5、运行时认证：保障系统安全的关键技术

运行时认证：保障系统安全的关键技术

1. 运行时安全监控

运行时对假设和异常情况进行监控，能够提前预警可能出现的问题。而对需求和安全属性的监控，则能更明确地指示是否存在故障，或者更有力地保证系统正在安全运行。不过，这种期望需要结合被监控属性的来源来考量。

通常，被监控属性的明显来源是相关软件的需求。但问题在于，关键软件的开发和验证遵循严格标准，能有效确保需求（尤其是低级需求）得到满足。例如，飞行关键软件一般按照DO - 178B Level A指南进行开发和验证，要求构建高低级软件需求，并针对这些需求对代码进行严格测试，从低级软件需求生成的测试必须实现代码的MC/DC覆盖。这些开发和验证过程在确保软件符合需求方面非常有效，而且这些需求通常处于单元级别，软件在该级别上的正确性往往很可靠。也就是说，系统层面可能存在问题，但各个软件单元仍可能按照其单元级需求正常运行。

因此，监控单元级或更低级别的需求可能益处不大，因为关键软件通常在该级别规范下是正确的，而且更大的问题可能不会在这个级别显现。我们需要监控那些与系统安全运行更直接相关、在出现问题时更可能被违反的属性。然而，像DO - 178B这样的认证指南在这方面提供的支持有限，因为软件开发过程的验证目标是确保交付的软件与需求完全匹配（即正确性），而非确保系统安全。

飞机安全的系统级论证和认证证据基于各种系统和安全分析，如危害分析、故障模式与影响分析和故障树分析等，这些分析会深入到子系统和软件的顶级需求。虽然没有明确表述，但飞机安全以及其他类型系统的高级别验证，与安全或保证案例的概念有很多相似之处。

通过对当前系统开发和验证实践进行适度修改，引入形式化保证案例的元素是可行的，这将产生可进行运行时监控