致与该上下文信息类型关联的所有目标的有效性受到影响。确定了单一变化造成的影响程度后，通过结构传播效果逐步线性推理可能受到影响的节点和对象。

3.2.4 确定修改方案

在上一步骤结束时，确定了安全案例中遭到破坏的部分，确定安全案例修改方案可以通过采用一个完全不同的支持论据取而代之，或者可以采用已经使用的论据形式通过更新内容或数据信息对遭到破坏的安全论据进行变更。

3.2.5 修正损坏的安全论据

修正过程是从已确定要求变更节点开始，自上而下一步一步地修正论点，直到安全目标可以与现有证据联系起来。在上一步骤中提出的修改方案将作为变更节点上下文信息的重要组成部分，是目标结构的更改历史记录的一部分，应在变更节点时添加对目标/要求涉及的上下文信息的描述。

4 应用实例

本文选择轨道交通信号设备为分析对象，应用GSN 方法对其时序分析有效性进行安全论证模型的构建，旨在通过实例说明基于GSN 的模型构建对变更管理的实现过程及其产生的效果。

4.1 构建基于GSN 的安全论证变更流程

4.1.1 识别变更点

在初步接受安全论证后，发现静态时序分析工具存在一个缺陷，变更涉及的直接影响是导致测试结果不准确，因此识别出变更点为S1（时序测试结果）有误。

4.1.2 用GSN 表示变更

在检查了安全论证的3 种变更类型（上下文信息、解决方案和目标/需求）之后，确定上述变更直接涉及S1（时序测试结果）的变更，如图4 所示。由于S1（时序测试结果）是安全论证的初始变更点，因此在该项上放置一个叉（×）。

图4 响应时间安全论证结构模型Fig.4 Structural model of the response time safety demonstration

4.1.3 用GSN 识别变更影响

由于静态时序分析工具存在一个缺陷，从而直接导致变更点S1(时序测试结果)有误，也就是说，起始变更点为S1。此时，通过图4 的结构模型自下向上推理，判断G19, G18, G15, G12 可能会受到变更影响。由于G12“响应时间”是系统软件功能需求之一，为了审核整个安全论证结构模型中间接影响到的变更部分，还需要自下向上地将GSN 模型进行推理。图5 所示为在安全认证之初构建的安全论证模型，从G12继续向上追踪，以推导并确定变更造成的间接影响。

图5 系统功能安全论证结构模型Fig.5 Structural model of the system functional safety demonstration

通过图5 的安全论证结构模型，自下向上推导出G6，G2 和G1 可能会受到变更的影响。经过分析，由于G15“最大响应时间不超过5 s”是标准中对系统响应时间的要求，故G15 不会发生变更，从G15 向上的分支节点（包括G12，G6，G2 和G1）也不会因此受到影响，所以可以确定最终受到变更影响的节点和分支为G18, G19 和S1。

4.1.4 确定修改方案

因变更仅仅是由于工具中存在缺陷，对工具更正版本后进行重新分析，以相同的形式修正安全论证结构模型中受到直接或间接影响的分支和对象是最有效的选择。

4.1.5 修正受到影响的安全论据

在将时序分析工具更正版本时，需重新进行时序分析，以方便安全工程师修正损坏的安全论据。假设新结果显示最大响应时间为2.9 s，则需要重新调整G18。当G18 修正后，接下来必须检查G19 和G20，并考虑是否还需要重新调整。经分析，变更涉及的直接影响是导致测试结果不准确，G19 与最大响应时间的确定有关，而G20 仅涉及输出延迟时间的确定，与静态时序分析工具无关。因此，需要对G19 进行修正，对G19 的证据S1 需要进行检查，从而确定是否需要对其进行重新定义。实际上，必须更改S1 以引用新的时序分析结果；同时，作为记录目标结构的更改历史记录部分，应在修正过程的起始点添加对更改描述和决策的上下文信息描述A5，这样的注释有助于将来理解结构，并为安全相关方审阅提供一些论证依据。修正后的安全论据模型如图6 所示。

图6 修正后的安全论证结构模型Fig.6 Restored structure model of the security demonstration

4.2 变更结果

使用GSN 方法明确安全目标与安全案例间的依赖性，从变更起始点S1 通过安全论证模型逐步通过结构传播效果自下向上推出G19, G18, G15, G12 等安全目标可能会受到变更影响；线性推理可能受到影响的节点和对象，经分析判断，确定最终受到变更影响的节点和分支为G18, G19 和S1，并逐步修正论点，直到安全目标可以与现有证据联系起来。该方法能够系统化地推理和处理变更，提高变更管理的准确性和全面性。

5 结语

安全案例变更过程中，采用GSN 方法能够准确识别出需要对模型中的目标、证据和上下文信息中的哪一项进行变更，从而能够有效应对系统因为结构复杂而导致的变更点不明确问题。

准确识别变更点后，由于GSN 安全论证过程以图形化的方式进行呈现，采用了更具逻辑性的推理过程来识别变更节点所影响分支的上一层目标或下一层目标或证据，因而能够全面识别变更所造成的影响。

采用GSN 方法重新构建变更后的安全论证模型，能够方便系统安全相关方对安全论据进行交流、复查，从而进一步加强对安全案例持续有效性的信心。但本文仅给出了轨道交通信号设备在时序有效性方面的变更管理实例，分析并构建不同场景下的产品变更管理模型是下一步的研究内容。