航電系統(tǒng)數(shù)據(jù)危害的模式和原理

紀(jì)華東+鮑曉紅+付榮榮

摘 要

當(dāng)前數(shù)據(jù)密集型系統(tǒng)越來越多地應(yīng)用于實時計算機(jī)系統(tǒng)中，尤其是在航電系統(tǒng)如導(dǎo)航系統(tǒng)、飛行管理系統(tǒng)。航電系統(tǒng)中數(shù)據(jù)量大且述對象復(fù)雜多樣，共享程度要求和安全性要求較高，數(shù)據(jù)錯誤對于航電系統(tǒng)的安全性有重大影響。數(shù)據(jù)安全已經(jīng)成為影響航電系統(tǒng)安全的重要因素。因此本文結(jié)合當(dāng)前最新的研究成果研究了航電系統(tǒng)的數(shù)據(jù)組成，梳理總結(jié)出常見的數(shù)據(jù)危害類型；然后研究了航電系統(tǒng)數(shù)據(jù)危害的產(chǎn)生，基于態(tài)勢感知理論提出了航電系統(tǒng)數(shù)據(jù)危害層次模型，并以可控飛行觸地事故為例進(jìn)行了分析，驗證了數(shù)據(jù)危害層次模型的正確性，為指導(dǎo)航電系統(tǒng)數(shù)據(jù)安全性分析提供理論支持。

【關(guān)鍵詞】航電系統(tǒng) 數(shù)據(jù)安全性 態(tài)勢感知 數(shù)據(jù)危害 層次模型

1 引言

現(xiàn)代飛機(jī)普遍采用自動駕駛、自動決策等功能，逐漸減少飛行員的工作量，保證飛行員專注于安全關(guān)鍵的飛行決策，朝著數(shù)字化、智能化的方向前進(jìn)尤其是無人機(jī)領(lǐng)域。航空電子系統(tǒng)是大型客機(jī)的“大腦、神經(jīng)和五官”，是實現(xiàn)飛機(jī)信息融合的核心，實現(xiàn)通信、導(dǎo)航、監(jiān)控、控制和信息管理等功能。但是一個新的問題出現(xiàn)了：對于航空電子系統(tǒng)，系統(tǒng)的安全運行越來越依賴于數(shù)據(jù)。航電系統(tǒng)內(nèi)部功能之間以及系統(tǒng)與外部系統(tǒng)或者環(huán)境之間、操作人員之間都會產(chǎn)生大量的數(shù)據(jù)，包括導(dǎo)航數(shù)據(jù)、性能數(shù)據(jù)、配置數(shù)據(jù)等，數(shù)據(jù)已經(jīng)成為系統(tǒng)的重要組成部分。這類系統(tǒng)被稱為數(shù)據(jù)密集型系統(tǒng)，系統(tǒng)的安全性不僅依賴于其中的軟硬件，而且受到系統(tǒng)接收、產(chǎn)生或者處理的數(shù)據(jù)的影響，而且在許多情況下的數(shù)據(jù)錯誤的影響和系統(tǒng)故障是一樣嚴(yán)重的。英國安全關(guān)鍵組織（SCSC）對航空、航天、航海、鐵路等領(lǐng)域的事故進(jìn)行廣泛地調(diào)研，發(fā)現(xiàn)數(shù)據(jù)錯誤造成的事故比例超過14%，而軟硬件導(dǎo)致事故的比例僅占9%。許多事故中并沒有發(fā)生軟硬件故障，而是由于系統(tǒng)中數(shù)據(jù)錯誤導(dǎo)致的。但是當(dāng)前針對數(shù)據(jù)是如何導(dǎo)致事故的，以及數(shù)據(jù)危害是如何產(chǎn)生的還沒有形成統(tǒng)一的認(rèn)識，無法為開展系統(tǒng)數(shù)據(jù)安全性分析提供指導(dǎo)；而且現(xiàn)有的安全性標(biāo)準(zhǔn)也缺少針對數(shù)據(jù)安全性的指導(dǎo)。

因此本文結(jié)合國內(nèi)外研究深入研究了航電系統(tǒng)的數(shù)據(jù)組成，分析了數(shù)據(jù)的應(yīng)用特點，通過廣泛的調(diào)研和梳理總結(jié)出常見的數(shù)據(jù)危害類型；然后研究了航電系統(tǒng)數(shù)據(jù)危害的產(chǎn)生，基于態(tài)勢感知理論研究了航電系統(tǒng)數(shù)據(jù)危害如何導(dǎo)致事故的，并以可控飛行觸地事故為例進(jìn)行了分析，為理解航電系統(tǒng)數(shù)據(jù)安全性問題以及指導(dǎo)數(shù)據(jù)安全性分析提供理論支持。

2 航電系統(tǒng)數(shù)據(jù)危害模式

2.1 航電系統(tǒng)數(shù)據(jù)組成

航電系統(tǒng)在飛機(jī)運行狀態(tài)感知、運行環(huán)境態(tài)勢感知、飛行計劃管理等方面發(fā)揮著重要作用，對于保證飛行安全至關(guān)重要。航電系統(tǒng)通過靜態(tài)數(shù)據(jù)描述系統(tǒng)的運行環(huán)境以及系統(tǒng)中軟硬件接口、分區(qū)和應(yīng)用程序等的配置，包括基礎(chǔ)設(shè)施數(shù)據(jù)和配置數(shù)據(jù)。配置數(shù)據(jù)可以用來配置系統(tǒng)軟硬件描述這些標(biāo)準(zhǔn)化模塊參數(shù)實現(xiàn)特定的功能，例如航電系統(tǒng)軟硬件配置文件；基礎(chǔ)設(shè)施數(shù)據(jù)用于描述系統(tǒng)及所處的靜態(tài)環(huán)境模型，表示物理實體等信息的數(shù)據(jù)，例如電子航圖數(shù)據(jù)、導(dǎo)航數(shù)據(jù)、飛機(jī)性能模型等。航電系統(tǒng)然后還需要通過動態(tài)數(shù)據(jù)描述系統(tǒng)運行過程中的變化和外部環(huán)境的變化，包括運行數(shù)據(jù)和狀態(tài)數(shù)據(jù)。狀態(tài)數(shù)據(jù)是由航電系統(tǒng)自身產(chǎn)生或者通過接口從系統(tǒng)的傳感器以及其他的輸入途徑獲得，隨著系統(tǒng)的運行實時、動態(tài)產(chǎn)生的數(shù)據(jù)，例如傳感器數(shù)據(jù)、外部輸入數(shù)據(jù)；運行數(shù)據(jù)是航電系統(tǒng)通過人機(jī)接口或者其他系統(tǒng)獲得的某個運行條件信息，這一系列的運行信息代表了對于設(shè)備的使用限制，例如由于惡劣天氣、設(shè)備故障等限制條件信息。航電系統(tǒng)數(shù)據(jù)組成如圖1所示。

2.2 數(shù)據(jù)危害模式

Storey指出系統(tǒng)中有三類危險因素，包括基本危險因素、功能危險因素和間接危險因素，其中間接危險因素本身不會對系統(tǒng)直接造成威脅，例如軟件或者數(shù)據(jù)。根據(jù)DO-200A，數(shù)據(jù)是以某種格式真實完備地描述系統(tǒng)運行所需的航空事實、信息或者指令，使之可以用于通信或處理等功能。數(shù)據(jù)作為間接危害因素，給系統(tǒng)帶來的安全問題與軟件有相似之處。硬件會直接對系統(tǒng)造成危害，而數(shù)據(jù)和軟件本身沒有危害，但在系統(tǒng)中數(shù)據(jù)常常會為系統(tǒng)的操作者、功能等提供關(guān)鍵數(shù)據(jù)來引導(dǎo)系統(tǒng)實現(xiàn)功能，或者提供關(guān)鍵的決策信息；一旦數(shù)據(jù)無法真實地描述當(dāng)前系統(tǒng)所需的關(guān)鍵信息，或者描述的不夠完善無法滿足系統(tǒng)的使用要求，就會發(fā)生錯誤將會對系統(tǒng)造成潛在的危害。因此本文結(jié)合數(shù)據(jù)定義和數(shù)據(jù)的特點，對數(shù)據(jù)危害模式進(jìn)行了研究并梳理歸類為4大類。

2.2.1 數(shù)據(jù)格式

定義中數(shù)據(jù)具有一定的格式才能被系統(tǒng)識別，這意味著格式問題為數(shù)據(jù)的基本失效類型之一。數(shù)據(jù)的格式錯誤可能不會影響數(shù)據(jù)表示的內(nèi)容的準(zhǔn)確性，但是會嚴(yán)重影響系統(tǒng)對數(shù)據(jù)的理解和處理。格式是對數(shù)據(jù)信息表示方式的一種規(guī)定，限制數(shù)據(jù)表示的方式。這些規(guī)則也是我們進(jìn)行數(shù)據(jù)監(jiān)測的基礎(chǔ)，即使發(fā)生錯誤我們也可以通過檢測數(shù)據(jù)是否滿足規(guī)則來識別數(shù)據(jù)的錯誤。數(shù)據(jù)格式是如何描述一個數(shù)據(jù)，詳細(xì)定義數(shù)據(jù)使用哪個單位例如米、英尺等來避免不必要的誤解；給出數(shù)據(jù)測量的基準(zhǔn)作為參考，例如在表示地理導(dǎo)航數(shù)據(jù)的經(jīng)緯度時就必須要明確參考的基準(zhǔn)才能獲得準(zhǔn)確的坐標(biāo)；縮放比例也是格式中的一個重要方面，例如航空地圖圖表數(shù)據(jù)。另外數(shù)據(jù)類型、數(shù)據(jù)描述語法等也是格式的重要內(nèi)容。

2.2.2 數(shù)據(jù)意義

數(shù)據(jù)是對現(xiàn)實世界的物體特性的描述，因此數(shù)據(jù)的意義可能是不正確的，這意味著意義問題為數(shù)據(jù)的基本失效類型之一。數(shù)據(jù)的意義錯誤，主要表現(xiàn)在以下幾個方面：無法正確地描述現(xiàn)實世界；無法正確地反應(yīng)現(xiàn)實世界中某個實體的狀態(tài)；或者無法正確地反應(yīng)用戶的目的。這類錯誤的發(fā)生主要是由于在初始階段數(shù)據(jù)的預(yù)處理錯誤，也可能是外界發(fā)生變化導(dǎo)致的。數(shù)據(jù)值、分辨率、關(guān)聯(lián)性、一致性、完整性等屬性的錯誤都會導(dǎo)致數(shù)據(jù)的意義不正確。數(shù)據(jù)還可能發(fā)生意義的模糊混淆錯誤，例如數(shù)據(jù)沒有精確表示出其對應(yīng)的信息，或者數(shù)據(jù)可以被解釋為不同的信息或者指向多個對象。數(shù)據(jù)的重復(fù)或者多余也都會影響數(shù)據(jù)的意義。

2.2.3 數(shù)據(jù)時效性

數(shù)據(jù)的效用依賴于時間并有一定的期限，其價值的大小與提供數(shù)據(jù)的時間密切相關(guān)。實踐證明，數(shù)據(jù)一經(jīng)形成，所提供的速度越快，時間越早，價值越大。數(shù)據(jù)源獲取數(shù)據(jù)之后需要經(jīng)過傳輸?shù)炔僮鞑拍鼙皇褂?，而且現(xiàn)實世界變化之后數(shù)據(jù)還需要更新否則就會無效，因此時效問題為數(shù)據(jù)的基本失效類型之一。從數(shù)據(jù)源頭看，可能發(fā)生數(shù)據(jù)源沒有獲取到數(shù)據(jù)或者數(shù)據(jù)源無法發(fā)送數(shù)據(jù)；從傳輸過程看，可能出現(xiàn)的報文錯誤包括亂序、重復(fù)、丟失等情況；數(shù)據(jù)接收時可能發(fā)生數(shù)據(jù)發(fā)送端標(biāo)識錯誤、類型錯誤、數(shù)值錯誤等；數(shù)據(jù)到達(dá)時間過早或者過晚等。

2.2.4 數(shù)據(jù)來源

數(shù)據(jù)從數(shù)據(jù)源到進(jìn)入系統(tǒng)需要經(jīng)歷不同的系統(tǒng)，此時需要對數(shù)據(jù)獲取傳輸接收的各個階段對數(shù)據(jù)的來源進(jìn)行明確的定義，來保證系統(tǒng)獲得預(yù)期來源的可信賴的數(shù)據(jù)，因此這意味著數(shù)據(jù)來源問題為數(shù)據(jù)的基本失效類型之一。數(shù)據(jù)除了要保證正確的意義和格式，在合適的時間處于可用的狀態(tài)，還要保證數(shù)據(jù)的來源是已知的、可信的?？尚诺膩碓纯梢哉f明數(shù)據(jù)的準(zhǔn)備和處理、存儲、傳輸都是非常嚴(yán)密的，能夠保證數(shù)據(jù)的關(guān)鍵特性諸如格式、意義、時效性等。當(dāng)沒有足夠的過程處理證明文件來保證數(shù)據(jù)在供應(yīng)鏈的整個過程從數(shù)據(jù)的準(zhǔn)備到數(shù)據(jù)的使用的完整性，這就是來源錯誤發(fā)生的原因。來源錯誤包括未知來源錯誤、虛假來源錯誤等。

3 航電系統(tǒng)數(shù)據(jù)危害原理

3.1 數(shù)據(jù)危害的產(chǎn)生

根據(jù)標(biāo)準(zhǔn)DO-200A，航空數(shù)據(jù)供應(yīng)鏈（AeronauticalDataChain）是指從航空數(shù)據(jù)的收集、生成、發(fā)布傳輸以及最終的使用，如圖2所示。錯誤或者故障的產(chǎn)生是伴隨著系統(tǒng)從開發(fā)到投入使用的整個過程，數(shù)據(jù)錯誤亦然。航空電子系統(tǒng)作為典型的數(shù)據(jù)密集型系統(tǒng)，涵蓋了飛機(jī)各種類型數(shù)據(jù)的獲取、傳輸、處理和應(yīng)用組成的數(shù)據(jù)供應(yīng)鏈，數(shù)據(jù)錯誤可以從供應(yīng)鏈的各個階段引入。為了全面地分析數(shù)據(jù)錯誤，應(yīng)該對數(shù)據(jù)供應(yīng)鏈的每個階段進(jìn)行安全性分析可能引入的錯誤。

3.1.1 數(shù)據(jù)收集階段

這一階段是引入錯誤的高發(fā)階段，這主要是由于一方面數(shù)據(jù)的收集和記錄通常是基于紙質(zhì)或者電子文檔，會有大量的人工操作包括記錄數(shù)據(jù)的來源、根據(jù)數(shù)據(jù)要求檢查數(shù)據(jù)等，難免會由于人員的疏忽而發(fā)生錯誤例如數(shù)據(jù)的來源、格式、數(shù)據(jù)值錯誤等；另一方面記錄的數(shù)據(jù)無法實時且精確地描述系統(tǒng)的當(dāng)前狀態(tài)，數(shù)據(jù)的更新相對于持續(xù)變化的現(xiàn)實，必然導(dǎo)致數(shù)據(jù)與實際的偏差例如數(shù)據(jù)的不一致、數(shù)據(jù)的過時等。

3.1.2 數(shù)據(jù)驗證與生成

供應(yīng)商還必須對數(shù)據(jù)進(jìn)行檢查驗證，目的是檢驗數(shù)據(jù)的意義是否發(fā)生變化例如出現(xiàn)歧義、錯誤等情況，對于保證數(shù)據(jù)的要求與系統(tǒng)功能對其的要求是否一致非常重要。對于關(guān)鍵數(shù)據(jù)，必須評估其是否發(fā)生變化并盡可能快速更新，以免過時的無效數(shù)據(jù)進(jìn)入。然后對于通過驗證的數(shù)據(jù)進(jìn)行編輯加工進(jìn)入相關(guān)數(shù)據(jù)庫中，然后將供應(yīng)商提供的數(shù)據(jù)轉(zhuǎn)換為機(jī)載航電設(shè)備要求的格式。這一階段可能發(fā)生的數(shù)據(jù)危害包括數(shù)據(jù)過時、數(shù)據(jù)無效、數(shù)據(jù)格式等錯誤。

3.1.3 數(shù)據(jù)發(fā)布/傳輸

本環(huán)節(jié)目的是將正確的數(shù)據(jù)打包發(fā)給最終用戶使用，主要有磁盤、網(wǎng)絡(luò)以及數(shù)據(jù)鏈等傳輸方式。傳輸過程也極易引入錯誤。從數(shù)據(jù)發(fā)送端看，可能發(fā)生數(shù)據(jù)源沒有獲取到數(shù)據(jù)或者數(shù)據(jù)源無法發(fā)送數(shù)據(jù)；從傳輸過程看，可能出現(xiàn)的數(shù)據(jù)錯誤包括亂序、重復(fù)、丟失等情況；數(shù)據(jù)接收時可能發(fā)生數(shù)據(jù)發(fā)送端標(biāo)識錯誤、類型錯誤、數(shù)值錯誤、數(shù)據(jù)過早或者過晚到達(dá)等。

3.1.4 數(shù)據(jù)的應(yīng)用

本環(huán)節(jié)是系統(tǒng)運行過程中數(shù)據(jù)為系統(tǒng)功能提供支持的過程。在航電系統(tǒng)中數(shù)據(jù)的使用包括數(shù)據(jù)更新、數(shù)據(jù)格式化、數(shù)據(jù)加載、數(shù)據(jù)處理、傳輸?shù)冗^程。航電系統(tǒng)對數(shù)據(jù)安全性有很高的要求，這一環(huán)節(jié)出現(xiàn)的錯誤甚至可能導(dǎo)致事故的發(fā)生。Storey指出航電系統(tǒng)通過其信息系統(tǒng)獲取相關(guān)數(shù)據(jù)通過人機(jī)交互顯示給操作人員或者提供告警，為進(jìn)行決策以及執(zhí)行相關(guān)功能提供信息支持；也可以直接提供給功能系統(tǒng)實現(xiàn)功能例如導(dǎo)航數(shù)據(jù)提供給飛行管理系統(tǒng)用于制定飛行計劃。通過分析發(fā)現(xiàn)，系統(tǒng)中用于關(guān)鍵信息顯示和警示的數(shù)據(jù)錯誤會間接地如通過人機(jī)交互影響人的決策來影響系統(tǒng)安全，或者功能安全系統(tǒng)實現(xiàn)功能所必須的關(guān)鍵輸入?yún)?shù)錯誤均會影響系統(tǒng)安全，甚至導(dǎo)致事故。

3.2 數(shù)據(jù)危害層次模型

航電系統(tǒng)的主要作用是克服有限能見度帶來的安全性問題，通過航電各個設(shè)備獲得導(dǎo)航、地形、障礙物、機(jī)場、氣象等數(shù)據(jù)，構(gòu)建飛機(jī)的態(tài)勢感知，保證飛行安全。當(dāng)前飛行事故頻發(fā)的原因是由于飛機(jī)內(nèi)外部態(tài)勢感知能力的不足。根據(jù)Endsley提出的態(tài)勢感知理論，航電系統(tǒng)對運行過程的各種安全因素的數(shù)據(jù)進(jìn)行感知，包括環(huán)境要素以及系統(tǒng)功能、人機(jī)界面、監(jiān)控設(shè)備等數(shù)據(jù)集合；理解層以感知層獲取的數(shù)據(jù)集合進(jìn)行數(shù)據(jù)處理，衡量評估關(guān)鍵態(tài)勢分析元素對于達(dá)成目標(biāo)的重要程度和影響，例如分析氣象數(shù)據(jù)對系統(tǒng)導(dǎo)航和飛行的影響；預(yù)測層是在前2者的基礎(chǔ)上，預(yù)測系統(tǒng)未來的狀態(tài)。在航空領(lǐng)域內(nèi)功能的執(zhí)行常常依賴于信息和數(shù)據(jù)，具有很強的時限性和空間特征。航電系統(tǒng)目標(biāo)的實現(xiàn)是基于態(tài)勢感知在短時間內(nèi)獲取環(huán)境的數(shù)據(jù)及其變化，通過航電系統(tǒng)的信息處理過程評估相關(guān)數(shù)據(jù)并預(yù)測飛機(jī)的下一步狀態(tài)，進(jìn)行決策的制定和功能的執(zhí)行，最終實現(xiàn)安全飛行。航電系統(tǒng)安全態(tài)勢感知模型如圖3所示。

數(shù)據(jù)是飛機(jī)態(tài)勢感知的基礎(chǔ)。數(shù)據(jù)本身不會產(chǎn)生危險，但是數(shù)據(jù)不是孤立存在的，安全相關(guān)數(shù)據(jù)的錯誤可以間接地通過人機(jī)交互或者直接為功能安全系統(tǒng)提供關(guān)鍵參數(shù)而影響功能最終導(dǎo)致事故發(fā)生。依據(jù)航電系統(tǒng)安全態(tài)勢感知模型，從中我們梳理出事故和數(shù)據(jù)的關(guān)聯(lián)，即若干個數(shù)據(jù)錯誤可以導(dǎo)致信息錯誤，若干個信息錯誤可以導(dǎo)致功能執(zhí)行失效，功能失效導(dǎo)致事故發(fā)生。據(jù)此提出了信息系統(tǒng)的數(shù)據(jù)危害層次模型，如圖4所示。

該模型描述了數(shù)據(jù)和事故之間的關(guān)聯(lián)，在分析數(shù)據(jù)相關(guān)事故時需要識別系統(tǒng)功能、信息以及數(shù)據(jù)的關(guān)系。依據(jù)數(shù)據(jù)危害層次模型，本文以可控飛行觸地CFIT事故為例進(jìn)行分析。下面就可控飛行觸地事故為例，通過本文提出的數(shù)據(jù)危害層次模型分析數(shù)據(jù)是如何導(dǎo)致CFIT事故的?？煽仫w行撞地是指在飛行中不是由于飛機(jī)本身的故障或發(fā)動機(jī)失效等原因發(fā)生的事故，而是由于機(jī)組在未覺察危險的情況下，操縱飛機(jī)撞山、撞地或飛入水中，造成飛機(jī)墜毀或嚴(yán)重?fù)p壞和人員傷亡的事故。圖5描述了導(dǎo)航數(shù)據(jù)和CFIT事故之間的因果關(guān)系。在這個事故中，多個關(guān)鍵的導(dǎo)航數(shù)據(jù)錯誤導(dǎo)致導(dǎo)航系統(tǒng)提供的導(dǎo)航信息是錯誤的，飛行員依據(jù)錯誤的導(dǎo)航信息對飛行環(huán)境和飛機(jī)的狀態(tài)做出了錯誤的決策和行動，引發(fā)了導(dǎo)航功能的失效，最終導(dǎo)致目標(biāo)失敗誘發(fā)了墜機(jī)事故。由于本文僅僅關(guān)注數(shù)據(jù)危害，因此導(dǎo)致事故發(fā)生的其他因素例如軟件、硬件、環(huán)境、人因等因素都沒有展開。通過分析發(fā)現(xiàn)CFIT事故發(fā)生的其中一個原因就是由于在飛行時關(guān)鍵的導(dǎo)航數(shù)據(jù)錯誤或者缺失，無法支持飛行員或者系統(tǒng)功能做出正確的決策進(jìn)而執(zhí)行相關(guān)功能導(dǎo)致的。

4 總結(jié)

隨著信息技術(shù)的廣泛應(yīng)用，航電系統(tǒng)的數(shù)據(jù)密集程度不斷提高，系統(tǒng)功能交互更加密集，對數(shù)據(jù)的依賴性增強。本文提出的數(shù)據(jù)危害層次模型，有效地描述了數(shù)據(jù)和系統(tǒng)的安全性關(guān)系，為進(jìn)行航電系統(tǒng)數(shù)據(jù)安全性的分析以及事故致因分析提供了理論依據(jù)。但是由于缺少實踐經(jīng)驗，該模型的有效性還需要進(jìn)一步的深入研究和驗證，并深入研究用于數(shù)據(jù)安全性分析的技術(shù)。

參考文獻(xiàn)

[1]Allan S Wake.Safety of Data in Real-Time Distributed Systems.University of York，September 2008.

[2]David Michael.Improving the Assurance of Airborne Mission Management Data. University of York，September 2011.

[3]P.Hampton，M.Parsons. Accidents and Incidents：Viewing the World through Data Eyes.http：//www.scsc.org.uk.

[4]Data Safety 1.3.The SCSC Data Safety Initiative Working Group. http：//scsc.org.uk/paper_128/Data%20Safety%20（Version%201.3）.pdf？pap=958.

[5]A.Faulkner，N.Storey.Data：An often-ignored component of safety-related systems，in Proc.MOD Equipment Assurance Symposium ESAS02，Bristol，UK，October 2002.

[6]Paul Ensor，Tim Kelly.SafetyAnalysisofNavigational Data.Septemper，2009.

[7]James Inge，David Pumfrey.Improving the Analysis of Data in Safety-Related Systems.University of York， 2009.

[8]SAE ARP 4761 Guidelines and Methods for Conducting the Safety Assessment Process on Airborne Systems and Equipments [S].

[9]朱琰.導(dǎo)航數(shù)據(jù)庫在飛行及運行中的應(yīng)用研究[D]： 中國民用航空飛行學(xué)院，2013.

[10]袁翔.模型驅(qū)動的綜合航電系統(tǒng)配置信息的分析與驗證方法研究[D]：南京航空航天大學(xué)，2014.

[11]RTCA/DO-200A，EUROCAE Document ED-76.Standards for Processing Aeronautical Data.September 1998.

[12]M.Endsley.Situation Awareness Information Requirements for En Route Air Traffic Control.Saab Group Journal of Science & Technology， 1998.

[13]A.Faulkner，N.Storey.Data Requirements for Data-Intensive Safety-Related Systems.Proc.21st Int.Systems Safety Conf.，Ottawa， August 2003：865-874.